Social Engineering : Techniques and Solutions
Security atau
keamanan adalah bergantung pada kepercayaan. Baik kepercayaan dalam hal
autentifikasi dan proteksi. Telah disetujui secara umum bahwa sebagai bagian
dari ikatan terlemah dalam sebuah rantai security, sifat natural seorang
manusia untuk mudah percaya perkataan orang lain membuat suatu celah dalam
keamanan. Tidak bergantung pada kekuatan keamanan sistem, melainkan semuanya
bergantung pada manusianya untuk tetap menjaga suatu perusahaan atau suatu
informasi tetap terjaga.
Target
Tujuan utama dalam
melakukan social engineering mirip dengan tujuan hacking secara garis besar,
yaitu untuk mendapatkan akses yang seharusnya tidak diperbolehkan ke dalam
suatu sistem atau informasi untuk melakukan penipuan, penyusupan, pengintaian,
pencurian identitas, atau untuk menghancurkan suatu sistem atau jaringan.
Biasanya target dari social engineering di bidang jaringan ini adalah provider
telepon, answering machine, perusahan besar, institusi keuangan, perusahaan
pemerintah, dan rumah sakit.
Mencari contoh nyata
social engineering cukup sulit. Perusahaan yang menjadi target tidak akan
mengakuinya karena akan menjadi hal yang melakukan untuk mengakui bahwa suatu
perusahaan memiliki celah pada karyawannya dan membuat reputasinya menjadi
buruk. Selain itu, kebanyakan serangan tidak terdokumentasi sehingga sulit
untuk menentukan apakah serangan tersebut adalah social engineering atau bukan.
Bertanya mengapa
suatu perusahaan atau organisasi menjadi target social engineering—baik,
seringkali cara yang lebih mudah untuk mendapatkan akses illegal adalah dengan
social engineering dibandingkan dengan berbagai bentuk hacking teknis. Lebih
mudah untuk mengambil telepon dan meminta seseorang untuk password daripada
mencoba beberapa teknik yang akan memakan waktu lama. Hal inilah yang ternyata
paling sering dilakukan oleh para hacker.
Serangan social
engineering dibagi menjadi dua, yaitu serangan fisik dan psikologis. Pertama
kita akan focus pada setting fisik penyerangan, seperti pada tempat kerja,
telepon, tempat sampah, dan bahkan online. Di dalam tempat kerja, hacker dapat
berjalan ke pintu, seperti pada film, dan berpura-pura menjadi pekerja
maintenance atau konsultan untuk mendapatkan akses ke dalam perusahaan.
Kemudian, penyusup masuk ke dalam kantornya sampai ia mendapatkan beberapa
password yang dapat terlihat dan mencoba masuk ke dalam jaringannya dengan
password-password yang telah ia dapatkan. Teknik lainnya adalah dengan
mendapatkan informasi hanya dengan berdiri di sana dan menunggu ada karyawan
yang tidak sadar menuliskan passwordnya.
Secara statistik, ada
5 (lima) kelompok individu yang kerap menjadi korban serangan social
engineering, yaitu :
- Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
- Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis;
- Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
- Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
- Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Kelemahan
Manusia
Semua hal di atas
dapat terjadi karena kelemahan manusianya dan bukan karena kelemahan sistemnya.
Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau
pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan
cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau
dengan kata lain social engineering adalah suatu teknik memperoleh
data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya
kelemahan manusia yang dimaksud misalnya:
- Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
- Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga; dan
- Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Teknik
Social Engineering
Secara garis besar
social engineering dapat dilakukan dengan beberapa macam teknik, seperti :
- Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan (sebuah dalih) yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
- Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
- Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
- Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
- Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
- Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
- Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.
Teknik-teknik ini
biasanya dilakukan dengan menggunakan skenario tertentu untuk dapat
mencapainya. Skenario-skenario tersebut akan dibahas setelah ini.
Skenario
Social Engineering
Pada dasarnya teknik
social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi
sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social
engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu,
atau mereka yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi
sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi
perusahaan. Modus operandinya sama, yaitu melalui medium telepon.
- Berlaku sebagai User penting
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
- Berlaku sebagai User yang sah
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Iwan diketahuinya dari Satpam dan/atau receptionist.
- Kedok sebagai Mitra Vendor
Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut: “Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cuma-cuma. oleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT Teknik Alih Daya Abadi dan nama-nama klien utamanya.
- Kedok sebagai Konsultan Audit
Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”. Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga mempermudah yang bersangkutan dalam melakukan serangan.
- Kedok sebagai Penegak Hukum
Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian identitas penelpon.
Sementara itu untuk
jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain
sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan
seperti :
- Teknik phising melalui email
Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:
“Pelanggan
Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank
ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon
disampaikan kepada kami nomor rekening, username, dan password anda untuk kami
perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini.
Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami. Wassalam, Manajer Teknologi
Informasi”
Bagaimana
caranya si penjahat tahu alamat email yang bersangkutan? Banyak cara yang dapat
diambil, seperti: melakukan searching di internet, mendapatkan keterangan dari
kartu nama, melihatnya dari anggota mailing list, dan lain sebagainya.
- Teknik phising melalui SMS
Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini:
“Selamat.
Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang
bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera
mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan
user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas
nama Manajemen Bank X mengucapkan selamat atas kemenangan anda…”
- Teknik phising melalui pop up
window
Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:
“Komputer
anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya,
tekanlah tombol BERSIHKAN di bawah ini.”
Tentu
saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang
akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer
terkait yang dapat dimasukkan virus atau program mata-mata lainnya.
Skenario
Lain
Berikut ini adalah
beberapa teknik lain yang dapat digunakan oleh hacker untuk melakukan social
engineering :
- Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat;
- Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya;
- Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;
- Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal;
- Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;
- Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga;
- Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga darinya;
- Dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;
- dan lain sebagainya
Solusi
Menghindari Resiko
Setelah mengetahui
isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara
menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang
biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset
informasi penting perusahaan, yaitu:
- Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan;
- Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
- Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” – untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang
dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu
pula melakukan sejumlah usaha, seperti:
- Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis);
- Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”;
- Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;
- Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi;
- Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya;
- Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.
No comments