Social Engineering - Bahaya dan Pencegahannya
Selamat malam sobat blogger sekalian..
Jumpa lagi di tulisan kali ini, yah, semoga ga bosen sih ya wkwkw..
Jumpa lagi di tulisan kali ini, yah, semoga ga bosen sih ya wkwkw..
Oke, kali ini ane akan membahas mengenai sesuatu, yang sepertinya keren.. Penasaran? Monggo dilanjut dibawah...
Yap, seperti judulnya, pembahasan kali ini adalah mengenai Social Engineering. Apa itu social engineering? Menurut Wikipedia, Social engineering atau dalam bahasa Indonesia biasa disebut rekayasa sosial adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Tak dapat dipungkiri bahwa manusia merupakan titik terlemah sebuah sistem. Komputer dengan enkripsi tercanggih sekalipun dapat dibobol dengan mudah dengan social engineering.
Intinya, metode ini memanfaatkan kelemahan psikologis manusia. Seseorang bisa saja memberikan informasi jika diancam, dirayu, atau dengan faktor lain seperti iming-iming hadiah atau sesuatu yang menarik secara psikologis. Selain itu, kebiasaan pengguna yang kerap kali tidak ambil pusing dengan segala macam informasi yang dimiliki menyebabkan teknik ini semakin umum dan mudah dilakukan.
Untuk lebih mempermudah penjelasan mengenai social engineering, kita perhatikan contoh ini
- Seorang network admin di perusahaan XYZ mengimplementasikan enkripsi canggih AES-256 pada basis data perusahaan. Dengan beberapa pengumuman, network admin tersebut menginstruksikan pengguna jaringan perusahaan tersebut untuk mengganti password setiap 6 bulan sekali, dan tidak menggunakan informasi yang mudah ditebak. Sayangnya, seorang staff keuangan di kantor tersebut adalah seseorang yang agak mudah terjebak rayuan. Kemudian, seorang attacker mempelajari situasi di perusaahan tersebut dan mulai menggunakan teknik social engineering dengan cara memanfaatkan kelemahan dari staff tersebut, yaitu melalui pacarnya. Dengan mudahnya, attacker tersebut masuk ke dalam sistem basis data dan mengubah daftar transfer bulanan ke rekening attacker itu.
- Bayu adalah seorang manajer di sebuah kantor. Dengan kecerdasannya, dia mampu membangun sebuah sistem otomasi perkantoran yang dapat mengatur seluruh komponen dalam kantor tersebut, seperti mematikan lampu, membuka dan mengunci pintu, dsb. Pusat kontrol sistem tersebut berada di suatu ruang rahasia di daerah kantor tersebut. Untuk memasuki ruang kontrol tersebut, ada beberapa prosedur keamanan berlapis yang harus dilewati. Karena Bayu agak malas untuk sering berada di ruang tersebut, maka dia mengatur agar seluruh kendali dapat dilakukan di rumahnya, dengan server utama tetap di kantor. Sayangnya, Bayu adalah orang yang mudah panik. Suatu hari, ketika asik bermain game di rumah, ada email masuk yang menginformasikan bahwa sistem otomasi di kantornya sedang mengalami kerusakan dan perlu segera diperiksa. Email tersebut meminta verifikasi dari Bayu selaku admin sistem tersebut dengan cara mengklik tautan di email tersebut. Dengan paniknya, ia juga memasukkan id login ke sistem tersebut. Attacker yang mendapatkan id tersebut langsung menggunakannya untuk memasuki sistem tersebut dan merancang aksi untuk sabotase sistem perusahaan, seperti mematikan lampu ketika sedang rapat tender, membuka pintu pada malam hari, dsb.
- Hitmen adalah seorang pengguna jejaring sosial yang sangat aktif. Dengan kecerdasannya, dia dapat menghasilkan uang puluhan juta dari aktivitasnya di media sosial. Suatu saat, Hitmen menerima email yang menyatakan bahwa akun media sosialnya terlibat dalam aktivitas terlarang dan terancam diblokir. Untuk membuktikan bahwa akunnya aman, dia harus mengeklik tautan di email tersebut. Karena merasa takut kehilangan pemasukan, dia langsung mengeklik tautan tersebut. Tautan tersebut meminta informasi login, yang sayangnya adalah antarmuka yang disiapkan oleh attacker. Tak lama kemudian, semua media sosialnya sudah tidak dapat diakses dan Hitmen benar-benar kehilangan pendapatannya...
Dari contoh diatas, dapat disimpulkan bahwa social engineering memanfaatkan kelengahan pengguna. Sistem yang sudah dibangun dengan keamanan canggih bisa dengan mudah dimasuki oleh orang yang tak bertanggung jawab, hanya dengan sedikit trik psikologis.
Berdasarkan data dari SANS Institute, ada empat siklus penting yang sering digunakan dalam mendapatkan informasi melalui social engineering. Siklus tersebut adalah:
- Social engineer mencari informasi terkait apa yang akan ia cari dan siapa yang bisa ia jadikan target eksploitasi.
- Social engineer akan membangun hubungan dengan target yang dimaksud. Membangun hubungan tersebut dapat dilakukan dengan berbagai cara seperti bekerja pada organisasi yang ia jadikan target, membangun hubungan pertemanan ataupun persaudaraan bahkan membangun hubungan emosional.
- Social engineer akan memanfaatkan psikis target untuk mendapatkan informasi dengan bermacam macam cara seperti rayuan, ancaman, suapan, dll.
- Ketika informasi berhasil didapatkan, maka social engineer akan melengkapi siklus dengan eksekusi terhadap informasi tersebut.
Masih dikutip dari SANS Institute bahwa ada empat motif yang membuat individu melakukan social engineering, yaitu
- Financial Gain: Social engineer akan melakukan tindakan ini dikarenakan dorongan finansial untuk memuaskan dorongan hati mereka seperti kebiasaan untuk berjudi.
- Self Interest: Motif ini dilakukan karena ada dorongan untuk merubah informasi atau data yang terkait dengan relasi, keluarga atau kolega mereka.
- Revenge: Motif seperti ini biasanya terjadi karena social engineer memiliki dendam pribadi pada organisasi atau korporasi yang pernah mempekerjakan mereka.
- External pressure: Social engineering terjadi karena adanya tekanan terhadap social engineer baik dari eksternal keluarga, kolega ataupun organisasi kejahatan.
Menurut data dari situs CISO, ada lima teknik social engineering yang sangat populer beberapa tahun belakangan, yaitu
- Big news
Teknik ini memanfaatkan berita yang sedang populer di masa tersebut. Attacker akan menyisipkan malware pada tautan yang disebar di media sosial dengan judul berita yang kontroversial, seperti kiamat pada tahun 3012, perang dunia ke-(-4), dst. Pengguna yang penasaran kemudian akan mengklik tautan tersebut dan dengan mudahnya sebuah Trojan terinstall secara otomatis di komputer pengguna. - Celebrity Gossip
Gosip tentang selebriti juga merupakan trik yang mudah dilakukan. Jika ada suatu informasi yang kontroversial tentang seorang selebriti, maka orang akan penasaran dan mengklik semua tautan yang menyediakan informasi yang tersedia. Contohnya adalah ketika ada kabar burung (hoax) mengenai kematian Stefan Willis, maka penggemar yang penasaran akan mengklik tautan tersebut. Sayangnya, attacker yang tak bertanggung jawab dapat dengan mudah menyisipkan malware di tautan yang tersedia. - Film dan media lainnya
Kebiasaan pengguna internet yang selalu berusaha mendapatkan sesuatu secara gratisan, dimanfaatkan dengan baik oleh attacker yang mengirimkan link unduhan film palsu yang ketika diklik, akan memaksa pengguna untuk menginstall suatu perangkat lunak yang biasanya merupakan malware. - Social media scam
Scam adalah teknik terfavorit untuk mencuri data melalui sosial media. Para pelaku scam lazimnya akan men-tag orang-orang dari akun yang sudah dicuri sebelumnya melalui foto. Dari foto tersebut, scammers akan mudah menggiring mereka pada situs phising yang selanjutnya mereka gunakan untuk mencuri data-data pribadi. - Scare Tactic
Taktik menakut-nakuti masyarakat melalui berita yang menakutkan psikis mereka merupakan cara ampuh untuk mencuri informasi sensitif. Sebagai contoh, pelaku akan membuat berita mengenai maraknya penyebaran virus Ebola ke belahan dunia lain sempat membuat gempar warga dunia. Mereka tidak ingin negaranya terjangkiti virus mematikan tersebut. Oleh karenanya, banyak dari masyarakat awam berusaha untuk mencari berita sebanyak-banyaknya tentang virus ini. Kegemparan ini pun memancing penjahat cyber untuk membuat link berita dan mengirimkannya via surel yang mana situs tersebut sudah tertanam malware dan virus komputer.
Nah, bagaimana upaya yang dapat ditempuh untuk meminimalisir teknik social engineering ini pada kita selaku pengguna? Ada beberapa langkah yang dapat ditempuh, antara lain
- Selalu waspada terhadap orang lain. Bisa jadi teman terdekat bahkan pasangan Anda merupakan pelaku social engineering. Ingatlah pepatah ini "Don't trust anyone except GOD"
- Verifikasi setiap email atau pesan di media sosial yang berpura-pura untuk melakukan suatu pekerjaan dengan terlebih dahulu meminta akses tertentu.
- Jika ingin mengirimkan data pribadi, pastikan sistem yang digunakan sudah aman dan terlindungi
- Sering berlatih meditasi untuk meningkatkan kekuatan psikis agar tidak mudah dipengaruhi.
Mungkin hanya sedikit ini saja yang dapat ane post disini, banyak sekali situs yang menyediakan informasi yang sama, ane hanya mengambil intisari saja. Terima kasih sudah membaca, dan ditunggu kunjungan berikutnya..
![[Tutorial] Modifikasi PSU Komputer Menjadi Charger Aki](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFsX9CK_Iv8P9VRZK6M6IuMVdXjoVRvFZEgNAeAO7s21W5mxrQEZy_RwG3No2kDYw1-CXPg6dUrdYecKNB0i6_Qjnxztsw4Nm7ShC4yGqXp6LxIbcrCdFHqgm0oSxema7pxO1m-_RoGIeW/s72-c/DSC_0658.JPG)
![[Tutorial] Rooting Xperia Z2 Firmware 23.5.A.1.291 + TWRP](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioIpAVV0RlkPIwk9ZUGDkrwOVZeGWIP0gtLQ_C2FnxWJvgoTNc2Mhp5f8YoTBAcMz292W2NPCPaktMaDDrbiT2ifP3yNvKa0yS0CUmX8Q5xVwSp1dFzgvfTcfRvfpj8XDZGkdPr58myQk/s72-c/root.jpg)
![[Tutorial] Cara Membuat Larutan Gondorukem](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiO_8ERxpTuYneukOc-wfYvV0Vg79yDXJqGAswN7KgmiBOLOeR3Vn_cHzfuHvwJkWhtiSZtpF4GL7ZlpblH2UTpbsiTXUDjlStORub-FPszpFT0AXqpySZx0d3kVUR_Cz76ZLu-MXNRKms/s72-c/gondorukem.jpg)
Leave a Comment