berharga bagi sebuah organisasi, karenanya sebuah perusahaan akan berusaha
untuk melindungi informasi yang mereka milliki. Namun, dinding keamanan
terkuat sekalipun dapat runtuh jika orang di dalamnya membuat kesalahan yang
mengakibatkan adanya lubang di dinding keamanan tersebut. Kesalahan seperti
ini biasanya di eksploitasi oleh hacker dengan menggunakan Social Engineering.
Karena itulah penelitian ini berusaha untuk mengeksploarasi tentang tipee Penyerangan ini dengan cara menganalisa, mengumpulkan literatur, dan mencari permasalahan yang pemah terjadi, agar dapat memberi informasi kepada orang lain tentang Social Engineering dan ancaman yang dapat disebabkan oleh tipe
penyerangan seperti ini. Hasil akhir dari penelitian ini akan berupa rekomendasi
yang dapat digunakan untuk melindungi informasi yang dimiliki perusahaan dari ancaman Social Engineering. Menurut Malcolm Allen dalam tulisannya di SANS InfoSec Reading Room,
Social Engineering merupakan ancaman yang sering diabaikan namun dapat dieksploitasi setiap saat, untuk mengambil kesempatan dari adanya kelemahan di dalam sebuah jaringan keamanan, yaitu manusia atau pengguna dari sistem itu sendiri
1. Dimana dari dulu manusia atau pengguna dianggap sebagai bagian
terlemah dalam sebuah keamanan jaringan. Seperti yang juga dikemukakan oleh
Prof. Richardus Eko Indrajit, Kepala ID-SIRm, bahwa dalam dunia keamanan
jaringan ada prinsip yang berbunyi "kekuatan sebuah rantai tergantung dari atau
terletak pada sambungan yang terlemah" atau dalam bahasa asingnya "the strength of a chain depends on the weakest link".
2. Dimana dalam berbagai buku keamanan jaringan juga selalu mengemukakan "People is the weakest link" atau "manusia adalah komponen yang terlemah" .
Kelemahan Manusia
Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:
Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari
atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan
langsung memberikan tanpa merasa sungkan.
Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik,
rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan
langsung memberikannya tanpa harus merasa curiga.
Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang
sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana,atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data
atau informasi yang diinginkan tanpa bertanya lebih dahulu.
Tipe Social Engineering pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis interaksisosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operaksi yang sama, yaitu melalui medium telepon.
Skenario 1 (Kedok sebagai User Penting)
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal
sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa
password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena
takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan
mendengar suara Direktur Keuangan perusahaannya yang bersangkutan langsung
memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Jenis Social Engineering Lainnya
Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik
memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah
sebagai berikut:
Ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan
“mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat
terlihat.
Mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja
perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya
Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor
manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia.
Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit”
individu atau mereka yang memiliki akses legal.
Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card
yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;
Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan
manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah
informasi berharga.
Melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil
pelan-pelan berusaha menguak sejumlah informasi berharga darinya.
Dengan menggunakan situs social networking – seperti facebook, myspace, friendster,dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses "penelanjangan” informasi rahasia dan lain sebagainya.
Target Korban Social Engineering
Statistik memperlihatkan, bahwa ada 4 (empat) kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering, yaitu:
1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk
ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel
yang bekerja dalam lingkungan dimaksud.
2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani
pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis.
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelolamanajemen password dan account semua pengguna teknologi informasi di perusahaan.
4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak
yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan.
5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Solusi Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana
cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa
disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi
penting perusahaan, yaitu:
Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di
dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati diterapkan disini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan.
Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan
mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya,
untuk mengurangi insiden-insiden yang tidak diinginkan.
Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.
Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai
pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat.
Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional
sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua pegawai melaksanakannya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya.
Mencoba melakukan ujian ketangguhan keamanan dengan cara melakukan“ penetration test”.
Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar
yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi.
Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi,
institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai
program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada
keamanan informasi.
Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan
nilainya.
DAFTAR PUSTAKA
Allen, M. (2007). Social Engineering: A Means to Violate a Computer System. http://www.sans.org/reading room/whitepapers/engineering/, diakses 14 Juli 2011).
Indrajit, Richardus Eko. Seluk beluk teknik sosial engineering.
Tidak ada komentar:
Posting Komentar