net/publication/283084058
social engineering
CITATIONS READS
0 3,497
1 author:
Bambang Sugiantoro
Universitas Islam Negeri Sunan Kalijaga Yogyakarta
101 PUBLICATIONS 221 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Bambang Sugiantoro on 23 October 2015.
1. Seni dan ilmu memaksa orang untuk memenuhi harapan anda (Bernz ),
2. Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari
sebuah sistem komputer (Palumbo)
3. Mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang
daripada merusak sebuah sistem (Berg).
4. Suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi
kelemahan manusia (Richardus Eko Indrajit)
Kelemahan manusia (Richardus Eko Indrajit)
● Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari
atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan
langsung memberikan tanpa merasa sungkan;
● Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik,
rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan
langsung memberikannya tanpa harus merasa curiga; dan
● Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang
sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana,
atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data
atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Tujuan
Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses
tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-
mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau
jaringan.
Seseorang menyamar
sebagai salah satu dari tim IT
dan berusaha mengumpulkan
informasi dari korbannya.
In Person (Mendatangi langsung ke tempat
korban)
Contoh: menyamar sebagai petugas kebersihan dan mencari atau
mengumpulkan data/informasi dari tempat sampah yang ada di
tempat korban atau berusaha melihat sekeliling pada saat user
sedang mengetikkan password di komputernya (shoulder surfing)
Teknik Lain Human Based Social Engineering
1. Pengintaian
2. Shoulder Surfing
3. Dumpster Diving
4. Tailgating (Membuntuti)
5. PiggyBacking
Pengintaian
Cara ini digunakan untuk pengguna yang
berada ditempat umum atau bisa juga
pengguna menggunakan komputer dari
tempat yang bisa dilihat dari suatu lokasi.
Shoulder Surfing
Melihat orang memasukan pin
komputer, pin ATM, mengisi form,
menekan nomor telp, dsb dengan
berada disekitar korban
Dumpster Diving
mencari informasi melalui
sampah/file yang
dibuang/didelete.
Tailgating (Membuntuti)
Contoh:
Contoh:
Terkadang, surat berantai juga disertai dengan ancaman bagi yang tidak
memforward email tersebut seperti kecelakaan yang mengerikan, musibah,
bankrut, bahkan meninggal dunia yang biasanya membawa nama agama untuk
mempengaruhi psikologis manusia
Email SPAM
Murahnya email menjadi salah
satu sebab pengiriman email
SPAM begitu merajalela.
Phishing
Phishing adalah teknik menipu untuk mendapatkan informasi pribadi milik
korban. Biasanya pelaku mengirimkan email yang seolah-olah dari perusahaan
atau badan resmi. Misalnya dari Bank, Toko online atau Badan pemerintah dan
lainnya. Email tersebut memiliki tampilan dan tulisan yang sama persis dengan
apabila perusahaan resmi yang mengirimkan.
Email palsu ini biasanya berisi formulir data-data pribadi yang harus diisi
korban. Data-data pribadi bisa berupa password email, nomor pin ATM atau
data-data vital lainnya. Data-data tersebut kemudian bisa dipergunakan untuk
kepentingan pribadi pelaku, dan biasanya merugikan korban. Untuk
mengintimidasi korban, biasanya dalam email dicantumkan ancaman berupa
pembekuan akun rekening bank, penghentian layanan, atau ancaman lainnya
apabila formulir data pribadi tidak diisi.
Solusi Menghindari Resiko
1. Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun didunia
maya mengingat informasi merupakan aset sangat berharga.
2. Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan
informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi
insiden-insiden yang tidak diinginkan
3. Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar
dari berbagai penipuan dengan menggunakan modus social engineering
4. Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait
mengenaipentingnya mengelola keamanan informasi melalui berbagai cara dan kiat
5. Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-
hari – misalnya “clear table and monitor policy” - untuk memastikan semuapegawai
melaksanakannya
Solusi Menghindari Resiko (pencegahan)
1. Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca:
vulnerability analysis)
2. Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”
3. Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus
dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi
4. Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi
penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan
aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi
5. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dannilainya
6. Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dansuprastruktur
perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya
Daftar Pustaka
Buku CEH 400% Illegal
http://en.wikipedia.org/wiki/Social_engineering_%28security%29
http://rhatavarium.blogspot.com/2012/04/social-engineering.html