Social Engineering, dalam konteks security diartikan sebagai seni memanipulasi seseorang agar melakukan suatu tindakan tertentu atau untuk membocorkan informasi rahasia. Beberapa orang hanya menganggapnya sebagai penipuan. Akan tetapi social engineering lebih sering digunakan untuk mengumpulkan informasi, kecurangan, atau untuk mendapatkan akses sistem komputer. Biasanya dalam mempraktekkan social engineering tidak berhadapan langsung (face to face) dengan korbannya. Menurut Ross J. Anderson pada bukunya yang berjudul Security engineering: a guide to building dependable distributed systems, Social engineering sebagai sebuah tindakan memanipulasi psikologis sebelumnya telah dikaitkan dengan ilmu sosial, namun penggunaannya sekarang telah merambah hingga profesi dalam dunia komputer
Semua teknik dalam social engineering dilakukan berdasarkan hal-hal (atribut) yang dipertimbangkan ketika seseorang membuat keputusan yang disebut bias kognitif. Terkadang bias-bias ini dianggap sebagai kesalahan dalam perangkat keras manusia (bug in the human hardware). Bias-bias tersebut kemudian dieksploitasi dalam berbagai variasi cara dan kombinasi untuk membuat bermacam teknik serangan. Beberapa teknik serangan tersebut antara lain:
Pretexting (berdalih)
Pretexting adalah teknik penyerangan dengan menggunakan skenario yang telah dirancang sedemikian rupa sehingga korban membocorkan rahasia atau melakukan tindakan tertentu. Skenario diperlukan karena korban tidak akan serta-merta memberikan informasi rahasia dalam keadaan normal. Untuk membuat sebuah skenario rekayasa, sebelumnya diadakan penelitian mengenai lingkungan target. Informasi-informasi yang biasa digunakan dalam skenario rekayasa antara lain tagihan bulanan, tanggal lahir, nomor identitas, dan lain-lain. Semua informasi dan skenario tersebut dibuat untuk menanamkan rasa kepercayaan dalam pemikiran target.
Teknik pretext bisa digunakan untuk memancing target memberikan informasi berharga dalam dunia bisnis, misalnya data pelanggan, data pemasukan, data pembelian, dan lain-lain. Telknik ini bisa juga digunakan untuk berpura-pura sebagai rekan kerja, polisi, petugas pajak atau pihak lain agar target percaya kepada pelaku. Dari teknik pelaku bisa memerintahkan target untuk melakukan transaksi palsu, transfer ke rekening tertentu, atau perbuatan merugikan lainnya.
Yang diperlukan untuk melakukan teknik pretext hanyalah menyiapkan jawaban yang mungkin ditanyakan target, dan menjawab pertanyaan tersebut dengan meyakinkan. Dalam beberapa kasus, pelaku menggunakan nada bicara yang lebih meyakinkan dan lebih mengintimidasi, dan berpura-pura sebagai atasan dari pelaku.
Diversion Theft
Teknik ini juga dikenal dengan nama "corner game" atau juga "round the corner game", yang mana berasal dari Ujung Timur London. Secara umum, teknik ini adalah tipuan yang dilakukan oleh pelaku ulung. Target dari teknik ini biasanya adalah perusahaan jasa pengiriman dan tranportasi. Tujuan utama dari teknik ini adalah untuk membujuk agar orang yang bertanggung jawab terhadap pengiriman, mau mengirimkan barang ke tempat lain yang diminta pelaku.
Phising (Pengelabuhan)
Phishing adalah teknik menipu untuk mendapatkan informasi pribadi milik korban. Biasanya pelaku mengirimkan email yang seolah-olah dari perusahaan resmi, misalnya dari bank, toko online atau lainnya. Email tersebut memiliki tampilan dan tulisan yang sama persis dengan apabila perusahaan resmi yang mengirimkan. Email palsu ini biasanya berisi formulir data-data pribadi yang harus diisi korban. Data-data pribadi bisa berupa password email, nomor pin ATM atau data-data vital lainnya. Data-data tersebut kemudian bisa dipergunakan untuk kepentingan pribadi pelaku, dan biasanya merugikan korban. Untuk mengintimidasi korban, biasanya dalam email dicantumkan ancaman berupa pembekuan akun rekening bank, penghentian layanan, atau ancaman lainnya apabila formulir data pribadi tidak diisi.
Interactive Voice Response (IVR)
Jika diartikan ke bahasa Indonesia, artinya adalah respon suara interaktif. Teknik ini memang menggunakan respon suara dari telepon untuk mengelabui korbannya. Pelaku biasanya berpura-pura sebagai layanan Customer Service dari sebuah bank, operator telepon, atau dari instansi lainnya. Biasanya pelaku mengawali dengan mengirimkan email palsu (teknik phishing) kepada korban, yang berisi instruksi agar menelepon ke nomor (CS resmi biasanya gratis) tertentu dengan alasan untuk memverifikasi data. Kemudian korban diminta memasukan PIN, password atau informasi rahasia lainnya melalui telepon tersebut. Sistem penipuan IVR yang canggih, bisa menirukan dengan persis kalimat dari respon suara layanan pelanggan yperusahaan resmi, misalnya "tekan satu untuk merubah PIN", "Masukan kode pulsa anda".
Baiting (Pemberian Umpan)
Teknik ini mengandalkan rasa ingin tahu atau "ketamakan" dari korban. Pelaku menanamkan malware ke sebuah flashdisk, CD ROM, atau perangkat penyimpanan lainnya. Flashdisk tersebut ditinggalkan ditempat yang mudah ditemukan (kamar mandi, ruang tunggu, dll) di sebuah perusahaan yang menjadi target. Seorang karyawan yang penasaran bisa saja menemukan flashdisk itu, dan mencolokkan ke komputer perusahaan untuk melihat isinya. Tanpa disadari korban, dia telah menanamkan malware di dalam komputernya, atau bahkan jaringan internal perusahaan. Komputer yang terkena malware bisa saja mengirimkan data rahasia ke pelaku, atau membuka firewall agar menjadi mudah diserang. Teknik baiting yang lebih canggih bisa menggunakan digital music player yang bisa menularkan virus ke komputer manapun alat itu dicolokkan.
Quid Pro Quo
Secara harfiah artinya, sesuatu untuk sesuatu. Beberapa contoh sederhana ada di bawah ini:
- Pelaku menelepon nomor acak dalam sebuah perusahaan, dan mengaku dari bagian perawatan teknis. Bila beruntung, pelaku bisa menemukan orang yang sedang berada dalam kesulitan, dan dia merasa senang karena bagian perawatan teknis akan membantu. Pelaku akan "membantu" menyelesaikan masalah korban, namun dalam prosesnya, korban diminta mengetikkan command di komputer korban yang mana dengan command tersebut pelaku bisa mengakses komputer korban.
- Tahun 2003 dilakukan survey di Inggris dan hasilnya, 90% pekerja kantoran memberikan password mereka kepada periset hanya dengan imbalan pulpen. Survey serupa dilakukan lagi beberapa tahun kemudian, dan hasilnya tidak jauh berbeda dengan survey sebelumnya, password diberikan demi coklat atau imbalan murahan lainnya.
Tailgating (Membuntuti)
Pelaku biasanya mencar cara agar bisa masuk kea sebuah area terlarang yang dijaga dengan personel keamanan, kartu akses elektronik, dan lain-lain. Pelaku masuk dengan cara berjalan di belakang orang yang memiliki hak masuk. Pemilik hak masuk sah yang menjadi korban mungkin khilaf untuk menanyakan identitas dari pelaku, atau menerima alasan bahwa pelaku lupa membawa kartu identitasnya. Pelaku juga kadang berpura-pura menggunakan kartu akses.
Sumber: http://en.wikipedia.org/wiki/Social_engineering_%28security%29
Tweet
Tidak ada komentar:
Posting Komentar