Social Engineering, Sebuah Teknik Menyerang
Sistem Keamanan Komputer
Social Engineering dipopulerkan oleh
seorang hacker terkenal bernama Kevin Mitnick pada era tahun 1990-an. Social
engineering merupakan sebuah teknik mendapatkan informasi penting dari korban
dengan cara memperdaya korban dengan memanfaatkan kelemahan interaksi social
korban. Menurut Benz, social engineering adalah seni dan ilmu bagaimana
mendapatkan orang untuk memenuhi apa yang kita inginkan. Menurut Palumbo, social
engineering adalah sebuah trik psikologi yang digunakan oleh hacker dari luar
pada pengguna sah dari sebuah sistem komputer untuk mendapatkan informasi yang
dibutuhkan agar mendapatkan akses ke sistem komputer.
Pada
dasarnya, tujuan dari social engineering sama dengan hacking pada umumnya
mendapatkan aksses yang tidak di otorisasi ke dalam sistem atau informasi untuk
melakukan tindakan ilegal, penyerangan jaringan, mata mata industri, pencurian
identitas, atau menyerang sistem atau jaringan komputer. Umumnya, perusahaan
yang menjadi target adalah persuahaan persahaan besar seperti perusahaan
telekomunikasi, militer, lembaga pemerintah, lembaga financial, rumah sakit,
dan sebagainya.
Menurut
Sarah Granger, serangan melalui social engineering mempunyai dua level: secara
fisik dan secara psikologi. Serangan secara fisik dilakukan dengan berbagai
macam, seperti dating langsung ke tempat kerja, menggunakan telepon,
sampah-sampah, dan bahkan secara online. Pelaku dapat saja berpura-pura sebagai
pegawai maintenance gedung,
konsultan, dan bahkan pegawai perusahaan itu sendiri yang mempunyai akses
kedalam organisasi. Pelaku kemudian mencari password, memasang perangkat
penyadap di jaringan, dan sebagainya, dan kemudian menyerang sistem atau
jaringan dari luar. Cara lain adalah dengan cara memperhatikan pekerja yang
sedang memasukkan password kemudian mencuri password tersebut.
Menurut
Joan Goodchild, ada berbagai trik yang digunakan oleh penyerang dengan
memanfaatkankelemahan social korban. Beberapa diantaranya adalah berikut ini.
1.
Sepuluh
derajat pemisah
Salah satu cara untuk mendapatkan informasi dengan memanfaatkan social engineering
adalah dengan munggunakan telepon. Namun sebelum mendapatkan informasi penting
dari korban, pelaku akan terlebih dahulu mendapatkan informasi sepotong demi
sepotong sampai akhinya sampai ke korban. Informasi tersebut diperoleh satu per
satu dari orang-orang disekitar korban. Pelaku bisa saja bertanya terlebih
dahulu kepada petugas keamanan, petugas kebersihan, supir, bawahan, rekan
kerja, dan seterusnya hingga sampai pada korban. Menurut Sal Lifrieri, seorang
pensiunan New York City Police Depatement, kemungkinan ada sepuluh tahap yang
dilakukan oleh pelaku sebelum akhirnya sampai ke korban. Korban mungkin saja
orang kesepuluh yang didekati oleh pelaku.
2.
Mempelajari
bahasa perusahaan target
Setiap
organisasi memiliki budaya dan bahasa sendiri dalam
berkomunikasi dan memiliki istilah-istilah atau singkatan
singkatan yang digunakan ketika berkomunikasi satu dengan yang lainnya. Misalnya,
perusahaan kimia akan terbiasa berbicara dalam istilah-istilah obat-obatan, dan
sebagainya. Karena itu sebelum melakukan penyerangan, pelaku akan mempelajari
terlebih dahulu bahasa organisasi. Sehingga pada saat melakukan penyerangan,
korban akan mudah percaya karena pelaku berbicara dalam bahasa organisasi yang
dikenal akrab oleh korban.
3. Meminjam
musik “nada tunggu” perusahaan
Teknik
ini dilakukan dengan memanfaatkan musik
“nada tunggu telepon” yang digunakan organisasi. Sebelum
melakukan aksinya, pelaku terlebih dahulu menelpon organisasi, tujuannya agar
mendapatkan kesempatan untuk mendengarkan music “nada tunggu” perusahaan.
Pelaku kemudian merekam music “nada tunggu” tersebut dan digunakan untuk
mengelabui karyawan lain
Berikutnya,
pelaku akan menelpon karyawan yang
menjadi target. Ketika sedang menelpon, pelaku berpura-pura
ada telepon yang masuk ke linenya dan target disuruh menunggu. Pada saat
menunggu tersebut, pelaku memutar music “nada tunggu” yang sudah direkamnya.
Hal ini akan membuat target merasa pelaku menelpon dari internal perusahaan dan
merupakan peawai perusahaan. Sehingga, ketika diminta informasi penting yang
rahasia, target akan memberikan tanpa curiga.
4.
Menyamarkan
nomor telepon
Teknik ini
dilakukan dengan cara menyamarkan nomor
telepon yang digunakan untuk menelpon korban. Korban akan
melihat nomor telepon itu adalah nomor telepon dari dalam perusahaan atau
perusahaan yan dikenal, tetapi sebenarnya telepon berasal dari pelaku. Teknik
ini dapat mengecoh korban karena korban akan mengira bahwa telepon berasal dari
orang yang terpercaya. Bila korban menelpon balik ke nomor tersebut, maka
telepon akan disambungkan ke nomor yang benar. Karenanya, korban akan mudah
percaya dan memberikan informasi-informasi yang rahasia.
5. Menggunakan isu berita
Berita-berita
yang ada di surat kabar atau TV digunakan
pelaku untuk memperdaya korban. Sebagai contoh, jika berita
utama “adanya bank yang terkena likuidasi”, maka pelaku akan menelpon atau
mengirimkan email ke karyawan bank yang bersangkutan untuk memberikan
informasi-informasi penting yang rahasia.
6. Memanfaatkan kepercayaan pada website
jejaring sosial
Saat ini ada
banyak website jejaring sosial yang mempunyai
Banyak pengguna seperti Facebook, Myspace, Twitter dan
lain-lain. Para pengguna percaya kepada website tersebut. Kepercayaan itu
dimanfaatkan pelaku dengan cara mengirimkan email palsu kepada pengguna
jejaring sosial tersebutyang isinya bahwa website tersebut dalam perbaikan dan
mohon memperbaiki akun dengan mengeklik link yang disertakan. Ketika mengeklik
link tersebut, korban akan dibawa ke website palsu. Jika tidak sadar, Korban
akan memberikan informasi penting yang rahasia di website palsu tersebut.
7.
Memanfaatkan
kesalahan ketik
Ketika berselancar
di internet,seringkali orang salah ketik
alamat URL dan tidak terlalu teliti memperhatikannya. Pelaku
kemudian menyiapkan website palsu dengan alamat URL yang mirip dengan alamat
website aslinya. Akibatnya, ketika ada pengunjung yang salah ketik dan masuk ke
website palsu tersebut, secara tidak sadar akan memberikan informasinya yang
penting.
8.
Menyebarkan
berita bohong untuk mempengaruhi harga saham
Teknik ini dilakukan dengan cara
menyebarkan berita bohong yang dapat mempengaruhi harga saham perusahaan.
Sebagai contoh, informasi tentang kesehatan Bill Gates akan dapat membuat harga
saham Microsoft turun. Pelaku akan membeli sejumlah saham dari perusahaan
tertentu, kemudian mengirimkan email yang berisi isu yang dapat membuat harga
saham perusahaan tersebut akan naik, misalnya isu bahwa perusahaan tersebut
akan dibeli oleh perusahaan yang lebih besar. Ketika orang banyak termakan isu
tersebut, maka orang akan memburu saham perusahaan bersangkutan dan harga
sahamnya akan naik secara drastis. Pada saat harga saham naik, maka pelaku akan
melepas sahamnya.