Ada prinsip dalam dunia keamanan jaringan yang berbunyi “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya “the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link” atau “komponen terlemah” dalam sebuah sistem jaringan komputer?
Ternyata jawabannya adalah manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, IDS / IPS, dan lain sebagainya, tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia.
Kelemahan Manusia
Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting / krusial / rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data / informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:
- Rasa Takut, jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan.
- Rasa Percaya, jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga.
- Rasa Ingin Menolong, jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Tipe Social Engineering
Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operansinya sama, yaitu melalui medium telepon.
- Skenario 1 (Kedok sebagai User Penting).
- Skenario 2 (Kedok sebagai User yang Sah).
- Skenario 3 (Kedok sebagai Mitra Vendor).
- Skenario 4 (Kedok sebagai Konsultan Audit).
- Skenario 5 (Kedok sebagai Penegak Hukum).
Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik / digital lain sebagai alat bantu, cukup banyak modus operansi yang sering dipergunakan seperti:
Skenario 1 (Teknik Phishing – melalui Email)
Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank.
Skenario 2 (Teknik Phishing – melalui SMS)
Pengguna telepon genggam di Indonesia naik secara pesat. Sudah lebih dari 100 juta nomor terjual pada akhir tahun 2008. Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau sejenisnya untuk melakukan social engineering seperti yang terlihat pada contoh SMS berikut ini:
“Selamat, Anda baru saja memenangkan hadiah sebesar Rp 25,000,000 dari Bank X yang bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda…”.
Skenario 3 (Teknik Phishing – melalui Pop Up Windows)
Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:
“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”
Solusi Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
- Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan.
- Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurang insiden-insiden yang tidak diinginkan.
- Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.
- Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat.
- Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari, misalnya “clear table and monitor policy” untuk memastikan semua pegawai melaksanakannya dan lain sebagainya.
Indrajit, Richardus Eko. 2013. Seluk Beluk Teknik Social Engineering.
Tidak ada komentar:
Posting Komentar