Pengertian
Social
Engineering adalah sebuah teknik pendekatan yang memanfaatkan aspek-aspek
sosial di dunia komputer dan internet. Teknik ini biasanya digunakan untuk
mendapatkan data-data pribadi seseorang untuk keperluan yang negatif seperti
pencurian rekening bank, pencurian password, pencurian akun-akun tertentu atau
kejahatan teknologi yang berpotensi lainnya. Semua hal ini dilakukan oleh para
hacker dan sejenisnya. Para hacker memanfaatkan kelemahan suatu sistem yaitu
manusia, karena tidak ada sitem di dunia ini yang tidak melibatkan interaksi
manusia. Secanggih apapun teknologi internet tetap membutuhkan manusia,
kelemahan ini bersifat universal, tidak tergantung platform, sistem informasi,
protokol, software ataupun hardware. Intinya, semua sistem memiliki kekurangan
yang sama pada satu titik yaitu pada faktor sosial manusia.
Social
Engineering ini bisa terjadi karena banyak faktor, diantaranya adalah faktor kecerobohan
seorang user dalam mengelola passwordnya atau bisa juga seorang hacker
berpura-pura menajdi orang yang berkepentingan dalam sebuahsistem dan
seolah-olah memerlukan password, akses ke jaringan, peta jaringan, konfigurasi
sistem dan semacamnya untuk suatu keperluan tertentu. Masih banyak
faktor-faktor lainnnya yang semua itu merupakan diri manusia itu sendiri.
Contoh
lainnya adalah hacker berpura-pura sedang melakukan perbaikan sistem akun
perbankan dan mengirimkan informasi itu kepada para nasabah bank. Hacker
kemudian memerintahkan memasukkan data-data pribadinya untuk keperluan
tersebut. Hacker tentu saja berusaha untuk membuat percaya nasabah bahwa
informasi itu benar-benar dari kantor induk bank dengan melampirkan nama dan
alamat nasabah sehingga nasabah tertipu. Hackerpun kemudian bisa dengan mudah
mendapatkan password atau semacamnya karena nasabahlah yang menuliskannya
sendiri.
CONTOH
KASUS SOCIAL ENGINEERING
1. Pembajakan account Facebook
Berikut
contoh yang banyak terjadi di facebook, pembajakan account facebook. Penulis
menceritakan kejadian sebenarnya dengan mengganti nama korban sebagai Fulan.
Fulan
bekerja sebagai kepala sekolah di kota XYZ. Fulan menyadari bahwa facebooknya
dibajak disaat pagi hari ketika dia mencoba login. ternyata loginnya sudah
terkunci karena passwordnya sudah diubah oleh orang lain.
Pelaku
mempelajari karakteristik dari Fulan, mulai dari tempat bekerja, kehidupan
rumah tangga, kondisi keluarga, siapa yang menjadi teman pada facebooknya untuk
dijadikan korban. Lalu Pelaku membuat sebuah skenario berdasarkan orang-orang
yang menjadi teman pada facebook tersebut, disesuaikand dengan latar belakang
Fulan dan teman itu tadi. Diantaranya:
a. Pelaku yang mengaku sebagai Fulan
meminjam uang kepada saudara Fulan yang cukup kaya dan baik kepada fulan selama
ini. Dengan alasan Fulan dalam keadaan sedikit kesulitan saat ini, karena
anaknya baru saja sakit dan menginap di rumah sakit. Dari mana info itu
didapatkan? tentu dari status2 yang ada dari masing-masing korban.
b. Pelaku mengontak Partner bisnis fulan
yang cukup dekat selama ini. dst.
Beberapa
hal berikut mungkin bisa menjadi hikmah dari kelemahan Fulan dalam menggunakan
facebook:
• password yang digunakan oleh Fulan
mudah ditebak,
• password facebook sama dengan
password emailnya, sehingga ketika salah satu diketahui, maka facebook dan
emailnya pun dapat dibajak dengan mudah.
• anggota keluarga terlalu
menelanjangi kondisi keluarganya di status2 yang dituliskan di facebook.
2. Penipuan kartu kredit melalui telpon
dari CS
Ilustrasinya
adalah sebagai berikut. Korban menerima sebuah telepon dari seseorang yang
bersuara ramah dan mengaku sebagai Customer Service tempat bank kartu kredit
miliknya. Pada umumnya, mereka beralasan untuk melakukan survei. Umpama korban
bernama “Budi”, sedangkan penyerang sebut saja “Fiktif CS”. Berikut contoh
dialognya.
Fiktif
CS : Halo, selamat pagi. Bisa bicara dengan Bapak Budi?
Budi : Iya, saya sendiri. Ada yang bisa saya
bantu?
Fiktif
CS : Bapak Budi, kami dari card center Bank Kaya Raya Sejahtera ingin melakukan
survei mengenai kartu kredit bapak sebab kami akan melakukan kenaikan limit
untuk kartu kredit yang bapak miliki saat ini.
(Modus
tersebut bisa juga berupa perubahan sistem bank, menawarkan bonus/hadiah,
mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya,
meng-upgrade kartu menjadi Gold/Platinum).
Budi : O, iya silahkan.
Fiktif
CS : Tagihan Bapak Budi dialamatkan kemana?
Budi : Jl. Kesasar Gang Buntu No.13 Malang
sekali.
Fiktif
CS : Alamat tinggal Bapak Budi saat ini?
Budi : Jl. Uranium Niklir no.911
Fiktif
CS : Tanggal lahir bapak?
Budi : 17 Agustus 1945.
Fiktif
CS : Maaf Pak, nama ibu kandungnya?
Budi : Emak Guwe
Fiktif
CS : Tolong sebutkan 16 digit nomor kartu kredit bapak.
Budi : Tunggu sebentar ya, saya ambil dulu
dari dompet.
Fiktif
CS : Silahkan.
Budi : Halo, ini nomornya: 1234 5678 9012
3456.
Fiktif
CS : Tolong sebutkan 3 angka terakhir di belakang kartu Anda.
Budi : Kalo yang di belakang, 212.
Fiktif
CS : Kartu kredit bapak berlaku sampai kapan?
Budi : Desember 2015
Fiktif
CS : Baik Pak Budi, data Anda sudah cukup. Kartu kredit bapak akan segera kami
proses. Terima kasih atas waktunya.
Budi : Sama-sama.
Sepintas
percakapan ini biasa saja dan tak ada yang mencurigakan. Itulah teknik social
engineering untuk melakukan fraud/penyalahgunaan kartu kredit. Akibatnya, data
kartu kredit Pak Budi dimiliki orang lain.
Saat
billing tagihan datang di bulan berikutnya, ada transaksi yang besar. Padahal
Pak Budi tidak pernah melakukan transaksi itu. Dari percakapan telpon, limit
Pak Budi juga tidak naik. Baru Pak Budi sadar akan kelalaiannya. Dari
penjelasan ini, ternyata melakukan aktivitas carding bisa dilakukan dengan mudah
tanpa alat, hanya dengan modal nekat yaitu dengan teknik social engineering.
Tips
bagi pembaca untuk menghindari kejahatan Social Engineering:
- Selalu Hati-hati, jikalau bertemu dengan yang baru dikenal jangan asal percaya, dan jangan langsung membagi informasi pribadi begitu saja
- Belajar dari pengalaman orang lain, baik melalui buku, internet, acara tekevisi, dll
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat
- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya untuk mengurangi insiden-insiden yang tidak diinginkan.
Sumber
:
http://revanchy.blogspot.com/2013/09/contoh-kasus-social-engineering.html
http://triaalestarii.blogspot.com/2013/09/contoh-kasus-social-engineering.html
http://rizkadwimai.wordpress.com/2013/03/03/apa-itu-social-engineering/
Tidak ada komentar:
Posting Komentar