Social Engineering Dalam Dunia Cybercrime

 

>> Social Engineering dan Cybercrime

Social Engineering (Rekaya Sosial) adalah sebuah teknik pendekatan yang memanfaatkan aspek-aspek sosial melalui telepon, komputer dan internet. Teknik ini biasanya digunakan untuk mendapatkan data-data pribadi seseorang untuk keperluan yang negatif seperti pencurian rekening bank, pencurian password, pencurian akun-akun tertentu atau kejahatan teknologi yang berpotensi lainnya.

Social engineering berkonsentrasi pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.

Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda cracking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri (mengumpulkan data- data target).[1]

Social engineering di definisikan dalam berbagai bentuk seperti “seni dan ilmu memaksa orang untuk memenuhi harapan anda”(Bernz 2), “suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer” (Palumbo), atau “mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem” (Berg).[2]

Dalam kenyataannya, social engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana anda duduk atau mengambil posisi. Satu hal yang kelihatan disetujui semua orang adalah bahwa social engineering umumnya suatu manipulasi cerdas tentang tendensi kemanusiaan natural yang dipercaya dari seorang. Tujuan cracker adalah untuk mendapatkan informasi yang akan mengizinkan dia untuk mendapatkan akses yang tak terotorisasi (tak legal) pada sistem yang diinginkan dan informasi yang berlokasi pada sistem itu.

Bruce Schneier, penulis Secrets & Kebohongan: Keamanan Digital dalam Jaringan Dunia, mengingatkan kita bahwa rekayasa sosial, alias "serangan sosio-teknis" adalah benar-benar semua tentang aspek manusia, dan itu berarti kepercayaan.[3]

Security adalah segala hal yang berkaitan dengan kepercayaan. Kepercayaan adalah perlindungan dan otentisitas. Umumnya disetujui sebagai jalinan paling lemah dalam alur keamanan, kemauan manusia yang natural untuk menerima kata-kata seseorang meninggalkan hal-hal yang rentan diserang. Banyak ahli security yang berpengalaman menekankan fakta ini. Tak jadi soal banyaknya artikel yang telah diterbitkan tentang firewall, belang (patches), dan lubang-lubang jaringan, kita hanya bisa mengurangi ancaman sebanyak mungkin.

Kejahatan dunia maya (Inggris: cybercrime) adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan. Termasuk ke dalam kejahatan dunia maya antara lain adalah penipuan lelang secara online, pemalsuan cek, penipuan kartu kredit/carding, confidence fraud, penipuan identitas, dll. Kejahatan-kejahatan tersebut kerap kali menggunakan teknik social engineering (rekayasa sosial).[4]

>> Teknik Social Engineering 

      Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :

• Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
• Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidang transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
• Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
• Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
• Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
• Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para cracker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan cracker akses besar pada perusahaan tersebut.
• Persuasion : Persuasion lebih disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.

Teknik-teknik ini biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat mencapainya.

>> Skenario Social Engineering

Skenario social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer.

Untuk skenario dengan basis interaksi sosial, ada beberapa modus skenario, antara lain: 

• Berlaku sebagai User penting, 
• Berlaku sebagai User yang sah, 
• Kedok sebagai Mitra Vendor, 
• Kedok sebagai Konsultan Audit, 
• Kedok sebagai Penegak Hukum,
• Dan lain sebagainya.

Sementara untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti :

• Teknik phising melalui email, 
• Teknik phising melalui SMS, 
• Teknik phising melalui pop up window dan lainnya.[5]

>> Faktor yang Mempengaruhi Social Engineering

Predikat negara berkembang membuat metode ini mudah dan terasa tepat diaplikasikan ke masyarakat dikarenakan mulai terbukanya segala akses informasi bagi sebagian masyarakat dan disisi lain kurangnya pengetahuan masyarakat akan  hal tersebut sehingga mudahnya dalam memberikan informasi kepada orang lain untuk disalah gunakan.

Dengan banyaknya pengguna alat telekomunikasi dan kemudahan untuk mendapatkannya, menjadikan celah terbesar untuk melakukan rekayasa sosial seperti penipuan melalui sms, media jejaring sosial, konten web, email,dll. Dikarenakan masuknya sifat budaya asing seperti ingin pamer atau unjuk diri dengan bangga mencantumkan biodata asli yang dapat disalahgunakan oleh orang lain yang melihatnya.

Minimnya penyerapan informasi masyarakat terhadap dampak rekayasa sosial yang membuat mereka sering terkena dampak negatifnya seperti seringnya kasus penipuan via Website yang mengatasnamakan program pemerintah yang pada faktanya tidak melibatkan aparat.

Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau kecerobohan seorang user dalam mengelola passwordnya (user menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudah memberikan akses kepada rekan kerja atau bahkan kliennya). Hal ini dapat menyebabkan seorang cracker memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.

Atau bisa juga cracker berpura-pura menjadi orang yang berkepentingan dalam sebuah sistem dan meminta akses kepada salah satu user yang ceroboh tersebut (seperti memerlukan password, akses ke jaringan, peta jaringan, konfigurasi sistem dan semacamnya) untuk suatu keperluan tertentu.

Membuang sampah yang tidak berguna bagi kita juga dapat menjadi faktor terjadinya social engineering, Misal: slip gaji, slip atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa dimanfaatkan orang lain.

Berdasarkan Methods of Hacking: Social Engineering, makalah yang ditulis oleh Rick Nelson, tiga bagian serangan-serangan social engineering adalah sabotase, iklan, dan assisting. cracker men-sabotase suatu jaringan, menyebabkan suatu masalah muncul. Cracker itu kemudian mengiklankan bahwa dia adalah orang yang tepat untuk mengatasi permasalahan, dan kemudian, ketika dia datang untuk mengatasi masalah, dia mensyaratkan jumlah tertentu informasi dari para pekerja dan mendapatkan apa yang benar-benar ia inginkan. Mereka tidak pernah tahu bahwa tu adalah cracker, karena permasalahan jaringan mereka telah selesai diperbaiki dan setiap orang menjadi bahagia.[6]

>> Target (Korban) Social Engineering

Tentu saja tidak ada artikel social engineering yang lengkap tanpa menyebutkan Kevin Mitnick. Kevin Mitnick, security profesional dan salah satu hacker komputer yang paling kontroversial di akhir abad ke-20 yang merupakan kriminal komputer yang paling dicari di Amerika, dalam bukunya The Art of Deception, lebih jauh menjelaskan bahwa orang-orang inheren ingin membantu dan oleh karena itu mudah ditipu. Dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atau tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang yang berpura-pura, akan membuat dia dipuji atau mendapat kedudukan yang lebih baik. 

Menurut studi dari data, secara statistik, ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :

• Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan yang dimaksud,
• Pendukung teknis dari divisi teknologi informasi, khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis,
• Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan,
• Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan, dan
• Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.

>> Cara Menanggulangi

Langkah yang diperlukan untuk menanggulanginya yaitu :

a. Mengutamakan kewaspadaan prosedur untuk menjaga keamanan dan data informasi,

b. Buatlah sebuah prosedur yang dapat mengeliminasi pertukaran password dan username dalam segala proses,

c. Hindarilah penggunaan pertanyaan untuk petunjuk password karena ini juga dapat digunakan para cracker sebagai petunjuk untuk melakukan hack terhadap password

d. Gunakanlah password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan,

e. Jika memungkinkan hilangkan semua elemen manusia pada titik-titik yang penting untuk dijaga keamanannya, seperti misalnya menggunakan sistem token password yang dapat meng-generate nomor acak sebagai password, biometric, smard card, sistem location-based authentication,

f. Selalu berhati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di  dunia maya dengan tidak langsung percaya dengan orang yang baru dikenal dan tidak membagi informasi  pribadi begitu saja,

g. Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat,

h. Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan,

i. Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering,

j. Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua pegawai melaksanakannya,

k. Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya  seperti mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”, dan masih banyak lagi.[7]

Referensi:

-   Agustianingsih25. “Social Engineering Makalah”.  May 20,  2013. https://kelompokpertama4g.wordpress.com/2013/05/20/social-engineering-makalah/

-          Granger, Sarah. “Social Engineering Fundamentals, Part I: Hacker Tactics”. ‘symantec’. December 18, 2001. http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics

-     Granger, Sarah. “Social engineering reloaded”. ‘symantec’. March 14, 2006. http://www.symantec.com/connect/articles/social-engineering-reloaded

-         Husnantiya, Muamaroh. “Social Engineering, Celah yang Terbentuk dari Kelemahan Manusia”.  June 17, 2012. http://x4-kingdom.blogspot.co.id/2012/06/social-engineering-celah-yang-terbentuk.html

-           Para kontributor Wikipedia, "Kejahatan dunia maya," Wikipedia, Ensiklopedia Bebas, https://id.wikipedia.org/w/index.php?title=Kejahatan_dunia_maya&oldid=8385318 (diakses pada September 25, 2015).

-           Para kontributor Wikipedia, "Social engineering (keamanan)," Wikipedia, Ensiklopedia Bebas, https://id.wikipedia.org/w/index.php?title=Social_engineering_(keamanan)&oldid=8252482 (diakses pada September 25, 2015).

---

[1] Para kontributor Wikipedia, "Social engineering (keamanan)," Wikipedia, Ensiklopedia Bebas, https://id.wikipedia.org/w/index.php?title=Social_engineering_(keamanan)&oldid=8252482 (diakses pada September 25, 2015).

[2] Granger, Sarah. “Social Engineering Fundamentals, Part I: Hacker Tactics”. ‘symantec’. December 18, 2001. http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics

[3] Granger, Sarah. “Social engineering reloaded”. ‘symantec’. March, 14 2006. http://www.symantec.com/connect/articles/social-engineering-reloaded

[4]Para kontributor Wikipedia, "Kejahatan dunia maya," Wikipedia, Ensiklopedia Bebas, https://id.wikipedia.org/w/index.php?title=Kejahatan_dunia_maya&oldid=8385318 (diakses pada September 25, 2015).

[5] Husnantiya, Muamaroh. “Social Engineering, Celah yang Terbentuk dari Kelemahan Manusia”.  June 17, 2012. http://x4-kingdom.blogspot.co.id/2012/06/social-engineering-celah-yang-terbentuk.html

[6] Granger, Sarah. “Social Engineering Fundamentals, Part I: Hacker Tactics”. ‘symantec’. December 18,  2001. http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics.

[7] Agustianingsih25. “Social Engineering Makalah”.  May 20,  2013. https://kelompokpertama4g.wordpress.com/2013/05/20/social-engineering-makalah/

Read More