Social Engineering
Beberapa pengertian Social Engineering :
"Social engineering refers to various techniques that are
utilized to obtain information in order to bypass security systems, through the exploitation of human
vulnerability".
(Bezuidenhout et.al., 2010)
"Social Engineering is the term for using human deception as
means for information theft". (Hermansson et.al., 2005)
“Social Engineering is the art of exploiting the weakest
link of information security systems: the people who are using them.”
(Huber, 2009)
“Social engineering does not rely on a faulty piece of
high-tech equipment to mount the attack; rather , it uses a skilled attack on
the psyche of the opponent.”
(Long,
2008)
“Social engineering attacks have the goal of collecting a
certain amount of data to be used later in a technical attack.”
(Evans, 2009)
“Social engineering purpose of attacks is to get direct
access by using physical or digital access
to an organisation’s information or information system. "
” (Foozy , 2011)
Social Engineering bisa diartikan sebagai berbagai usaha dalam mengeksploitasi titik terlemah dalam sebuah sistem keamanan komputer. Dan titik terlemah tersebut terdapat pada manusia. Atau dengan kata lain Social Engineering adalah suatu teknik
memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan
manusia. Contohnya kelemahan manusia yang dimaksud misalnya :
- Rasa Takut – jika seorang pegawai atau karyawan dimintai
data atau informasi dari atasannya, polisi, atau penegak hukum yang lain,
biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
- Rasa Percaya – jika seorang individu dimintai data atau
informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris,
biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa
curiga; dan
- Rasa Ingin Menolong – jika seseorang dimintai data atau
informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang
mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang
bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa
bertanya lebih dahulu.
Tipe Social Engineering
Pada dasarnya teknik Social Engineering dapat dibagi menjadi
dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer.
- Berbasis Interaksi Sosial (melalui telepon)
Skenario 1 (Kedok sebagai User Penting)
Seorang penipu menelpon help desk bagian divisi teknologi
informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham,
Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong
beritahu sekarang agar saya dapat segera bekerja?”. Karena takut – dan merasa
sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan
mendengar suara Direktur
Keuangan perusahaannya yang
bersangkutan langsung memberikan
password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama
Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Skenario 2 (Kedok sebagai User yang Sah)
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi
informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi dari Divisi
Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong
bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut
ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak
bisa merubahnya. Bisa bantu ya?”. Sang junior yang tahu persis setahun yang
lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta
rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal
yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas”
yang dipajang di lobby perusahaan – dan nomor telepon Iwan diketahuinya dari
Satpam dan/atau receptionist.
Skenario 3 (Kedok sebagai M itra Vendor)
Dalam hal ini penjahat yang mengaku sebagai mitra vendor
menelepon bagian operasional teknologi informasi dengan mengajak berbicara
hal-hal yang bersifat teknis sebagai berikut: “Pak Aryo, saya Ronald dari PT
Teknik Alih Daya Abadi, yang membantu outsource file CRM perusahaan Bapak. Hari
ini kami ingin Bapak mencoba modul baru kami secara cuma- cuma. Boleh saya tahu
username dan password Bapak agar dapat saya bantu instalasi dari tempat saya?
Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas
canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan,
kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username
dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi
sang penjahat bisa tahu nama- nama yang bersangkutan melalui berita-berita di
koran dan majalah mengenai produk/jasa PT Teknik Alih Daya Abadi dan nama-nama
klien utamanya.
Skenario 4 (Kedok sebagai Konsultan Audit)
Kali ini seorang penipu menelpon Manajer Teknologi Informasi
dengan menggunakan pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama
saya Roni Setiadi, auditor teknologi informasi eksternal yang ditunjuk
perusahaan untuk melakukan validasi prosedur. Sebagai seorang Manajer Teknologi
Informasi, boleh saya tahu bagaimana cara Bapak melindungi website perusahaan
agar tidak terkena serangan defacement dari hacker?”. Merasa tertantang
kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur
keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal
tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga
mempermudah yang bersangkutan dalam melakukan serangan.
Skenario 5 (Kedok sebagai Penegak Hukum)
Contoh terakhir ini adalah peristiwa klasik yang sering
terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya:
“Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden
Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada
serangan menuju server anda dari luar negeri. Kami bermaksud untuk
melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi
dan spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan
biasanya langsung memberikan informasi penting tersebut karena merasa takut
untuk menanyakan keabsahan atau keaslian identitas penelpon.
- menggunakan komputer
atau piranti elektronik/digital lain sebagai alat bantu
Skenario 1 (Teknik Phishing – melalui Email)
Strategi ini adalah yang paling banyak dilakukan di negara
berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai
atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi
misalnya sebagai berikut:
“Pelanggan Yth. Sehubungan sedang dilakukannya upgrade
sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan
pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening,
username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan
cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi
anda sebagai pelanggan setia kami.
Wassalam,
Manajer Teknologi Informasi”
Bagaimana caranya si penjahat tahu alamat email yang
bersangkutan? Banyak cara yang dapat diambil, seperti: melakukan searching di
internet, mendapatkan keterangan dari kartu nama, melihatnya dari anggota
mailing list, dan lain sebagainya.
Skenario 2 (Teknik Phishing – melalui SMS)
Pengguna telepon genggam di Indonesia naik secara pesat.
Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal
kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya
untuk melakukan social engineering seperti yang terlihat pada contoh S M S
berikut ini:
“Selamat. Anda baru saja memenangkan hadiah sebesar Rp
25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar
kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda,
mohon diinformasikan user name dan passoword internet bank anda kepada kami.
Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan
anda…”
Skenario 3 (Teknik Phishing – melalui Pop Up Windows)
Ketika seseorang sedang berselancar di internet, tiba-tiba
muncul sebuah “pop up window”
yang bertuliskan sebagai berikut:
“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol
BERSIH KAN di bawah ini.”
Tentu saja para awam tanpa pikir panjang langsung menekan
tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat
berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau
program mata-mata lainnya.
Jenis Social Engineering Lainnya
Karena sifatnya yang sangat “manusiawi” dan memanfaatkan
interaksi sosial, teknik-teknik memperoleh informasi rahasia berkembang secara
sangat variatif. Beberapa contoh adalah sebagai berikut:
- Ketika seseorang memasukkan password di AT M atau di PC, yang bersangkutan “mengintip”
dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat;
- Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau
dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia
lainnya;
- Menyamar menjadi
“office boy” untuk dapat masuk
bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna
mencari informasi rahasia;
- ikut masuk ke dalam ruangan melalui pintu keamanan dengan
cara “menguntit” individu atau mereka yang memiliki akses legal;
- Mengatakan secara meyakinkan bahwa yang bersangkutan
terlupa membawa I D-Card yang berfungsi sebagai kunci akses sehingga diberikan
bantuan oleh satpam;
- Membantu
membawakan dokumen atau tas
atau notebook dari pimpinan
dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh
sejumlah informasi berharga;
- Melalui chatting di dunia maya, si penjahat mengajak
ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi
berharga darinya;
- Dengan menggunakan situs social networking – seperti
facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang
pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia;
Target Korban Social Engineering
Statistik memperlihatkan, bahwa ada 4 (empat) kelompok
individu di perusahaan yang kerap menjadi korban tindakan social engineering,
yaitu:
- Receptionist
dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam
organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang
bekerja dalam lingkungan dimaksud;
- Pendukung teknis
dari divisi teknologi informasi – khususnya yang melayani pimpinan dan
manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke
data dan informasi rahasia, berharga, dan strategis;
- Administrator
sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola
manajemen password dan account semua pengguna teknologi informasi di
perusahaan;
- Mitra kerja atau
vendor perusahaan yang menjadi target, karena mereka adalah pihak yang
menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang
dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
- Karyawan baru yang
masih belum begitu paham mengenai prosedur standar keamanan informasi di
perusahaan.
Solusi Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul
pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah
pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang
merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
- Selalu hati-hati dan mawas diri dalam melakukan interaksi
di dunia nyata maupun di dunia maya. Tidak
ada salahnya perilaku “ekstra
hati-hati” diterapkan di sini mengingat informasi merupakan aset
sangat berharga yang dimiliki oleh organisasi atau perusahaan;
- Organisasi atau perusahaan
mengeluarkan sebuah buku
saku berisi panduan mengamankan informasi yang mudah
dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden
yang tidak diinginkan;
- Belajar dari buku, seminar, televisi, internet, maupun
pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan
modus social engineering;
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan
unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui
berbagai cara dan kiat;
- Memasukkan unsur-unsur keamanan informasi dalam standar
prosedur operasional sehari-hari – misalnya “clear table and monitor policy” -
untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan
atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
- Melakukan analisa kerawanan sistem keamanan informasi yang
ada di perusahaannya.(baca: vulnerability analysis);
- Mencoba melakukan uji coba ketangguhan keamanan dengan
cara melakukan “penetration
test”;
- Mengembangkan kebijakan, peraturan, prosedur, proses,
mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam
wilayah organisasi;
- Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli
keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk
menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan
kebiasaan perduli pada keamanan informasi;
- Membuat standar klasifikasi aset informasi berdasarkan
tingkat kerahasiaan dan nilainya;
- Melakukan audit
secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur
perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.
