Social Engineering: Metode Nonteknis Hacker

Social Engineering: Metode Nonteknis Hacker

Sering kita mendengar banyak orang kehilangan account administrator maupun account pribadi.

Mereka menyatakan, “Saya sudah menyimpan password sedemikian rapi dan susah, tapi kok tembus juga, dan akhirnya account  saya dibajak oleh orang-orang yang tidak bertanggung jawab.”

Menurut pengamatan penulis, banyak hal yang tidak terduga terjadi saat kita kehilangan aneka account pribadi. Kehilangan ini bisa disebabkan karena banyak hal seperti memberi password  ke orang lain (walau pun itu keluarga, menulis password sembarangan ditempat umum atau di catatan pribadi dan sebagainya),menggunakan password yang terlalu mudah ditebak, sampai dengan menggunakan password default (menggunakan password yang berasal dari pabrik/pembuatnya, yang merupakan kesalahan fatal).

Saat ini seorang hacker tidak selalu menggunakan metode yang sangat teknis untuk memecahkan  dan menjebol sistem lawan. Ada beberapa hal yang tidak teknis digunakan oleh para peretas (hacker) untuk menjebol sistem jaringan. Hal seperti ini biasa disebut dalam dunia sekuriti sebagai “social engineering”.

Social engineering
memanfaatkan hal terlemah di dalam organisasi, yakni “pegawai” atau disebut juga dengan “people hacking”. Social engineering merupakan sebuah teknik nonteknis untuk menembus sistem dengan memanfaatkan kelemahan dan melakukan berbagai eksploitasi para pegawai “pegawai” di organisasi tersebut.

Beberapa contoh Social engineering:

1.             False support personnel

Caranya dengan mengklaim bahwa mereka perlu meng-instal sebuah patch baru atau software versi baru di komputer pengguna.

2.             False vendors

Mengklaim bahwa mereka perlu meng-update paket accounting perusahaan atau sistem telepon perusahaan. Karena itu mereka menanyakan password administrator dan akhirnya mendapatkan hak akses sepenuhnya ke jaringan kantor.

3.             Phising e-mails

E-mail semacam ini dikirim oleh hacker untuk mendapatkan userID dan password dari para penerima email tersebut (yang tidak curiga). Kemudian hacker tersebut menggunakan password untuk mendapatkan akses ke akun bank dan sebagainya.

4.             False employees

Ini merupakan kesalahan yang tidak disadari dan ditimbulkan oleh para karyawan itu sendiri. Sebabnya bisa karena keteledoran di dalam menyimpan dan mendistribusikan informasi (sehingga informasi tersebut tidak sengaja dan mungkin saja hilang) atau tersalin oleh para hacker yang sudah lama mengintainya.

Berbagai Dampak Social Engineering

Tanpa memperhatikan siapa yang menjadi sumber permasalahan, setiap organisasi pada dasarnya memiliki resiko. Bahkan organisasi yang besar sekalipun memiliki berbagai celah untuk ditembus. Apalagi organisasi yang sudah tersebar ke berbagai daerah dengan tingkat keamanan yang berbeda-beda di setiap daerahnya. Model serangan ini juga melanda organisasi-organisasi kecil yang memiliki kelemahan dalam melindungi informasi.

Siapakah yang menjadi target serangan social engineering? Setiap orang didalam organisasi tersebut dapat dijadikan target, mulai dari resepsionis, petugas keamanan, karyawan, management team bahkan sampai dengan personil TI. Helpdesk dan callcenter pun tidak luput dari model serangan social engineering ini. Pasalnya, biasanya mereka dilatih untuk membantu dan memberikan informasi sedetail mungkin untuk melayani para costumer organisasi.

Social engineering yang efektif akan mendapatkan beberapa informasi seperti berikut:

1.      Password user dan administrator.

2.      Lencana para security atau kunci untuk dapat masuk kedalam gedung dan ruang komputer.

3.      Intelectual property seperti design  khusus, formula-formula baru, atau dokumentasi untuk riset dan pengembangan.

4.      Laporan rahasia dibidang keuangan.

5.      Informasi rahasia para karyawan kantor(tetap atau kontrak).

6.      Daftar costumer dan berbagi prospek yang sedang digarap.

Berbagai Teknik Social Engineering

Seorang hacker yang pintar akan melakukan berbagai hal dalam melakukan social engineering. Berbagai aksi dibawah ini tidak mudah dilakukan oleh hacker yang hanya mengerti masalah teknis. Pasalnya aksi-aksi ini memerlukan jam terbang yang tinggi seperti:

1.      Fishing the Informations

Ada beberapa teknik fishing informations yang biasa dilakukan oleh hacker yang pintar seperti:

·         Mengirim email resmi ke user untuk mengisi database dengan iming-iming hadiah.

·         Membuat link dan web resmi agar user mengisi database dengan harapan, user menjadi member dan mendapat fasilitas tertentu seperti download gratis, image gratis dan banyak lagi.

·         Foodprinting, mencari informasi sepotong-sepotong dari internet (via search engine) dan mengumpulkannya, dengan harapan bahwa informasi yang terkumpul tadi dapat dimanfaatkan untuk menyerang korban yang diinginkan.

·         Phone fishing. Teknik ini mengandalkan kepiawaian hacker bermain kata, menelpon seseorang atau resepsionis, sehingga informasi pribadi dapat digali. Misalnya, menanyakan alamat email dan no ponsel seseorang kepada resepsionis dengan dalih mengirim undangan rapat (undangan digital), brosur, photo, dan lain-lain.

·         Dumpster Diving, teknik ini bersifat fisik yakni mencari dan mengorek informasi dari luar dan dalam, menemukan sesuatu yang perlu dan mungkin penting, misal dari kertas-kertas coretan atau printing jam yang dibuang, disk, usb flash, bahkan sampai harddisk yang rusak dan tercelup air (dibuang ke laut).

2.      Building the Trusts

Teknik building the trusts ini biasanya dipakai oleh seorang hacker yang sangat piawai dalam mendekati korbannya. Jadi si hacker akan menjadi teman dan sahabat bagi si korban dalam jangka panjang, bisa berbulan-bulan bahkan bertahun-tahun. Hacker akan mengumpulkan segala informasi, baik keluarga, teman-temannya, peliharaan, hobby, minat, berbagai masalah tentang kantor, atasan, pekerjaan sehari-hari, costumer-nya, mobil, alat tulis kegemaran bahkan sampai dengan keperluan pribadi seperti baju, sepatu, dan lain-lain.

Memang pendekatan seperti ini sangat sulit dilakukan oleh hacker. Tapi bila hal ini sudah tercapai, rahasia apa pun dari sisi user akan terungkap, baik urusan pribadi maupun urusan kantor.

Exploiting the Informations

Bila segala informasi sudah didapat, hacker akan mudah melakukan penetrasi ke dalam sistem. Biasanya pemanfaatan ini dilakukan bila semua informasi sudah didapat, seperti user id dan password. Tidak hanya itu, bahkan sampai shortcut untuk mendekati sistem sudah didapat juga.

Account user yang sudah dibobol tanpa sadar akan digunakan olah user untuk masuk ke sistem yang diinginkan hacker. Bisa saja ini dilakukan untuk menipu, meminta uang, meminjam uang dan sebagainya (ulah para hacker kecil). Bila hacker-nya pintar dan kaya, yang diinginkan adalah mendekati sistem, memikirkan cara agar bisa berada sedekat mungkin dengan sistem. Bisa saja hacker memanfaatkan akun administrator. Hacker ini akan berusaha beraksi tanpa meninggalkan jejak sedikit pun. Ini karena yang diinginkan hacker seperti ini adalah dapat masuk dan mengakses informasi secara bebas tanpa diketahui siapa pun selama bertahun-tahun.

Melawan Social Engineering

Memang di dunia internet tidak ada lagi yang rahasia, siapa pun atau apa pun akan terbuka di internet. Tentu ini merupakan segi positif dan sisi negatif saat kita ber-social networking-ria, seperti saat menggunakan Facebook, Linkedln, Google+ dan benyak lagi. Tanpa sadar kita memberi informasi kepada orang lain dengan harapan kita mempopulerkan diri atau me-marketing-kan diri.

Profil yang kita tempel di media social networking, akan memudahkan hacker melakukan footprinting, atau mengumpulkan informasi awal, tanpa repot dan susah payah. Dengan cara ini, hacker akan dimudahkan mendekati informasi yang diinginkannya. Dengan cara ini, langkah step dumpster diving sudah tidak diperlukan lagi. Namun, janganlah hal ini membuat kita takut atau cemas untuk ber-social networking, dengan syarat kita memperhatikan keamanan berinternet.

Hal-hal yang harus diperhatikan saat melakukan kegiatan social engineering, yakni:

1.      Memberi regulasi kepada karyawan agar tidak membuka informasi perusahaan di ranah pulik (kecuali memang untuk marketing).

2.      Menetapkan security policy di perusahaan (siapa boleh mengakses apa).

3.      Tidak mengisi database secara sembarang, terutama di media social network. Bila harus mengisi untuk kelengkapan data pribadi, sebaiknya atur privacy setting, agar tidak semua orang bisa mengakses data pribadi kita (termasuk rekan-rekan kita).

4.      Tidak membuang semua produk yang berhubungan dengan catatan penting, baik berupa catatan secara fisik (berupa kertas atau coretan) maupun catatan digital (berupa file di disk, flashdisk, atau harddisk).

5.      Memilih dan mengenali teman kita, terutama yang berhubungan dengan dunia digital. Ingat bahwa apa pun bisa dimanfaatkan oleh orang lain.

6.      Melakukan tindak pencegahan untuk tidak menerima dan menyetujui teman-teman baru begitu saja. Sebaiknya periksa dulu teman-temannya, siapa dia, latar belakangnya, dan banyak lagi. Memang dibutuhkan waktu lama untuk menyetujui sebagai teman. Tapi ini diperlukan semata-mata demi keamanan diri kita dan teman-teman yang ada di grup kita.

7.      Selalu perbarui informasi dan buka akun-akun pasif kita. Kadang kala kita memiliki akun terlalu banyak sehingga lupa dan tidak sempat memeriksanya. Karena itu, sekali-kali kita luangkan waktu untuk memeriksa lebih dalam akun yang kita miliki. Mungkin saja akun kita sudah disusupi hacker yang memakai akun kita tanpa disadari.

                               

Penutup

Kegiatan social networking ini menjadi salah satu media bagi kita untuk bersosialisasi di tempat umum (dunia internet). Akses terhadap segala informasi di dunia internet demikian terbuka, sehingga makin sulit untuk menyembunyikan identitas kita baik profesional maupun pribadi. Terlepas dari itu semua, ada hacker yang memanfaatkan media ini untuk menggali informasi. Bisa saja informasi yang didapatkannya dipakai untuk menyerang kepentingan kita. Maka dari itu kewaspadaan kita sebagai pengguna internet harus tetap dilakukan baik kepada teman maupun orang-orang yang ada di dekat kita. Jangan sampai kita menjadi korban di internet tanpa disadari.