Notes

Materi Detektif - minggu ke 2 [8 Mar 2016]

SOCIAL ENGINEERING

Social Engineering atau Rekayasa Sosial adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia.

Teknik ini dipopulerkan oleh Kevin David Mitnick, seorang hacker legendaris yang sangat paham betul dengan sistem keamanan komputer dan jaringan yang dulu menjadi buronan FBI.

Ada 4 teknik dalam Social Engineering. Yang pertama adalah Social Engineering dengan melakukan hubungan telepon. Dengan melakukan sedikit trik seorang attacker yang berpengalaman akan mampu membuat pegawai yang menerima telepon mengucapkan username maupun passwordnya atau informasi lainnya yang dibutuhkan attacker. Biasanya pegawai yang bertugas di line depan seperti bagian informasi atau customer service yang menjadi sasaran empuk para attacker karena mereka akan selalu berusaha memberikan informasi yang diminta penelpon secepat mungkin agar bisa segera menerima penelpon berikutnya tanpa sempat memikirkan sesuatu yang dapat dilakukan oleh penelpon dengan informasi yang telah diberikannya. Atau bisa juga dengan langsung menelpon ke admin dan berpura-pura menjadi pegawai di perusahaan tersebut dan mengaku kehilangan catatan password-nya sehingga tidak dapat menyelesaikan pekerjaannya.

Baiklah, lanjut yang kedua. Dumpster diving atau juga disebut trashing adalah metode populer lainnya, yaitu attacker mengumpulkan informasi dengan memeriksa sampah perusahaan sasaran. Buku telepon akan memberikan petunjuk nama dan nomor orang-orang yang bisa dihubungi, kalender menunjukkan pekerja mana saja yang akan bertugas keluar kota pada saat tertentu, catatan kerja harian bisa dipelajari untuk dicari kelemahannya, dsb.

Yang ketiga, Koneksi Internet. Ketika seorang pekerja sedang melakukan koneksi Internet, tiba-tiba sebuah pop-up window keluar dan mengatakan bahwa koneksinya terputus dan untuk itu dia harus kembali menuliskan username dan passwordnya. Tanpa curiga pekerja tadi akan melakukannya dan semudah itu attacker mendapatkan informasi. Sebuah kesalahan yang sering dilakukan adalah orang cenderung untuk menggunakan password yang sama untuk berbagai layanan yang dimilikinya, misalnya untuk e-mail, messenger, ATM, dsb. Pengiriman e-mail juga sering dilakukan karena e-mail bisa membawa berbagai virus dan trojan.

Dan yang terakhir, menurut saya ini sedikit menarik. Melalui pendekatan Psikologi, seorang attacker bisa menggunakan langkah-langkah psikologis untuk mendapatkan informasi, yaitu dengan mengadakan sebuah ikatan emosional dalam tujuan mendapatkan kepercayaan. Lambat tapi pasti, begitu memperoleh kepercayaan setiap rahasia pun akan berada di tangannya. Nah jadi hati-hati untuk yang sering baper atau gampang baper, jangan gampang percaya kepada orang lain. Karena sakitnya kan 2 kali, sudah tertipu, perasaan kita pun tak terbalas. Ehh, abaikan yang terakhir.