Apa Itu Social Engineering?
Menurut Malcolm Allen dalam tulisannya di SANS InfoSec Reading Room, Social Engineering merupakan ancaman yang sering diabaikan namun dapat dieksploitasi setiap saat, untuk mengambil kesempatan dari adanya kelemahan di dalam sebuah jaringan keamanan, yaitu manusia atau pengguna dari sistem itu sendiri. Dimana dari dulu manusia atau pengguna dianggap sebagai bagian terlemah dalam sebuah keamanan jaringan. Seperti yang juga dikemukakan oleh Prof. Richardus Eko Indrajit, Kepala ID-SIRTII, bahwa dalam dunia keamanan jaringan ada prinsip yang berbunyi "kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah" atau dalam bahasa asingnya "the strength of a chain depends on the weakest link". Dimana dalam berbagai buku keamanan jaringan juga selalu mengemukakan "People is the weakest link" atau "manusia adalah komponen yang terlemah".
Menurut definisi, “social engineering” adalah suatu teknik
‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari
seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme
interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik
memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan
manusia. Contohnya kelemahan manusia yang dimaksud misalnya:
§
Rasa
Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari
atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan
akan langsung memberikan tanpa merasa sungkan;
§
Rasa
Percaya – jika seorang individu dimintai data atau informasi dari teman baik,
rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan
langsung memberikannya tanpa harus merasa curiga; dan
§
Rasa
Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang
sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana,
atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan
data atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Tipe Social Engineering
Pada dasarnya teknik social
engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksi sosial
dan berbasis interaksi komputer.
Tahapan Serangan Social Engineering
Biasanya, serangan social engineering memiliki tahapan-tahapan.
Secara umum, ada tiga tahap, yaitu :
1. Pengumpulan
informasi
Website perusahaan dapat menjadi salah satu sumber infor-masi utama untuk menjalankan serangan social engineering. Informasi
seperti nomor kontak perusahaan, lokasi dan alamat cabang, alamat e-mail, bagan
struktur organisasi, laporan keuangan dan lain-lain, tidak hanya
bersangkut-paut dengan calon pelanggan, namun juga memberi kesempatan pada social
engineer untuk merencanakan serangan. Seseorang dapat dengan mudah mengumpulkan
informasi seperti faktur, korespondensi, manual, e-mail, dan lain-lain, yang
dapat membantu si penyerang memperoleh informasi penting. Tujuan si penyerang
dalam tahap ini adalah untuk mempelajari sebanyak mungkin informasi agar ia
dapat menyamar sebagai pegawai, kontraktor, atau vendor.
2. Pemilihan sasaran
Dalam tahap ini, si penyerang
mengidentifikasi mata rantai terlemah untuk untuk ditembus. Target yang paling
umum adalah help desk dan resep-sionis, karena mereka dilatih untuk
memberikan bantuan. Organisasi yang yang mempekerjakan pihak luar sebagai help
desk bahkan lebih rentan lagi. Korban paling umum berikutnya adalah asisten
administrasi karena ia mengetahui banyak informasi penting yang beredar di
antara anggota tim manajemen. Mereka juga menangani mail account dan
jadwal supervisor mereka.
3. Serangan
Tahap serangan ini dapat dilakukan dengan berbagai cara
dan metode. Sebagian dari cara-cara dan metode-metode yang ada dijelaskan di
bawah ini.
Target Korban Social Engineering
Statistik memperlihatkan,
bahwa ada 5 (lima) kelompok individu di perusahaan yang kerap menjadi korban
tindakan social engineering, yaitu:
1.
Receptionist
dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam
organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang
bekerja dalam lingkungan dimaksud;
2.
Pendukung
teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan
manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke
data dan informasi rahasia, berharga, dan strategis;
3.
Administrator
sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola
manajemen password dan account semua pengguna teknologi informasi di
perusahaan;
4.
Mitra
kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak
yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang
dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
5.
Karyawan
baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi
di perusahaan.
Solusi Menghindari Resiko
Setelah mengetahui isu social
engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya.
Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan
kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting
perusahaan, yaitu:
§
Selalu
hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di
dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini
mengingat informasi merupakan aset sangat berharga yang dimiliki oleh
organisasi atau perusahaan;
§
Organisasi
atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan
informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk
mengurangi insiden-insiden yang tidak diinginkan;
§
Belajar
dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar
terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
§
Pelatihan
dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai
pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
§
Memasukkan
unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari –
misalnya “clear table and monitor policy” - untuk memastikan semua pegawai
melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan
individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula
melakukan sejumlah usaha, seperti:
§
Melakukan
analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca:
vulnerability analysis);
§
Mencoba
melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration
test”;
§
Mengembangkan
kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus
dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;
§
Menjalin
kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi,
institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan
berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli
pada keamanan informasi;
§
Membuat
standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan
nilainya;
§
Melakukan
audit secara berkala dan berkesinambungan terhadap infrastruktur dan
suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain
sebagainya.
Daftar
Pustaka
· Rafizan,
0 2011, ‘Analisis Penyerangan Social Engineering’, Masyarakat Telematika Dan
Informasi : Jurnal Penelitian Teknologi Informasi dan Komunikasi, vol. 2, no.
2, hh. 116, dilihat 28 Februari 2019, <https://mti.kominfo.go.id/index.php/mti/article/view/26/23>.
·
Indrajit,
RE 2017, Seluk Beluk Teknik Social Engineering, Indonesia
Security Incident Response Team on Internet Infrastructure/Coordination
Center(ID-SIRTII/CC), dilihat 28 Februari 2019, <https://idsirtii.or.id/doc/IDSIRTII-Artikel-sosial_engineering.pdf>.
·
Marwana,
M 2012, ‘Teknik Social Engineering dan Pencegahannya’, Jurnal Informatika
Multimedia (JIM) STIMED NUSA PALAPA, vol. 1, no. 3, hh. 100, dilihat 28
Februari 2019, <http://jim.stimednp.ac.id/?p=32>.
Terima Kasih.
Komentar
Posting Komentar