Social Engineering


Kalau dilihat dari peribahasa “Tidak ada manusia yang sempurna” itu memang benar, dan social engineering ini akan mencoba menggali sebanyak mungkin dari kelemahan manusia itu sendiri. =)

Berikut ada sedikit kisah nyata.
Kisah berikut ini merupakan penuturan dari Kapil Raina, seorang ahli keamanan di VeriSign.

Suatu pagi di beberapa tahun yang lalu, sekelompok orang berjalan memasuki sebuah perusahaan jasa pengiriman yang tergolong besar. Beberapa saat kemudian mereka berjalan keluar dari gedung itu dan telah berhasil mendapatkan hak akses ke sistem jaringan perusahaan tadi. Bagaimana mereka melakukannya ?

Pertama, mereka telah melakukan riset mengenai perusahaan itu selama dua hari sebelumnya. Sebagai contoh, mereka telah mempelajari nama-nama pejabat berpengaruh di perusahaan itu dengan cara menghubungi pihak HRD. Selanjutnya mereka pura-pura kehilangan kunci ketika berada di pintu depan perusahaan, dan ternyata seorang pria di perusahaan tadi membukakan pintu untuk mereka tanpa curiga.

Untuk saat itu mereka telah berhasil memasuki gedung sasaran. Sesampai di lantai tiga yang merupakan secure area, mereka pura-pura kehilangan tanda identitas. Cukup melakukan akting kehilangan dengan bagus, tersenyum ke pekerja-pekerja yang ada di situ, dan salah seorang dari mereka kemudian membukakan pintu untuk mereka dengan ramah. Secure area ternyata belum mampu membendung langkah mereka.

Mereka sudah tahu bahwa saat itu pemimpin perusahaan sedang bertugas keluar kota, jadi mereka bisa dengan bebas memasuki ruang kantornya dan mendapatkan data finansial dari komputernya yang ternyata tidak terpassword sama sekali. Mereka kemudian memanggil petugas kebersihan dan meminta untuk meletakkan semua sampah perusahaan di suatu tempat di mana mereka nantinya bisa memeriksa karena beberapa karyawan ternyata suka menuliskan informasi rahasia ataupun password ke kertas lembar kerja yang tidak terpakai dan kemudian membuang begitu saja.

Selain hal-hal di atas, mereka pun telah mempelajari bagaimana cara dan gaya sang pemimpin berbicara, sehingga mereka mampu menelpon dan mengaku sebagai pemimpin perusahaan, yang sebenarnya sedang berdinas keluar kota, dan mengatakan sedang dalam keadaan terburu-buru dan lupa akan passwordnya. Sang admin pun tanpa rasa curiga dan tanpa merasa perlu melakukan proses verifikasi, segera memberikan apa yang dibutuhkan. Selanjutnya dengan berbekal berbagai informasi yang telah didapatkan, cukup dengan memakai teknik hacking standar mereka akhirnya bisa mendapatkan akses super-user di sistem jaringan perusahaan tersebut.

Dalam cerita ini, mereka sebenarnya dari pihak konsultan keamanan yang sedang melakukan audit keamanan atas permintaan pemimpin perusahaan tanpa memberitahukan sebelumnya kepada para pekerja. Mereka tidak pernah mendapat informasi sedikit pun mengenai perusahaan, para pekerja serta tidak mengenal secara dekat pemimpinnya, tapi mereka mampu mendapatkan semua akses yang diperlukan melalui social engineering.

Apakah social engineering itu?

Tidak hanya system computer saja yang menjadi korban hacking, manusia pun memiliki kelemahan – kelemahan terntentu yang dapat dimanfaatkan oleh pihak yang memiliki itikad buruk. Dalam bidang keamanan computer, teknik teknik yang digunakan untuk mengelabui manusia agar membocorkan akses atau informasi rahasia, disebut dengan social engineering, atau dalam istilah bahasa Indonesia yaitu rekayasa sosial.

Walaupun seaman apapun system suatu jaringan computer, jika sisi manusia yang memiliki otoritas dapat di hack, maka proteksi proteksi yang sudah dibuat yang menurut anda aman itu menjadi tidak berguna lagi.

Sebagian orang mungkin meremehkan social engineering. Mereka berpikir bagaimana mungkin seseorang terkecoh dengan tipuan tipuan yang terlihat sederhana. Tetapi begitulah teknik social engineering ini, dan akhirnya ada saja user yang terkecoh karenanya.

Social engineering juga tidak selalu melakukan interaksi langsung dengan targetnya. Ia dapat mengumpulkan informasi dari ketidakwaspadaan anda, misalnya mengorek tempat sampah untuk meneliti catatan yang telah dibuang (dumpster diving). Teknologi internet juga memudahkan penyerang mencari informasi mengenai seseorang (termasuk juga orang dekatnya) di search engine, jejaring social, mailing list, dan sebagainya. Sebagian informasi tersebut bisa jadi dapat digunakan untuk mendekati target secara psikologis, misalnya dengan mengetahui hobi target atau kegemaran lainnya.

Lalu bagaimana mencegah social engineering itu?

Sering dikatakan bahwa dalam pemanfaatan teknologi, manusia merupakan mata rantai terlemah. Ada banyak contoh yang bisa ditunjukkan mengenai berbagai hal yang mungkin tidak sengaja dilakukan dan berakibat pada bobolnya sistem keamanan yang ada.

Dengan mengetahui metode metode social engineering, kita dapat mencegahnya dengan meningkatkan pengetahuan dan kewaspadaan. Dua hal ini berkaitan erat. Kewaspadaan dapat meningkat jika anda banyak mendapatkan pengetahuan mengenai isu dan risiko keamanan.

Comments

Popular posts from this blog

Jenis - Jenis Tanggung Jawab

Apa itu 'softskill' dan 'hardskill' ???

Keadilan dan Kejujuran