keamanan komputer Sosial Enginering

SOCIAL ENGINERING

“the strength of a chain depends on the weakest link”

PENDAHULUAN

Apa atau Siapakah “The Weaknes Link” dalam sistem jaringan komputer ? The Weaknes Link dalam sistem jaringan komputer adalah manusia walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak yang canggih penangkal serangan... seperti firewalls, anti virus, IDS/IPS, dan lain sebagainya, akan tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan tersebut tidak ada artinya.

Para kriminal paham betul akan hal ini, sehingga kemudian dia menggunakan suatu kiat tertentu yang dinamakan sebagai SOCIAL ENGINEERING !! yang digunakan untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.

Social Engineering adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial (Richardus Eko Indrajit, Prof.)

Atau dengan kata lain Sosial Engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara meng-eksploitasi kelemahan manusia. Macam – macam dari kelemahan manusia antara lain :

1.    Rasa Takut

Jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi atau penegak hukum lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan. Misalkan ketika atasan bertanya “ Mas, Saya minta tolong dikirimkan email dan password kantor kita sekarang bisa ? Tanpa Ba Bi Bu saya akan langsung bilang siap pak, Nggak pernah saya bertanya keperluannya untuk apa ya pak ?

2.    Rasa Percaya

Jika seorang individu dimintai data ataupun informasi dari teman baik, rekan sejawat, sanak saudara, atau sekertaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga;

3.    Rasa Ingin Menolong

Jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban perasaan korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi tanpa bertanya terlebih dahulu.

Social Engineering terdiri dari dua tipe seperti yang dipaparkan oleh Prof. Richardius Eko Indraji, yaitu :

1.    BERBASIS INTERAKSI SOSIAL

Tipe ini adalah memanfaatkan sebuah interaksin langsung antar manusia, sangat banyak interaksi yang dapat dilakukan oleh kriminal, seperti :

a.    Kedok sebagai User Penting

Disini kriminal menelepon help desk dari bagian divisi teknologi informasi dan mengatakan beberapa hal seperti berikut ini :

“Halo, di sini pak Baldric, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”

Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama direktur keuangannya adalah Baldric karena melihat dari situs perusahaan.

b.    Kedok sebagai User yang Sah

Dengan mengaku sebagai rekan kerja dari departemen yang berbeda misalkan contoh percakapan seperti ini :

Seorang wanita menelepon staf junior teknologi informasi sambil berkata :

“Halo, ini Arga ya? Ga, ini Ririh dari Divisi Marketing, kita satu grup waktu training dulu. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”

Sang junior yang tahu persis setahun yang lalu merasa berjumpa Ririh dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal yang mengaku sebagai Ririh mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor  telepon Arga diketahuinya dari Satpam dan/atau receptionist.

c.    Kedok sebagai Mitra Vendor

Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis misalkan sebagai berikut :

“Pak Mu’in, saya Candra dari CV Jaya Findo, yang membantu pembuatan Sistem Informasi Akademik di Perguruan Tinggi Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cuma-cuma. Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas canggih dari SIAKAD versi terbaru.”

Merasa mendapatkan kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa CV Jaya Findo dan nama-nama klien utamanya.

d.   Kedok sebagai Konsultan Audit

Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan pendekatan seperti percakapan dibawah ini :

“Selamat pagi pak Yus, nama saya Angga, auditor teknologi informasi eksternal dari CV. Jaya Findo, saya ditunjuk untuk melakukan validasi prosedur perusahaan. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”

Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja si pelaku tertawa terbahak-bahak dan dan merasa mendapat durian runtuh, karena mendengar bocoran kelemahan yang disampaikan oleh manajer TI tadi, sehingga mempermudah baginya untuk melancarkan serangannya.

e.    Kedok sebagai Penegak Hukum

Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya seperti :

“Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”

Tentu saja yang bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian identitas penelpon.

Menurut Prof. Richardius Eko Indrajit, karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah sebagai berikut:

1. Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat.
2. Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya.
3. Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia.
4. Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal.
5. Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam.
6. Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga;
7. Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga darinya;
8. Dengan menggunakan situs social networking – seperti facebook, myspace, friendster,dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;

2.    BERBASIS INTERAKSI KOMPUTER

Setelah kita membahas tipe social engineering yang melalui pendekatan langsung yaitu dengan interaksi sosial, sekarang kita akan membahas pendekatan secara tidak langsung, yaitu berbasis interaksi komputer. Macam – macam pendekatan berbasis komputer juga tidak kalah banyaknya dari pendekatan sebelumnya. Berikut ini kami paparkan beberapa pendekatan berbasis komputer, seperti :

a.    Teknik Phishing – melalui Email

Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:

           

“Pelanggan Yth.

Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami.

Wassalam,

Manajer Teknologi Informasi ”

Contoh surat diatas jika orang awam yang menerimanya, maka dia akan percaya saja dikarenakan penulisan suratnya sangat baku dan sangat meyakinkan, dan jenis penipuan seperti ini sangatlah banyak dijumpai oleh masyarakat. Para kriminal dapat mengetahui alamat email dari korban dengan melalui brosur, kartu nama, pamflet, mencari di internet dan lain sebagainya.

b.    Teknik Phishing – melalui SMS

Hampir semua orang dapat dipastikan memiliki telepon genggam, dan para kriminal memanfaatkan hal ini untuk melakukan social enginering, dan ini sangat banyak kita temui, misalkan :

“ PESAN RESMI

Berkat  isi ulang Paket Freedom Combo Indosat Ooredo NO.XV.2016 Nomor anda dapat Cek Tunai 15 Juta Rupiah

Pin Pemenang anda 25e477r, Untuk informasi lebih lajut, silahkan klik www.indosotooredoo.id/layananpemenang

Ketika sepintas kita melihatnya, tidak ada kejanggalan mengenai pesan diatas, tapi ketika kita lebih cermat kita akan melihat beberapa kejanggalan yang terjadi seperti, alamat url dari provider tidak seperti alamat url yang sebenarnya, akan tetapi apakah orang awam atau orang yang kurang waspada akan memperhatikan hal tersebut ? belum tentu demikian.

c.    Teknik Phishing – melalui Pop Up Windows

Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut :

“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”

Tentu saja para awam tanpa pikir panjang langsung menekan tombol bersihkan yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.

4. IVR/phone phishing

Tehnik ini menggunakan Interactive Voice Response (IVR) sistem yang menjiplak mesin penjawab bank atau institusi. korban dihubungi (biasanya lewat email phishing) untuk menelpon ke “bank” melalui nomor bebas pulsa dan memberikan informasi. Sistem tersebut mereject login beberapa kali untuk memastikan korban memasukan pin secara berulang-ulang, biasanya mendapatkan beberapa pasword berbeda. Sedangkan sistem yang lebih canggih akan menyambungkannya pada penyerang yang menyamar sebagai costumer service untuk bertanya. beberapa orang bahkan sampai merekam perintah umum (” tekan satu untuk merubah password, tekan dua untuk berbicara dengan costumer service ”) dan memainkannya secara berulang ulang, hingga membuat IVR seperti tanpa biaya sama sekali.

5. Trojan horse/gimmes

Gimmes mengambil keuntungan dari keingintahuan korban dengan mengirimkan malware. Gimmes juga sering dikenal sebagai trojan horse, contoh simple dari gimmes adalah “email bervirus” yang memiliki attachment dan menjanjikan apa saja yang wah dari screen saver seksi, antivirus upgrade atau bahkah gosip terkini.Dan ketika korban tergoda dan membuka sisipannya yang merupakan tombol untuk mengaktifkannya. ketika korban cukup naif untuk mendownload tanpa berfikir, teknik ini cukup efektif dan contoh simple yang mendunia adalah virus “ i love you “. Umumnya adalah sebuah program yang memberi akses dengan bersembunyi didalam software lain (spyware) atau berpura-pura menjadi sesuatu (copian gratis dari software terbaru). Prilakunya seperti legenda terkenal kuda troya (trojan horse) yang berisi penyerang didalamnya.

6. Road apple

Adalah variasi lain dari Trojan Horse yang menggunakan media fisik dan membuat rasa ingin tahu yang sangat besar. Dalam serangan road apple, penyerang meninggalkan malware dalam sebuah disket, cd atau flashdisk di lokasi yang sangat mungkin ditemukan (kamar mandi, lift, jalanan, dan tempat parkir) dengan memberikan label yang sangat membangkitkan rasa ingin tahu, dan setelah itu tinggal menunggu. Sebagai contoh, penyerang menciptakan sebuah cd dengan logo perusahaan, dan memberikan label “gaji pegawai eksekutif tahun 2008″ didepannya. Kemudian penyerang meninggalkan cd itu di lantai sebuah lift atau di lobby perusahaan target. salah satu pegawai sangat mungkin menemukannya dan kemudian membukanya untuk memuaskan rasa ingin tahunya. seorang pegawai yang baik tentu mengembalikannya ke perusahaan. dalam kasus ini memasukan cd untuk melihat isinya secara otomatis menginstal malware ke dalam komputer, yang memberikan penyerang akses ke dalam komputer korban, atau bahkan ke dalam jaringan perusahaan. Kecuali jika kontrol lain memblok infeksi tersebut. Di sini, PC dengan sistem autorun akan menjadi sasaran empuk ketika sebuah cd dimasukan.

7. Quid pro quo

Sesuatu untuk sesuatu attacker menelpon nomor secara acak mengaku dari sebuah perusahaan yang menelpon untuk masalah teknis. ketika mereka mendapatkan korban dengan masalah yang serius, mereka akan menelpon kembali dan penyerang akan “menolong” memecahkan masalahnya dengan memerintahkan korban mengetikan kode perintah yang dapet memberikan akses atau mengaktifkan malware.

TARGET KORBAN SOCIAL ENGINEERING

Para kriminal biasanya mereka melakukan serangan tidak ke sembarangan orang, akan tetapi mereka punya target – target tersendiri, berikut ini kami paparkan target – target dari social engineering menurut Prof. Richardius Eko Indrajit.

a.     Receptionist dan/atau Help Desk, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud

2. Pendukung teknis dari divisi teknologi informasi, khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan
4. Mitra kerja atau vendor perusahaan, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan
5. Karyawan Baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan

SOLUSI

Setelah panjang lebar kita membahas berbagaimacam polemik tentang social engineering yang terjadi, maka inilah beberapa tips atau solusi yang bisa dilakukan untuk menghindari resiko dari social engineering.

1. Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya PERILAKU “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan.
2. Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang tentunya yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan.
3. Banyak belajar Tentang Social Engineering dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.
4. Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi.
5. Memasukkan unsur-unsur keamanan informasi dalam Standar Prosedur Operasional (SOP) sehari-hari untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya. Misalnya “clear table and monitor policy”
6. Melakukan vulnerability analysis yaitu melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya.
7. Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi
8. Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”
9. Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi
10. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya.
11. melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.

DAFTAR PUSTAKA

Indrajit, Richardius Eko, Prof., “Seluk Beluk Teknik Social Engineering”

Aji, Kresno. “Social Engineering”

Huda, Solichul. “Pengamanan Sistem Komputer dari Model Social Engineering dengan Mengaktifkan Program Security  Awareness”

www.wikipedia.com, “Social Engineering (Security)”