SOCIAL ENGINEERING:ancam keamanan komputer

10.9.09 by curie loho
Senjata dan musuh yang paling berbahaya bagi manusia adalah manusia itu sendiri. Pernyataan ini tampaknya cukup mengena untuk menggambarkan bagaimana berbahayanya ancaman keamanan jaringan dan data yang bernama Social Engineering.


Halo selamat siang, dengan customer support ada yang bisa dibantu,” seorang staf customer support menjawab telepon. “Halo saya mau tanya mengenai account internet suami saya, di mana ya alamat yang digunakan untuk mendaftar account tersebut,” penelepon menjawab. “Bisa minta nomor customer-nya Bu,” sang customer support membantu. “Oh saya juga lupa, tetapi saya tahu e-mail-nya, testing123@abcd.com. Cepat ya Mas saya agak terburu-buru nih sudah diminta sama suami saya,” timpal sang penelepon. Tanpa rasa curiga sang customer support langsung memberikan alamat lengkap dari pelanggannya tersebut berikut dengan nomor teleponnya. Dan sesi peneleponan pun berakhir.


Pada minggu berikutnya datanglah seorang customer dengan beberapa pengacara ke kantor penyedia jasa tersebut. Ia melaporkan bahwa dirinya telah dicemarkan nama baiknya, telah dirusak rumah tangganya, dan telah difitnah oleh seorang wanita. Apa hubungannya wanita tersebut dengan penyedia jasa tadi? Ternyata wanita tersebut mendapatkan informasi alamat dan nomor telepon customer tadi dari sang customer support yang diteleponnya minggu kemarin.


Semua berasal dari alamat e-mail yang didapatnya dari halaman “friendster” milik customer tersebut. Rupanya saking kagumnya sang wanita kepada customer tadi, maka dicarilah alamat lengkapnya, dan sayangnya pihak penyedia jasalah yang memberikan informasi tersebut. Informasi yang seharusnya menjadi rahasia perusahaan dan privasi dari sang customer akhirnya dapat dengan mudah diberikan oleh staf customer support tadi kepada orang yang tidak berhak.


Pada akhirnya, pihak penyedia jasa tersebut dituntut oleh sang customer dan memang terbukti kesalahan ada pada pihak penyedia jasa. Sampai di sini Anda sudah melihat salah satu contoh cerita fiksi dari pembobolan celah keamanan data dan informasi pribadi dengan menggunakan metode Social Engineering. Bukan hanya kejadian yang terbilang cukup sepele ini saja yang merupakan contoh dari keberhasilan social engineering, data yang lebih penting pun banyak sekali yang bisa didapat dengan menggunakan teknik ini. Firewall secanggih apapun, setebal apapun lapisan keamanan Anda pada server atau perangkat jaringan, tidak akan bisa memblokir serangan yang satu ini. Karena musuh yang dihadapinya bukanlah virus, script, trojan, backdoor, adware, spyware, keylogger, dan lain sebagainya, melainkan adalah manusia itu sendiri.


Tekniknya pun sangat bervariasi dan bermacam-macam, tidak hanya melalui telepon saja. Mungkin saja melalui e-mail, surat, suara, file, dan banyak lagi. Tanpa dapat dideteksi oleh mesin manapun dan tanpa dapat diblok oleh firewall jenis apapun, social engineer dapat menembus hingga ke data yang sangat penting.


Apakah Sebenarnya Social Engineering?
Apa sih arti sebenarnya dari social engineering itu? Bagaimana teknik ini bisa begitu hebat dalam menjebol keamanan informasi dan data Anda? Sebenarnya teknik social engineering tidak lain dan tidak bukan adalah sebuah teknik menipu manusia lain. Tujuannya adalah untuk mendapatkan sesuatu yang diinginkannya. Tidak hanya berupa uang atau harta benda saja, melainkan banyak hal seperti misalnya informasi, kekuasaan, kemenangan, dan banyak lagi.


Aktivitas social engineering dalam dunia TI juga tidak terlepas dari memanipulasi manusia yang berinterksi dengan komputer dengan menggunakan kombinasi dari berbagai teknik seperti memata-matai, mencuri, berbohong, memutar balikkan fakta, dan banyak lagi.


Pelaku penyerangan dengan menggunakan social engineering biasanya tidak memerlukan seperangkat alat-alat canggih atau software yang dapat memecahkan kode-kode sulit. Yang diperlukan dalam proses penyerangan ini adalah pemahaman akan kondisi psikologis dari targetnya, dan tentunya juga kepandaian berbicara.


Siapakah Target Penyerangan dengan Social Engineering Ini?
Yang menjadi target untuk pengganggu keamanan jenis ini sudah barang tentu adalah manusia. Orang-orang yang memiliki sesuatu yang berharga yang dibutuhkan oleh penyerangnya tentulah merupakan target utama. Dalam dunia TI orang-orang yang memiliki informasi penting, baik di kepalanya maupun di komputernya adalah target utama dari social engineering. Tujuannya adalah untuk mengumpulkan informasi penting tersebut namun bukan dari komputernya, melainkan langsung dari penggunanya.


Apa yang Biasanya Dilakukan oleh Penyerang?
Mengumpulkan informasi-informasi penting dari orang lain dapat berupa apa saja. Misalnya mendapatkan informasi login dan password untuk masuk ke dalam intranet perusahaannya, menipu pengguna untuk membuka e-mail yang berisi backdoor untuk kemudian disinggahi oleh para hacker, mencuri data konvidensial seperti misalnya strategi marketing, produk baru, dan banyak lagi. Data ini tentu akan sangat berharga sekali bagi orang yang membutuhkannya kelak.


Bagaimana Seseorang Dapat Melakukan Social Engineering?
Para hacker atau penjahat keamanan data yang melakukan social engineering biasanya pandai dalam hal mengerti sifat dan kebiasaan manusia. Selain itu, juga kemampuan untuk membujuk orang lain untuk memberikan informasi merupakan modal dari para hacker jenis ini. Membujuk atau persuasi tersebut sendiri sebenarnya hampir dapat dikategorikan sebagai sebuah seni dan kemudian dipadukan dengan kemampuan teknologi pada kasus social engineering ini.


Sebuah penelitian menunjukan bahwa kebanyakan manusia memiliki beberapa sifat yang cenderung dapat dieksploitasi dengan mudah dengan menggunakan teknik-teknik manipulasi tertentu. Akhirnya dengan menerapkan teknik ini pada manusia tersebut, positif respon akan didapatkan darinya. Dan yang sangat disayangkan banyak juga manusia di antara Anda yang dianugerahi kemampuan dan bakat untuk memanipulasi secara alami, dan tidak sedikit juga yang mempelajarinya untuk tujuan positif maupun negatif.


Para hacker social engineering kebanyakan menggunakan beberapa pendekatan yang hampir sama untuk mendapatkan respon dari target yang sesuai dengan keinginannya. Contoh-contoh pendekatan tersebut adalah sebagai berikut:


Ketakutan akan kehilangan pekerjaan atau takut menderita karena malu. Biasanya jika seseorang telah berada dalam kondisi ini, maka informasi pribadi yang penting dapat terlepas begitu saja. Setelah memberikan informasi, korban ini akan berharap untuk dapat terlepas dari kondisi yang buruk ini.
Gengsi, kemewahan, harga diri, dan status dapat merangsang sebuah tindakan membual yang akhirnya akan menyebabkan banyak korban menjadi lengah dan akhirnya melepaskan informasi rahasia yang dimilikinya.
Para pekerja yang kelebihan beban kerja dan kelelahan dapat dengan tidak sengaja membuat kesalahan. Dan biasanya celah ini dapat dengan mudah dideteksi oleh para hacker yang ingin memanipulasi keadaan ini, seperti contohnya pada saat makan siang, saat akhir pekan, dan banyak lagi.
Beberapa sifat dasar manusia yang dapat mendukung terjadinya proses social engineering dengan mudah adalah terdiri dari enam jenis. Enam sifat tersebut adalah sebagai berikut:


1. Reciprocation (Timbal Balik)
Rasa timbal balik merupakan sifat dasar manusia yang dapat dieksploitasi. Tidak hanya untuk kepentingan social engineering, untuk kepentingan marketing sifat ini pun sering kali digunakan dan kebanyakan berhasil. Biasanya jika seseorang telah memberikan sebuah umpan kepada targetnya, maka banyak di antara target tersebut yang tertarik oleh umpan tersebut. Tertariknya dapat disebabkan berbagai alasan. Salah satunya karena rasa timbal balik ini.


Contoh yang paling konkret adalah Anda jadi membeli selusin minuman energi di supermarket hanya karena Anda diberikan satu botol free sample dari minuman tersebut. Sering kali hal ini bukan disebabkan karena rasanya yang enak, melainkan karena ada rasa timbal balik yang harus diberikan. Yang memaksa rasa timbal balik ini pun dapat berasal dari berbagai sebab seperti misalnya malu karena sudah menerima free sample, mau mencoba lebih detail, memang rasanya yang disuka, dan banyak lagi. Dari dasar-dasar inilah akhirnya positif respon diberikan oleh target dari social engineering. Meskipun tidak semuanya berhasil, namun persentasenya masih lumayan tinggi biasanya.


2. Consistency (Konsistensi)
Sikap dan respon manusia terhadap beberapa kejadian yang dialaminya terkadang konsisten dari manusia satu ke manusia lainnya. Misalnya ketika Anda mengajukan sebuah pertanyaan dan kemudian menunggu jawabannya, kebanyakan orang pasti akan merasakan kalau dirinya sedang ditunggu. Sifat-sifat yang mudah ditebak seperti inilah yang dapat digunakan oleh para hacker untuk mengeksploitasi targetnya. Cukup banyak sifat manusia yang konsisten dan mudah di tebak, asalkan para ekploiternya dapat memanipulasi dengan cermat pastilah iya akan mendapatkan apa yang diinginkan dari manusia tersebut.


3. Social Validation (Validasi Sosial)
Social validation merupakan sifat manusia yang sepertinya hampir mendekati bawah sadar atau reflek karena terkadang kita sendiripun tidak menyadari akan melakukan hal tersebut. Sifat social validation merupakan sifat meniru perbuatan seseorang yang dilakukan secara refl eks yang sering kali tidak disadari. Sifat mengekor orang ini sebenarnya juga didasari oleh rasa ingin tahu manusianya yang besar akan suatu hal.


Contoh yang paling sering kita jumpai dan alami sendiri adalah kejadian di jalanan. Ketika ada seseorang yang melihat ke satu arah dengan amat serius, maka secara reflek Anda juga pasti akan melihat ke arah yang sama dengan orang tersebut. Hal ini dikarenakan rasa ingin tahu Anda yang sangat besar. Dan juga didorong oleh sifat dasarnya yaitu cenderung mengikuti atau social validation ini. Contoh lain yang sering juga terjadi adalah efek tularan tawa. Jika ada satu orang tertawa dalam sebuah lift yang penuh sesak, meskipun tidak saling kenal mungkin saja pada akhirnya mereka akan tertawa bersama-sama.


Sifat manusia yang seperti ini dapat juga dieksploitasi oleh orang-orang tertentu. Dengan didasari oleh sifat mengekor, para hacker dapat mengirimkan surat berantai atau pesan singkat pada Yahoo!Messenger untuk disebarluaskan kepada orang lain. Karena banyak yang melakukan hal tersebut, lama-kelamaan yang tadinya tidak percaya akan isi dari pesan tersebut lama-lama menjadi percaya juga. Pada akhirnya orang tersebut akan terpengaruh untuk mengekor pengiriman email berantai atau pesan Yahoo!messenger tersebut.


Mungkin sebagian dari Anda berpikir apa hubungannya pesan berantai dan pesan Yahoo!messenger dengan keamanan jaringan data Anda. Mungkin para pelakunya tidak bisa mendapatkan data penting dari targetnya. Namun jika targetnya sangat banyak, maka ia sudah hampir berhasil membuat sebuah server yang melayani pengiriman pesan tersebut down. Karena jumlah pesan yang dikirimkannya terus dan terus bertambah, akhirnya kekuatan dari server tersebut teruji juga. Sampai pada batasnya, maka server tersebut akan berhenti bekerja juga.


4. Liking (Kesukaan)
Kebanyakan manusia akan mengatakan kata “ya” atau dengan kata lain setuju pada apa yang mereka sukai. Perlakuan manusia yang seperti ini berlaku pada semua benda dan semua kejadian yang terjadi di muka bumi ini. Salah satu yang paling menonjol adalah sifat suka pada orang-orang yang atraktif, misalnya orang-orang yang cantik, yang dianggap hebat, yang berprestasi, dan banyak lagi.


Atas dasar sifat yang satu inilah terkadang para hacker dapat mengeksploitasi Anda para manusia. Dengan memberikan sebuah umpan yang disuka oleh Anda, maka dengan mudahnya Anda membeberkan informasi pribadi yang sangat rahasia. Cara seperti ini tergolong sangat mudah dilakukan dan tingkat keberhasilannya cukup tinggi.


Sifat manusia seperti ini tidak hanya dimanfaatkan oleh para hacker saja, para marketer pun sering memanfaatkan sifat yang satu ini. Misalnya melakukan promosi dengan memasang wanita-wanita cantik dan seksi di depan counter, atau memberikan hadiah-hadiah menarik jika Anda membeli beberapa produk mereka, dan banyak lagi.


5. Authority (Otoritas)
Hampir semua orang percaya bahwa jika para ahli dalam suatu bidang yang mengeluarkan pendapat, maka pastilah benar adanya. Para ahli tersebut dianggap seperti pemegang otoritas atau kekuasaan penuh akan pemutusan benar atau salahnya sesuatu. Sifat manusia yang satu ini memang tidak bisa disalahkan karena biasanya kepada siapa lagi mereka akan percaya kalau bukan pada ahlinya atau dengan kata lain orang yang memiliki otoritas.


Namun lagi-lagi hal ini bisa dieksploit juga, dengan mengatasnamakan para ahli, mereka dapat mengelabui dengan mudah para targetnya, apalagi yang tidak tahu apa-apa sama sekali. Misalnya seorang yang mengaku teknikal support dari sebuah ISP meminta username dan password login internet banking Anda untuk diamankan lebih lanjut. Jika orang yang baru mengerti dalam bidang ini tentu akan percaya bahwa seorang technical support itulah ahlinya. Tentu saja pada akhirnya ia sadar bahwa telah tertipu mentah-mentah oleh karena kepercayaannya yang berlebih pada orang yang memiliki otoritas.


6. Scarcity (Kelangkaan)
Sifat dasar manusia yang satu ini memang paling terasa efeknya ketika terjadi. Sifat takut akan kekurangan atau kelangkaan dari sesuatu akan mengakibatkan berbagai hal pada diri manusia, baik itu hal negatif maupun juga hal positif. Paling tidak ada respon yang cukup signifi kan dari adanya sifat ini pada manusia.


Takut akan kehabisan cadangan makanan, takut akan kehabisan uang, takut akan kehabisan bahan bakar, takut akan kehilangan pekerjaan yang susah dicari, semua itu adalah ketakutan akan kekurangan atau kelangkaan dari sesuatu. Dan setelah menjadi takut, maka manusia lebih mudah dieksploitasi. Misalnya Anda diancam akan kehilangan pekerjaan yang Anda cintai jika tidak memberikan username dan password dari internet banking Anda, atau jika tidak melakukan suatu hal maka pasokan makanannya akan dihentikan, dan banyak lagi contoh lainnya.


Pada akhirnya manusia akan melakukan segalanya untuk menghindari rasa takut akan kelangkaan atau kekurangan tersebut. Salah satunya adalah dengan memberikan informasi berharga yang diketahuinya. Mudah sekali mengeksploitasinya bukan.


Bagaimana Langkah-langkah Melakukan Social Engineering?
Melakukan social engineering yang notabene hampir sama seperti penipuan biasa juga terdiri dari beberapa step proses. Proses-proses tersebut adalah sebagai berikut:


1. Information Gathering
Proses social engineering yang paling pertama dilakukan adalah mengumpulkan informasi. Para penyerang tersebut memiliki beribu-ribu variasi cara untuk mengumpulkan informasi dari targetnya. Proses ini dapat dilakukan dengan sesederhana mungkin seperti misalnya mengumpulkan informasi dari list telepon, ataupun sampai yang paling sulit dan detail sepertu nomor-nomor jaminan sosial, username password sebuah halaman site, dan banyak lagi.


Proses pengumpulan data ini dapat dijadikan basis untuk membangun hubungan dengan orang lain yang menjadi targetnya. Bahkan setelah Anda mengenal target terkadang informasi secara detail akan datang dengan sendirinya. Semuanya tergantung pada siapa target Anda.


2. Develompent of Relationship
Adalah sifat manusia yang paling mendasar untuk dapat mempercayai seseorang. Namun apa jadinya jika sifat yang sebenarnya baik tersebut dimanipulasi oleh orang-orang tertentu. Tentunya Anda akan banyak mengalami kesusahan bukan. Begitu pula dengan para hacker yang memanfaatkan jalur ini. Dengan memanfaatkan kepercayaan dari targetnya, ia masuk ke dalam jaringan kehidupan dan bisnis dari targetnya. Terkadang untuk memasukinya pun cukup gampang, hanya tinggal melakukan sesi peneleponan sekali, e-mail, chatting, kontak langsung, dan banyak lagi. Intinya setelah kepercayaan yang Anda dapat maka tahap berikutnya adalah informasi rahasia.


3. Exploitation of Relationship
Setelah kepercayaan berhasil Anda dapat dan terjalin hubungan yang baik, langkah berikutnya adalah mulai mengeksploitasi hubungan tersebut. Cara mengeksploitasinya adalah dengan mengorek semua informasi penting yang dimiliki oleh target. Misalnya password, nomor kartu kredit, informasi gaji, informasi strategi penjualan, dan banyak lagi. Selain mengorek informasi, para hacker pada tahap ini juga sudah bisa melakukan aksi-aksinya seperti misalnya membuat account baru pada server, mengubah password milik target tanpa diketahuinya, dan banyak lagi. Tahap pengumpulan informasi atau pelancaran aksi ini dapat dianggap sebagai langkah terakhir ataupun masih dapat digunakan sebagai stage untuk menuju ke proses gangguan keamanan berikutnya.


4. Execution to Achieve Objective
Proses-proses di atas terkadang perlu diulangi berkali-kali untuk mendapatkan suatu hasil yang pas. Maka dari itu, biasanya para hacker akan membuat sebuah siklus pada tahap ini. Siklus ini dapat menjadi umpan bagi proses-proses lainnya agar dapat berjalan dengan baik dan tercapai tujuan dari si penyerang tersebut.


Bagaimana Cara Menanggulangi Serangan Social Engineering?
Sebenarnya bahaya social engineering susah-susah gampang untuk ditanggulangi, karena ini adalah masalah yang disebabkan oleh human error, semuanya tergantung pada masing-masing orang yang mengalaminya. Namun tentunya, ada beberapa cara yang dapat memudahkan para target serangan ini untuk mendeteksi dan meminimalisasi kemungkinan terjadinya serangan social engineering. Berikut ini adalah beberapa langkahnya:


1. Buatlah seperangkat peraturan tertulis untuk diikuti oleh para personal Anda yang bertujuan untuk menghalau, mencegah, dan mengurangi serangan social engineering ini. Revisilah selalu peraturan tertulis Anda ini secara berkala agar tidak ketinggalan jaman atau dapat menutup celah-celah baru yang sebelumnya memang tidak ada. Dan jangan lupa untuk selalu mendidik para staf di belakangnya karena staf yang terdidik dengan baik merupakan pertahanan yang kuat bagi serangan ini.


2. Didiklah para customer atau pengguna jasa Anda untuk dapat menerima dan mengikuti segala syarat yang tertulis dalam peraturan tersebut. Sadarkan mereka akan pentingnya prosedur ini untuk menjaga keamanan data dan informasi mereka sendiri.


3. Buatlah sebuah prosedur yang dapat mengeliminasi pertukaran password dan username dalam segala proses. Buat agar semua sistem yang berhubungan dengan password dapat dilakukan secara otomatis dengan program atau perangkat komputer, tanpa adanya perantara manusia dalam keperluan password tersebut. Seperti misalnya membuat program reset password otomatis, halaman penentuan password yang dapat diakses langsung oleh pengguna, dan banyak lagi.


4. Hindarilah penggunaan pertanyaan untuk petunjuk password karena ini juga dapat digunakan para hacker sebagai petunjuk untuk melakukan crack terhadap password Anda. Mereka memiliki berbagai macam cara untuk memecahkan misteri password Anda tersebut dengan sedikit penelitian.


5. Gunakanlah password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan Anda. Misalnya jangan menggunakan tanggal lahir, nama kecil Anda, nama binatang peliharaan Anda, nama anggota keluarga, dan banyak lagi, karena hal ini bisa jadi sangat mudah dapat ditebak oleh penyerang.


6. Jika memungkinkan hilangkan semua elemen manusia pada titik-titik yang penting untuk dijaga keamanannya, seperti misalnya menggunakan sistem token password yang dapat meng-generate nomor acak sebagai password, biometric, smard card, sistem location-based authentication, dan banyak lagi.


Memalukan, tapi Efektif
Social engineering tidak lain dan tidak bukan sebenarnya adalah sebuah bentuk penipuan biasa. Namun karena sering kali berhubungan dengan dunia TI, maka teknik-tekniknya menjadi cukup populer. Di dalam dunia TI teknik penjebolan keamanan dengan menggunakan cara social engineering memang dianggap paling rendah dan paling memalukan untuk dilakukan. Namun pada kenyataannya, teknik inilah justru yang paling cepat dan efektif dilakukan. Anda tidak perlu repot-repot belajar bahasa pemrograman atau menguasai firewall dari perangkat-perangkat jaringan target Anda. Yang dibutuhkan hanyalah kemampuan untuk memanipulasi perkataan dan juga pikiran orang menjadi sesuai dengan yang Anda inginkan.


Maka dari itu, teknik penganggu keamanan jaringan data Anda yang satu ini paling sulit untuk dideteksi dan dikontrol, karena tidak ada parameter bakunya yang benar-benar visibel untuk dimonitor. Semua berbalik lagi kepada Anda yang memiliki informasi penting tersebut. Apakah Anda begitu mudahnya tertipu oleh akal-akalan para penyerang? Siapkanlah diri Anda!
PC MEDIA

0 comments:

My BlogList

Sign up for PayPal and start accepting credit card payments instantly.