Social Engineering

by Unknown 21.10.00 0 komentar

hai sahabat akari... udah lama ga nge-blog ni..
Untunglah blognya masih aktif.. hehee.. :-)

Yap, kali ini kita akan membahas yang namanya social engineering.
Kamu pasti pernah mendengar istilah ini kan? tapi bagi kamu yang belum tau social engineering yaitu

• pemerolehan informasi(pasword misalnya) atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut.

• teknik psikologis yang digunakan hacker untuk memperoleh informasi yang dapat dipergunakan untuk mengakses sistem komputer. 

Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Biasanya terjadi melalui telepon dan internet.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Dan sifat yang paling rentan pada manusia adalah gampang percaya.

Metode-metode yang biasa terjadi,

• pertama, metode yang paling dasar dalam social engineering yaitu penyerang bisa langsung meminta apa yang diinginkannya, baik berupa password, akses jaringan, dsb. Tapi biasanya metode ini sedikit yang berhasil.
• Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target. Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target.
• Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.
Lalu kamu berada dimana?
Barangkali kamu merasa apa yang dituliskan di atas tidak berkaitan dengan kamu secara langsung; “hei, saya tidak punya perusahaan” atau kamu ngerasa tidak mengelola sebuah server.

Apakah kamu punya password?

Entah untuk Facebook, Twitter, atau email kamu. Kamu yakin password kamu aman?

Kamu tidak menggunakan tanggal lahir kan untuk password kamu?

Atau jangan-jangan kamu masih mencatat password kamu di secarik kertas?

Atau kamu sudah pastikan gak ada teman yang ngintip ketika kamu mengetikan password kamu?

Setelah kamu membaca tulisan di atas, gak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password kamu. Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk kamu membuka attachment email yang mengandung malware, phisher menggunakanya untuk mendapatkan informasi berharga dari kamu, bahkan ada pembuat scareware yang menakut-nakuti kamu untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak).

Semoga kita bukan korban social engineering.