SOCIAL ENGINEERING

Tidak ada manusia yang sempurna, dan social engineering mencoba menggali sebanyak mungkin kelemahan manusia.

Sebagian kasus pencurian account, sistem yang diambil alih, ataupun penetrasi malware pada sistem komputer, dapat terjadi karena korban terkecoh oleh social engineering, dan bagaimana ia dapat masuk, dan mengancam sistem ataupun informasi rahasia Anda??

Hacking pada Manusia

      Tidak hanya sistem atau mesin yang rawan menjadi kkorban hacking, manusia pun memiliki kmelemahan-kelemahan tertentu yang dapat dimanfaatkan oleh pihak yang memiliki itikad buruk. Dalam bidang keamanan komputer, teknik-teknik yang digunakan untuk mngelabui manusia agar membocorkan akses atau informasi rahasia disebut dengan social engineering.

      Selama mesin belum menjajah manusia, dalam arti manusia masih memiliki otoritas untuk mengoperasikan sistem, maka social engineering tetap menjadi ancaman serius. Seaman apapun sistem tersebut, jika sisi manusia yang memiliki hak otoritas dapat di-hack, maka sistem akan jatuh ke tangan dan kekuasaan yang salah.

      Sebagian orang mungkin meremehkan social engineering. Pikiran logis mengatakan bagaimana mungkin seseorang terkecoh dengan tipuan yang terkadang terlihat sederhana. Tetapi seorang security expert seperti Kevin Mitnick (yang juga mempopulerkan istilah social engineering adalah metode yang efektif.

Pola Kelemahan manusia

      Social engineering mempelajari kebiasaan dan tingkah laku yang dapat di-exploit. Pada berbagai kasus penipuan, sebuah pesan dalam bentuk email/sms atau lainnya, akan berusaha membujuk target dengan berbagai cara rekayasa. Beberapa contoh yang pernah mungkin kita temui: SMS yang berpura-pura menjadi orang tua dari penerima dan minta ditransfer pulsa, email yang berisi ajakan berinvestasi, telepon penawaran voucher gratis. Sekilas mungkin terlihat seperti usaha yang sia-sia dan kurang canggih, tetapi siapa yang tahu kondisi psikologi seseorang yang bisa saja mempengaruhi tindakannya??

      Sama halnya saat social engineering diaplikasikan di ranah security, misalnya metode social engineering yang berusaha memancing rasa penasaran dari ketertarikan orang dengan mengirimkan link disertai pesan berbau poronografi, provokasi, atau hal lainnya melalui client messenger/e-mail, yang sebenarnya  mengarahkan target untuk men-download malware yang akan menginfeksi system computer saat dijalankan.

      Contoh lain, sebuah malware dapat menyamar sebagai aplikasi antivirus palsu dengan membawa brand perusahaan terkenal dalam bidang keamanan, tetapi justru mencuri informasi berharga pada system computer target saat dijalankan. Usaha pencurian data kartu kredit dengan social engineering juga kerap kali membawa nama bank besar, dan dapat dating dari berbagai media komunikasi, seperti telepon, e-mail, dan lain-lain.

      Social engineering juga tidak selalu melakukan interaksi langsung dengan targetnya. Ia dapat mengumpulkan informasi dari ketidakwaspadaan Anda, misalnya mengorek tempat sampah untuk meneliti catatan yang telah dibuang (disebut dengan istilah dumpster diving). Teknologi internet juga memudahkan penyerang mencari informasi mengenai seseorang di search engine, jejaring social, mailing list, dan lainnya.

Social Engineering di Balik Teknologi

      Pada system computer, praktik social engineering semakin bervariasi dan berbahaya, karena dapat menggunakan teknologi itu sendiri sebagai tool, dan memanfaatkan ketidaktahuan pengguna pada kompleksitas sistem. Contoh: malware yang meniru icon atau nama file aplikasi popular, teknik phishing yang meniru website terpercaya, atau pharming (DNS cache poisoning) yang mengalihkan website tujuan ke website palsu.

      Contoh berikut menunjukkan social engineering menggunakan salah satu metode pharming, dengan melakukan modifikasi file hosts yang digunakan sistem operasi untuk memetakan host-name ke alamat IP. Jika file hosts (pada sistem operasi Windows berada pada folder WINDOWS/System32/drivers\etc) berisi baris berikut:

127.0.0.1   www.facebook.com 

        Maka saat browser diarahkan ke facebook.com, alamat akses akan dialihkan ke IP 127.0.0.1 (umumnya digunakan oleh localhost). Bayangkan jika IP 127.0.0.1 diganti dengan IP websitetiruan facebook.com yang terdapat script untuk menyimpan username dan password yang diketikkan, pengguna yang tidak sadar sedang mengakses malicious website akan menjadi social engineering. Usaha untuk memodifikasi file hosts dapat dilakukan penyerang melalui malware ataupun jika dimungkinkan, melakukan kontak fisik ke komputer target dengan memanfaatkan kesempatan yang direkayasa.

Pencegahan

        Dengan mengetahui metode-metode social engineering, kita dapat mencegahnya dengan meningkatkan pengetahuan dan kewaspadaan. Dua hal ini berkaitan erat. Kewaspadaan dapat meningkat jika Anda banyak mendapatkan pengetahuan mengenai isu dan risiko keamanan. Dalam lingkungan sebuah organisasi, prosedur dan kebijakan yang diiringi sosialisasi dan edukasi yang baik, dapat diterapkan agar setiap personel dalam lingkungan kerja memahami tujuan prosedur dan kebijakan itu sendiri.

      Pada perusahaan yang memiliki area yang memerlukan tingkat keamanan tinggi, diperlukan pencegahan serangan social engineering yang dapat terjadi secara langsung/fisik. Untuk ini dukungan teknologi dapat membantu, tentunya ditunjang manajemen yang baik. Contohnya penggunaan ID card tanpa terkecuali bagi siapapun yang keluar masuk ruangan/gedung. Tempat khusus untuk perlindungan pada dokumen penting, penggunaan CCTV, dan sebagainya.

      Peralatan canggih tidak berarti aman dari social engineering. Kebiasaan-kebiasaan seperti staff mana yang bertugas, kapan ruangan tertentu kosong, kapan tempat sampah dibersihkan, merupakan incaran untuk di-exploit akan membantu untuk menentukan strategi pencegahan yang wajar dan realistis. Keamanan tidak selalu identik dengan lingkungan yang terpenjara dan orang-orang yang selalu curiga, terutama bagian-bagian yang berinteraksi dengan pihak luar/customer (help desk, billing, dan lain-lain).

      Dalam ruang lingkup individu, Anda tidak harus menjadi seorang IT expert. Berpikir secara rasional akan banyak membantu menghalau serangan social engineering. Misalnya jika Anda hobi mengungkapkan curahan hati di blog, tentu memiliki konsekuensi orang yang tidak dikenal mengetahui banyak hal tentang Anda.

      Logikanya, Anda tidak perlu bersimpati dan merasa menemukan soulmate saat seseorang yang baru dikenal seakan memahami semua masalah Anda. Jika Google mampu menampilkan curhat Anda ke orang lain, maka akan membuat siapapun dapat melakukan social engineering dengan pendekatan persuasif.