Nggak ada bahan posting, dan kebetulan tadi jalan-jalan ke HN ada yang
bahas soceng, akhirnya saya jadi punya ide untuk membahas apa itu
soceng.
Menurut Wikipedia, SOCENG atau Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara
menipu pemilik informasi tersebut. Soceng biasanya
dilakukan melalui telepon atau Internet. Soceng merupakan salah satu
metode yang digunakan oleh hacker untuk memperoleh informasi tentang
targetnya, entah itu menayakan langsung ataupun melalui pihak lain.
Soceng mengkonsentrasikan diri pada user (manusia). Seperti kita tahu,
tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan
parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung
platform, sistem operasi, protokol, software ataupun hardware. Artinya,
setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap
orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman,
bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang
telah disusun.Soceng sendiri mmemerlukan persiapan yang agak lama
sebelum penyerang mengeksekusi korbannya.
Pada banyak referensi, manusia dinilai sebagai faktor paling lemah dalam
jaringan komputer. Kita ambil contoh, untuk apa komputer canggih dengan
sistem keamanan yang baik jika yang jadi administrator adalah orang
yang samasekali tidak tahu tentang security ?. Selain itu, pada sebuah
jaingan yang cukup kompleks biasanya terdapat banyak user yang
meremehkan masalah keamanan . misalnya, suatu perusahaan memiliki sistem
keamanan yang cukup baik. Namun bagaimana jika ada user yang memiliki
akun dengan password "nama perusahaan" tersebut ? Itu mudah ditebak !
Sekali tebak maka Acces Granted ! Atau saking buru-burunya, user lupa
log-out ketika pulang kerja.
Kalau sudah seperti itu, penyerang dengan mudah mengetahui siapa saja
orang yang ceroboh pada perusahaan tersebut. Dan bisa saja penyerang
menanyakan apa saja yang dibutuhkan/diinginkan kepada user yang ceroboh
tersebut. Tindakan ini bisebut sebagai : Social Engineering (SOCENG)
Metode pertama adalah metode yang paling dasar dalam soceng, yaitu
penyerang mencoba untuk meminta secara langsung dan terang-terangan apa
yang diinginkan dari korban. Mungkiin setelahnya penyerang akan ditimpuk
bata oleh korban, tapi siapa tahu korbannya ceroboh dan memberikan apa
yang diinginkan penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana korban masuk
dalam situasi tersebut. Dalam hal ini penyerang memerlukan informasi
lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan
tentang ‘target’. Kita tidak harus berbohong untuk menciptakan situasi
tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Example : Seorang berpura-pura sebagai agen tiket yang menelepon salah
satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah
dipesan dan siap dikirim (tentu saja ini hanya jebakan betmen).
Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu,
dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa
memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor
pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk
masuk ke sistem di perusahaan tersebut dengan account target.Jadi
intinya pelaku tadi menelpon hanya untuk mencocokkan data yang dia
miliki dengan data yang dimiliki korban. Dalam hal ini tentu korban
tidak akan curiga !
Cara yang paling populer adalah metode phising, yaitu dengan mengirim
email ke korban dan didalam emailnya terdapat link, trojan maupun worm
yang berfungsi mencuri data dari komputer korban. Tentu saja jika korban
mau meng-klik link yang terdapat pada email tersebut. Maka disinilah
keahlian pengirim email dibituhkan : membuat korban mengeklik link tanpa
curiga sedikitpun
Cara-cara tersebut biasanya melibatkan faktor personal dari target:
kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang
target merasa bahwa tindakannya memberikan informasi tidak akan
menimbulkan efek buruk. Atau target merasa bahwa dengan memenuhi
keinginan penyerang akan membuat dia dipuji. Atau dia merasa bahwa
dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah
kewajibannya untuk membantu orang lain. Jadi kita tidak harus memaksa
korban untuk memberikan informasi, karena korban akan memberikannya
dengan sukarela. Selanjutnya, kita tinggal menuntun taeget menuruti apa
yang kita mau, dan korban tidak merasa bahwa dia sedang dimanfaatkan.
Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita
dan mengorbankan sedikit waktu dan tenaganya.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi
keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan
inti cobalah untuk meminta target melakukan hal-hal kecil terlebih
dahulu.
Sekian postingan dari saya, terimakasih !
Apa itu soceng ?
Pengertian Soceng
Social engineering itu apa ?
Langganan:
Posting Komentar (Atom)
0 Response to "Apa itu Social Engineering ?"
Posting Komentar