Social Engineering

Social engineering adalah  cara memperolehan informasi atau data rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Seluk Beluk Teknik Social Engineering

Ada   prinsip   dalam   dunia   keamanan   jaringan   yang   berbunyi   “kekuatan   sebuah   rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya “the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link” atau “komponen terlemah” dalam  sebuah sistem  jaringan komputer? Ternyata jawabannya adalah: manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, I DS/IPS, dan lain sebagainya –  tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.

Kelemahan Manusia

Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi  melalui  mekanisme interaksi  sosial. Atau dengan  kata lain  social  engineering adalah   suatu   teknik   memperoleh   data/informasi   rahasia   dengan   cara   mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:

·         Rasa Takut –  jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;

·         Rasa Percaya –  jika seorang individu dimintai data atau informasi dari teman baik, rekan   sejawat,   sanak   saudara,  atau   sekretaris,   biasanya   yang   bersangkutan   akan langsung memberikannya tanpa harus merasa curiga; dan

·         Rasa Ingin Menolong –  jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.

Kelengahan user merupakan senjata ampuh yang biasa digunakan cracker untuk melakukan penyerangan. Bagaimanakah tahap-tahap yang umumnya digunakan para cracker dengan mengandalkan kelengahan user ini?

Social engineering adalah faktor manusia (human factor) yang menyebabkan kebobolan pada sistem dan network dari suatu perusahaan. Perusahaan yang sudah memiliki proses autentikasi, firewall, virtual private network, atau bahkan software network monitoring yang paling canggih sekalipun masih rentan terhadap serangan yang menggunakan metode ini. Seorang karyawan mungkin saja memberikaninformasi rahasia perusahaan tanpa menyadarinya. Entah mungkin melalui e-mail, telepon, atau denganorang yang belum dikenal sekalipun.

Hal ini umumnya terjadi karena manusia mempunyai sifat sosial yang tinggi dan cenderung suka berinteraksi dengan orang lain. Di samping itu juga orang seringkali salah menafsirkan seseorang dengan hanya mengira-ngira berdasarkan ciri-ciri fisik saja.Misalkan saja, kita akan spontan membantu membukakan pintu apabila ada orang yang datang mengangkut beberapa boks berukuran besar, karena mengira orang tersebut adalah seorang kurir yang sedang mengantarkan barang.

Seringkali orang secara tidak sadar membocorkan informasi penting yang dapat digunakan oleh cracker untuk melakukan pembobolan terhadap suatu sistem komputer. Seorang cracker yang sudah terlatih dan menguasai teknik social engineering dapat mengumpulkan data yang cukup lengkap dari korbannya hanya melalui percakapan, tanpa disadari korbannya bahwa dia sedang diinterogasi. Beberapa perusahaan yang sudah memiliki website sekalipun terkadang tanpa ragu-ragu mempublikasikan data pribadi karyawan atau bahkan pemilik perusahaan tersebut, seperti data jabatan, nomor telepon, alamat email, atau bahkan alamat tempat tinggalnya.

Seorang cracker yang sedang mengincar untuk membobol suatu perusahaan bahkan dapat memanfaatkan informasi yang secara tidak sadar dibocorkan sendiri oleh perusahaan yang bersangkutan pada saat memasang iklan lowongan kerja di media massa, dengan mempublikasikan sistem yang harus dikuasai oleh pelamar kerja yang bersangkutan (contohnya UNIX,WINDOWS 2000, ORACLE, SQL, dll). Perpaduan Seni dan Keahlian Social engineering adalah paduan antara seni dan keahlian (art & science) untuk mempengaruhi seseorang agar menuruti segala permintaan cracker. Social engineering bukan merupakan salah satu bentuk hipnotis atau kontrol pikiran, di mana korbannya diminta untuk melakukan halhal di luar kebiasaan normal.

Dua terminologi penting yang mendefinisikan social engineering adalah:

·         Social engineering merupakan salah satu trik yang digunakan oleh cracker untuk mengumpulkan informasi dari seseorang. Bukan membobol suatu sistem.

·         Subversi Psychology adalah bentuk yang digunakan pada social engineering yang secara jangka panjang berusaha untuk menjaga secara kontinu alur informasi dan bantuan dari user.

Social engineering menekankan penyerangan pada sambungan yang paling lemah pada rantai keamanan komputer. Manusia pada umumnya adalah titik lemah pada sambungan tersebut. Usaha untuk mempengaruhi seseorang agar mau diminta untuk menyelesaikan suatu tugas tertentu dapat dilakukan dengan beberapa cara. Cara pertama yang paling mudah dan jelas adalah dengan melalui permintaan secara langsung, dimana seseorang diminta secara langsung untuk menjalankan serangkaian tugas tertentu. Cara tersebut umumnya mudah diketahui atau disadari oleh korbannya, namun merupakan salah satu cara yang paling mudah dilakukan.

Cara kedua adalah dengan menciptakan suatu kondisi di mana target dibuat ikut serta. Pada cara kedua ini, cracker membuat alasan yang lebih sesuai daripada alasan personal yang digunakan pada cara pertama. Cara kedua ini lebih sulit untuk dilakukan, namun keuntungannya, dengan cara ini kita dapat mengumpulkan informasi yang lebih lengkap.

Social engineering dapat dibagi menjadi dua tipe :

1.      Social engineering yang didasarkan pada sisi manusianya (human based social engineering)

2.      Social engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering)

Human based social engineering melibatkan interaksi antara manusia yang satu dengan yang lainnya. Sementara computer based social engineering bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.

Gartner Research mencatat bahwa ada enam sifat manusia yang dapat dimanfaatkan untuk melakukan proses social engineering:

·         Reciprocation (Timbal Balik)

Contoh: Kita cenderung untuk membeli suatu produk tertentu setelah diberikan sample gratis sebelumnya.

·         Consistency (Konsistensi)

Contoh: Pada saat kita sedang mengajukan suatu pertanyaan dan menunggu beberapa saat, orang yang ada di sekitar kita akan berusaha untuk mengutarakan suatu komentar atau berusaha untuk menjawab.

·         Social Validation (Validasi Sosial)

Contoh: Umumnya kita cenderung untuk mengikuti apa yang dilakukan oleh orang lain.

·         Liking (Kesukaan)

Contoh: Kita cenderung untuk mengatakan “ya” atau “setuju” kepada orangorang yang dekat dengan kita atau pada orang yang kita suka.

·         Authority (Kekuasaan)

Contoh: Kita cenderung untuk mengikuti atau menuruti anjuran atau saran dari orang yang memiliki kedudukan atau posisi yang cukup tinggi.

·         Scarcity (Kelangkaan)

Contoh: Kita cenderung lebih menghargai sesuatu atau menjadi lebih menginginkan sesuatu yang jarang ada atau langka di pasaran.
Human based social engineering dapat dikategorikan menjadi lima jenis :

·         Impersonation (Pemalsuan)

Contoh: Cracker menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan, kurir pengantar barang, dan sebagainya.

·         Important User (Menyamar sebagai orang penting)

Contoh: Cracker menyamar sebagai seorang yang memiliki kedudukan tinggi di perusahaan dan kemudian berusaha untuk meng-intimidasi karyawan atau bawahannya untuk mengumpulkan informasi dari mereka.

·         Third Party Authorization (Pemalsuan otorisasi)

Contoh: Cracker berusaha meyakinkan target atau korbannya untuk memberikan informasi yang diperlukan dengan mengatakan bahwa ia telah diberi otorisasi
penuh oleh seseorang untuk menanyakan hal tersebut.

·         Technical Support (Menyamar sebagai bagian technical support)

Contoh: Cracker menyamar sebagai salah satu dari tim teknisi dan berusaha mengumpulkan informasi dari korbannya.

·         In Person (Mendatangi langsung ke tempat korban)

Contoh: Cracker mendatangi langsung tempat atau lokasi korbannya untuk mengumpulkan informasi dari lokasi di sekitar tempat korbannya, antara lain dengan menyamar sebagai petugas kebersihan dan mencari atau mengumpulkan data/informasi dari tempat sampah yang ada di tempat korban (dumpster diving), atau berusaha melihat sekeliling pada saat user sedang mengetikkan password di komputernya (shoulder surfing).

Beberapa aturan yang dapat mencegah atau setidaknya mengurangi akibat atau kerusakan yang dapat terjadi pada human based social engineering adalah:

·         Semua pengunjung yang bukan karyawan internal dari perusahaan harus selalu dikawal selama berada di dalam perusahaan.\

·         Segera laporkan apabila secara tibatiba perusahaan Anda kedatangan tamu yang mengaku sebagai petugas kebersihan, atau siapa saja yang datang tanpa ada pemberitahuan terlebih dahulu. Periksa dengan teliti identitas mereka.

·         Kunci selalu ruangan tempat penyimpanan data atau peralatan penting, seperti server, pabx, ruang filing, dan sebagainya.

·         Buat daftar inventaris dari semua barang yang ada di dalam perusahaan. Lakukan pemeriksaan dan laporkan setiap kehilangan barang yang terjadi.

Computer based social engineering dapat dikategorikan menjadi empat jenis:

1.      Mail/IM (Instant Messenger Attachment)

Setiap karyawan umumnya sering atau setidaknya pernah menggunakan software e-mail atau instant messenger (chatting). Melalui fasilitas semacam itu seorang cracker dapat dengan mudah mengirimkan suatu file attachment berisi trojan, virus atau worm dengan tujuan untuk mengumpulkan data atau informasi dari komputer korban.

2.      Pop-Up Windows

Cracker dapat membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat
user sedang menggunakan komputer.

3.      Websites

Cracker dapat membuat suatu website tipuan untuk menarik user agar memasukkan alamat e-mail dan password pada saat mendaftar (register) untuk memperoleh
hadiah, misalnya. Biasanya password yang digunakan oleh kebanyakan user adalah sama dengan password yang digunakan di PC kantor.

4.      Spam Email

Cracker dapat mengirimkan e-mail berisi attachment yang mengandung virus atau trojan. Virus atau trojan ini dapat dimanfaatkan untuk mengumpulkan informasi
yang terdapat di komputer user (korban).

Reverse Social Engineering

Reverse social engineering merupakan suatu bentuk social engineering tingkat tinggi.Proses yang dilakukan merupakan kebalikan dari social engineering biasa. Pada reverse social engineering cracker berusaha menciptakan suatu situasi sedemikian rupa sehingga target atau korban akan berusaha untuk menghubunginya untuk meminta bantuan, bukan sebaliknya.

Contoh kasus, seorang cracker mengirimkan suatu virus kepada target korbannya sehingga komputer korban rusak terinfeksi oleh virus. Pada tahap ini, korban akan berusaha untuk mencari bantuan dan sang cracker menyamar sebagai seorang dari tim support yang berusaha memberikan bantuan. Target kemudian secara tidak sadar akan mengikuti semua perintah atau petunjuk dari cracker yang akan memudahkan cracker tersebut mengumpulkan informasi.