Pengertian
Seni dan ilmu memaksa orang untuk memenuhi harapan anda (Bernz ),
1.
Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer
2.
(Palumbo)
Mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah
3.
sistem (Berg).
Suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia (Richardus
4.
Eko Indrajit)
Kelemahan manusia (Richardus Eko Indrajit)
Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau
penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak
saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa
curiga; dan
Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah,
dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang
bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Tujuan
Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem
atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara
sederhana untuk mengganggu sistem atau jaringan.
Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga
keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit.
Mengapa organisasi / sebuah perusahaan berkemungkinan besar diserang
dengan social engineering?
My data is my assets
Alasan mengapa organisasi / perusahaan
berkemungkinan besar diserang dengan social
engineering, karena akan lebih mudah dalam
melakukan social engineering untuk
mendapatkan akses daripada menggunakan
teknik-teknik hacking yang lazim digunakan.
Serangan Social Engineering
1. Tingkatan Fisik
Pada lingkungan fisik yang rawan terhadap serangan-serangan
social engineering, tempat kerja, telepon, tempat sampah dan
on-line (internet).
Serangan Social Engineering
2. Tingkatan Psikologis
Social engineering dari sudut pandang psikologis, menekankan
bagaimana caranya menciptakan lingkungan psikologis yang
sempurna untuk suatu serangan.
Metode-metode dasar persuasi termasuk : berkedok sebagai orang
lain, mengambil hati/ menjilat, mencari kesesusaian, penunjukan
tanggung jawab, atau sekadar keramah-tamahan.
Serangan Social Engineering
1. Impersonation (Pemalsuan)
2. Important User (Menyamar sebagai orang penting)
3. Third Party Authorization (Pemalsuan Otorisasi)
4. Technical Support (Menyamar menjadi bagian Technical
Support)
5. In Person (Mendatangi langsung ke tempat korban)
Impersonation (Pemalsuan)
1. Pengintaian
4. Tailgating (Membuntuti)
5. PiggyBacking (Menyelinap)
Pengintaian
Cara ini digunakan untuk pengguna yang
berada ditempat umum atau bisa juga
pengguna menggunakan komputer dari
tempat yang bisa dilihat dari suatu lokasi.
Shoulder Surfing
2. Pop-up Windows
4. Email SPAM
5. Phishing
Instant Chat Messenger
Melalui media ini, pelaku bisa berinteraksi
dan menjalin pertemanan dengan calon
korbannya. Pertemanan yang walaupun
dilakukan secara virtual, mempunyai efek
yang sama dengan pertemanan pada
dunia nyata. Setelah mendapat
kepercayaan dari korbannya, pelaku bisa
melakukan serangan secara halus kepada
korbannya
Pop-up Windows
pelaku Social Engineering yang
memanfaatkan pop-up windows ini untuk
mengelabuhi pengguna.
Contoh:
Saat membuka website tiba-tiba muncul
pop-up peringatan bahwa terdeteksi virus
di komputer yang digunakan. Korban
diminta mengklik link atau telp no yang
sudah disiapkan oleh pelaku.
Surat Berantai (Chain Letter) dan Hoaxes
Chain letter atau surat berantai biasanya menawarkan hadiah atau barang gratis asalkan korbannya
bersedia mengirimkan email yang sama keteman-temannya, dan tentunya hadiah yang dijanjikannya ini
palsu.
Terkadang, surat berantai juga disertai dengan ancaman bagi yang tidak memforward email tersebut
seperti kecelakaan yang mengerikan, musibah, bankrut, bahkan meninggal dunia yang biasanya
membawa nama agama untuk mempengaruhi psikologis manusia
Email SPAM
Murahnya email menjadi salah
satu sebab pengiriman email
SPAM begitu merajalela.
Phishing
Phishing adalah teknik menipu untuk mendapatkan informasi pribadi milik korban. Biasanya
pelaku mengirimkan email yang seolah-olah dari perusahaan atau badan resmi. Misalnya dari Bank,
Toko online atau Badan pemerintah dan lainnya. Email tersebut memiliki tampilan dan tulisan yang
sama persis dengan apabila perusahaan resmi yang mengirimkan.
Email palsu ini biasanya berisi formulir data-data pribadi yang harus diisi korban. Data-data
pribadi bisa berupa password email, nomor pin ATM atau data-data vital lainnya. Data-data tersebut
kemudian bisa dipergunakan untuk kepentingan pribadi pelaku, dan biasanya merugikan korban. Untuk
mengintimidasi korban, biasanya dalam email dicantumkan ancaman berupa pembekuan akun rekening
bank, penghentian layanan, atau ancaman lainnya apabila formulir data pribadi tidak diisi.
Solusi Menghindari Resiko
1. Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun didunia
maya mengingat informasi merupakan aset sangat berharga.
2. Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan
informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi
insiden-insiden yang tidak diinginkan
3. Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar
dari berbagai penipuan dengan menggunakan modus social engineering
4. Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait
mengenaipentingnya mengelola keamanan informasi melalui berbagai cara dan kiat
5. Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-
hari – misalnya “clear table and monitor policy” - untuk memastikan semuapegawai
melaksanakannya
Solusi Menghindari Resiko (pencegahan)
1. Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca:
vulnerability analysis)
2. Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”
3. Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus
dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi
4. Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi
penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan
aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi
5. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dannilainya
6. Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dansuprastruktur
perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya
Daftar Pustaka