Social Engineering

Social Engineering, Sebuah Teknik Menyerang Sistem Keamanan Komputer

            Social engineering dipopulerkan oleh seorang hacker terkenal bernama Kevin Mitnick pada era 1990-an. Social engineering merupakan sebuah teknik mendapatkan informasi penting dari korban dengan cara memperdaya korban dengan memanfaatkan kelemahan interaksi sosial korban. Menurut Bernz, social engineering adalah seni dan ilmu bagaimana mendapatkan orang untuk mendapatkan apa yang kita inginkan. Menurut Palumbo, social engineering adalah sebuah trik psikologi yang digunakan  oleh hacker dari luar pada pengguna sah dari sebuah sistem komputer untuk mendapatkan informasi yang dibutuhkan agar mendapatkan akses ke sistem komputer.

            Pada dasarnya, tujuan dari social engineering sama dengan hacking pada umumnya: mendapatkan akses yang tidak diotorisasi ke dalam sistem atau informasi untuk melakukan tindakan illegal, penyerangan jaringan, mata-mata industri, pencurian identitas, atau menyerang sistem atau jaringan komputer. Umumnya, perusahaan yang menjadi target adalah perusahaan-perusahaan besar seperti perusahaan telekomunikasi, militer, lembaga pemerintah, lembaga finansial, rumah sakit, dan sebagainya.

            Menurut Sarah Granger, serangan melalui social engineering mempunyai dua level: secara fisik dan secara psikologi. Serangan secara fisik dilakukan dengan berbagai macam, seperti dating langsung ke tempat kerja, menggunakan telepon, sampah-sampah, dan bahkan secara online. Pelaku dapat saja berpura-pura menjadi pegawai maintenance gedung, konsultan, dan bahkan pegawai perusahaan itu sendiri yang mempunyai akses ke dalam organisasi. Pelaku kemudian mencari password, memasang perangkat penyadap di jaringan, dan sebagainya, dan kemudian menyerang sistem atau jaringan dari luar. Cara lain adalah dengan cara memperhatikan pekerja yang sedang memasukkan password kemudian mencuri password tersebut.

            Menurut Joan Goodchild, ada berbagai trik yang digunakan oleh penyerang dengan memanfaatkan kelemahan social korban. Beberapa di antaranya adalah berikut ini.

1. Sepuluh derajat pemisah

Salah satu cara untuk mendapatkan informasi dengan memanfaatkan social engineering adalah dengan menggunakan telepon. Namun sebelum mendapatkan informasi penting dari korban, pelaku akan terlebih dahulu mendapatkan informasi sepotong demi sepotong sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu persatu dari orang-orang di sekeliling korban. Pelaku bisa saja bertanya terlebih dahulu kepada petugas keamanan, petugas kebersihan, supir, bawahan, rekan kerja, dan seterusnya hingga sampai kepada korban. Menurut Sal Lifrieri, seorang pensiunan New York City Police Department, kemungkinan ada sepuluh tahap yang dilakukan oleh pelaku sebelum akhirnya sampai ke korban. Korban mungkin saja orang kesepuluh yang didekati oleh pelaku.

2. Mempelajari bahasa perusahaan target

Setiap organisasi memiliki budaya dan bahasa sendiri ketika berkomunikasi dan memiliki istilah-istilah atau singkatan-singkatan yang digunakan ketika berkomunikasi satu dengan yang lainnya. Misalnya, perusahaan kimia akan terbiasa berbicara dengan istilah-istilah kimia, perusahaan obat-obatan akan terbiasa berbicara dalam istilah obat-obatan, dan sebagainya. Karena itu sebelum melakukan penyerangan, pelaku akan mempelajari terlebih dahulu bahasa organisasi. Sehingga pada saat melakukan penyerangan, korban akan mudah percaya karena pelaku berbicara dalam bahasa organisasi yang dikenal akrab oleh korban.

3. Meminjam musik “nada tunggu” perusahaan

Teknik ini dilakukan dengan memanfaatkan musik “nada tunggu telepon” yang digunakan organisasi. Sebelum melakukan aksinya, pelaku terlebih dahulu menelpon organisasi, tujuannya agar mendapatkan kesempatan untuk mendengarkan musik “nada tunggu” perusahaan. Pelaku kemudian merekam musik “nada tunggu” tersebut dan digunakan untuk mengelabui karyawan lain.

Berikutnya, pelaku akan menelpon karyawan yang menjadi target. Ketika sedang menelpon, pelaku pura-pura ada telepon yang masuk ke linenya dan target disuruh menunggu. Pada saat menunggu tersebut, pelaku akan memutar musik “nada tunggu” yang sudah direkamnya. Hal ini akan membuat target merasa bahwa pelaku menelpon dari internal perusahaan dan merupakan pegawai perusahaan. Sehingga, ketika diminta informasi penting yang rahasia, target akan memberikan tanpa rasa curiga.

4. Menyamarkan nomor telepon

Teknik ini dilakukan dengan cara menyamarkan nomor telepon yang digunakan untuk menelepon korban. Korban akan melihat nomor telepon itu adalah nomor telepon dari dalam perusahaan atau perusahaan yang dikenal, tetapi sebenarnya telepon berasal dari pelaku. Teknik ini dapat mengecoh korban karena korban akan mengira bahwa telepon berasal dari orang yang terpercaya. Bila korban menelepon balik ke nomor tersebut, maka telepon akan disambungkan ke nomor yang benar. Karenanya, korban akan mudah percaya dan memberikan informasi-informasi penting yang rahasia.

5. Menggunakan isu berita

Berita-berita yang ada di surat kabar atau TV digunakan oleh pelaku untuk memperdaya korban. Sebagai contohm jika berita utama “adanya bank yang terkena likuidasi”, maka pelaku akan menelpon atau mengirimkan email ke karyawan bank yang bersangkutan untuk memberikan informasi-informasi penting yang rahasia.

6. Memanfaatkan kepercayaan pada website jejaring sosial

Saat ini ada banyak website jejaring sosial yang mempunyai banyak pengguna seperti Facebook, Myspace, Twitter, dan lain lain. Para pengguna percaya kepada website tersebut. Kepercayaan itu dimanfaatkan pelaku dengan cara mengirimkan email palsu kepada pengguna jejaring sosial tersebut yang isinya bahwa website tersebut dalam perbaikan dan mohon memperbaiki akun dengan cara mengklik link yang disertakan. Ketika mengklik link tersebut, korban akan dibawa ke website palsu. Jika tidak sadar, korban akan memberikan informasi penting yang rahasia di website palsu tersebut.

7. Memanfaatkan kesalahan ketik

Ketika berselancar di internet, seringkali orang salah ketik alamat URL  dan tidak terlalu teliti memperhatikannya. Pelaku kemudian menyiapkan website palsu dengan alamat URL yang mirip dengan alamat website aslinya. Akibatnya, ketika ada pengunjung yang salah ketik dan masuk ke website palsu tersebut, secara tidak sadar akan memberikan informasinya yang penting

8. Menyebarkan berita bohong untuk mempengaruhi harga saham

Teknik ini dilakukan dengan cara menyebarkan berita bohong yang dapat mempengaruhi harga saham perusahaan. Sebagai contoh, informasi tentang kesehatan Bill Gates akan dapat membuat harga saham Microsoft turun. Pelaku akan membeli sejumlah saham dari perusahaan tertentu, kemudian mengirimkan email yang berisi isu yang dapat membuat harga saham perusahaan tersebut akan naik, misalnya isu bahwa perusahaan tersebut akan dibeli oleh perusahaan yang lebih besar. Ketika orang banyak termakan isu tersebut, maka orang akan memburu saham perusahaan bersangkutan dan harga sahamnya akan naik secara drastis. Pada saat harga saham naik, maka pelaku akan melepas sahamnya.


Nama : Dewi Nandita I
Absen : 12
Kelas : 8E