Sabtu, 22 September 2012

Social Engineering

09.40   syarif hidayatullah   No comments

Assalamualaikum.
Salam blogger.
Pada malam hari ini saya akan mencoba membahas mengenai Social Engineering. Sebelumnya, pernahkah anda mendapatkan sms ini “Beliin dulu mama pulsa 50.000 di nomor barunya mama ini nomornya 085246671xxx. Karena mama ada masalah. Secepatnya penting! Nanti mama ganti uangnya. Mama tunggu ya”. Padahal mungkin mama anda sedang bersama anda. Dari sms diatas dapat diketahui bahwa ini adalah salah satu modus penipuan. Ini adalah salah satu contoh nyata dari penerapan social engineering.

Dari cerita sms diatas, dapat diketahui bahwa social engineering adalah suatu teknik menipu manusia lain. Tujuannya adalah untuk mendapatkan sesuatu yang diinginkannya. Tidak hanya berupa uang atau harta benda saja, melainkan hal seperti informasi, kekuasaan dan banyak lagi. Dalam aksinya, pelaku hanya bermodalkan pemahaman akan kondisi psikologis targetnya dan tentunya juga kepandaiannya dalam meyakinkan korbannya. Aktivitas social engineering dalam dunia teknologi informasi tidak terlepas dari memanipulasi manusia yang berinterksi dengan computer dengan menggunakan kombinasi dari berbagai teknik seperti memata-matai, mencuri, berbohong, memutar balikkan fakta, dan banyak lagi.

Social Engineering dapat dibagi menjadi dua tipe :
  1. Social Engineering berdasarkan sisi manusianya (human based social engineering), yaitu dengan melibatkan interaksi antara manusia yang satu dengan yang lainnya.
  2. Social Engineering yang berdasarkan pada sisi teknis atau komputernya (computer based social engineering), bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.

    3. Human based social engineering dapat dikategorikan menjadi lima jenis :
  • Impersonation (Pemalsuan), contoh: Cracker menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan, kurir pengantar barang, dan sebagainya.
  • Important User (Menyamar sebagai orang penting), contoh: Cracker menyamar sebagai seorang yang memiliki kedudukan tinggi di perusahaan dan kemudian berusaha untuk meng-intimidasi karyawan atau bawahannya untuk mengumpulkan informasi dari mereka.
  • Third Party Authorization (Pemalsuan otorisasi), contoh: Cracker berusaha meyakinkan target atau korbannya untuk memberikan informasi yang diperlukan dengan mengatakan bahwa ia telah diberi otorisasi penuh oleh seseorang untuk menanyakan hal tersebut.
  • Technical Support (Menyamar sebagai bagian technical support), contoh: Cracker menyamar sebagai salah satu dari tim teknisi dan berusaha mengumpulkan informasi dari korbannya.
  • In Person (Mendatangi langsung ke tempat korban), contoh: Cracker mendatangi langsung tempat atau lokasi korbannya untuk mengumpulkan informasi dari lokasi di sekitar tempat korbannya, antara lain dengan menyamar sebagai petugas kebersihan dan mencari atau mengumpulkan data/informasi dari tempat sampah yang ada di tempat korban (dumpster diving), atau berusaha melihat sekeliling pada saat user sedang mengetikkan password di komputernya (shoulder surfing).
            Computer based social engineering dapat dikategorikan menjadi empat jenis:
  • Mail/IM (Instant Messenger Attachment),  Setiap karyawan umumnya sering atau setidaknya pernah menggunakan software e-mail atau instant messenger (chatting). Melalui fasilitas semacam itu seorang cracker dapat dengan mudah mengirimkan suatu file attachment berisi trojan, virus atau worm dengan tujuan untuk mengumpulkan data atau informasi dari komputer korban.
  • Pop-Up Windows, Cracker dapat membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat user sedang menggunakan komputer.
  • Websites, Cracker dapat membuat suatu website tipuan untuk menarik user agar memasukkan alamat e-mail dan password pada saat mendaftar (register) untuk memperoleh hadiah, misalnya. Biasanya password yang digunakan oleh kebanyakan user adalah sama dengan password yang digunakan di PC kantor.
  •  Spam Email, Cracker dapat mengirimkan e-mail berisi attachment yang mengandung virus atau trojan. Virus atau trojan ini dapat dimanfaatkan untuk mengumpulkan informasi yang terdapat di komputer user (korban).

Untuk menghindari serangan social engineering, dapat kita lakukan dengan berbagai cara, diantaranya

  • Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya.
  • Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering
  • Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test"

 Nah, itulah penjelasan tentang social engineering. Moga dapat dimengerti dan diambil pelajarannya. okey






Related Posts by Categories

Posted in: ,

0 komentar :

Posting Komentar

Thanks for your commentar

Domain Murah

indonetmedia

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More