Waspada terhadap Social Engineering
June 30, 2018
Social engineering bukan merupakan sebuah teknik atau konsep baru, teknik ini justru semakin berkembang dan umum digunakan sebagai salah satu upaya mencuri informasi atau mempengaruhi target untuk melakukan suatu aksi/tindakan yang dikehendaki oleh penyerang. Teknik ini sangat ampuh digunakan karena kelemahan dari manusia. Kelemahan ini akan dieksploitasi oleh penyerang atau pihak tertentu untuk mengendalikan target sesuai kepentingan penyerang tersebut.
Kelemahan Manusia
Upaya-upaya pendekatan yang dilakukan oleh penyerang akan menggunakan pendekatan secara manusiawi melalui mekanisme interaksi sosial dengan memanfaatkan kelemahan manusia. Berikut adalah contoh kelemahan manusia yang dapat dieksploitasi oleh penyerang untuk mendapatkan informasi atau mempengaruhi target:
- Rasa ingin untuk meraih sesuatu
Jika seseorang dimintai data dengan diiming-imingi sebuah hadiah baik berupa uang, jabatan, barang atau hal lainnya, dengan senang hati akan memberikan data atau informasi tersebut tanpa pertimbangan lebih lanjut;
- Rasa ingin untuk menolong
Jika seseorang dimintai data atau informasi oleh orang yang sedang tertimpa musibah, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu;
- Rasa mudah percaya
Jika seorang individu dimintai informasi oleh kerabat dekat, sahabat, keluarga atau rekan kerja biasanya yang bersangkutan akan langsung memberikan informasi tersebut tanpa rasa curiga;
- Rasa takut terhadap suatu otoritas yang lebih tinggi
Jika seorang pegawai atau karyawan dimintai data atau informasi oleh atasannya atau aparat penegak hukum, biasanya yang bersangkutan akan langsung memberikan informasi tersebut tanpa berani melakukan konfirmasi sebelumnya;
- Kekurangan pengetahuan
Pengetahuan tentang sistem yang dimiliki target adalah salah satu faktor kunci yang membedakan pegawai internal dengan penyerang. Dalam banyak kasus, seringkali pegawai itu sendiri bahkan tidak mengetahui banyak hal mengenai sistem yang berjalan dalam organisasi tersebut. Penyerang akan memanfaatkan kondisi ini dimana penyerang tidak akan mengerti ketika sistem mereka diserang.
Siklus Social Engineering
Setiap serangan Social Engineering bersifat unik, namun secara umum teknik ini memiliki siklus hidup yang umum. Berikut adalah pola umum siklus Social Engineering :
- Pengumpulan Informasi
Untuk mendekati target baik berupa orang atau sebuah organisasi, penyerang akan mengumpulkan sebanyak-banyaknya informasi mengenai target dan lingkungan sekitarnya. Teknik pengumpulan informasi ini dapat mengungkap identitas target dan petunjuk lainnya untuk meningkatkan peluang keberhasilan serangan yang dijalankan. Berikut adalah contoh informasi yang dicari oleh penyerang pada tahap ini :
- Daftar pegawai berikut nomor telepon nya;
- Struktur organisasi;
- Detail informasi setiap bagian;
- Informasi lokasi;
- Informasi sosial media;
- Informasi hubunga kerabat, teman, dan rekan kerja target;
- Menjalin Kepercayaan
Setelah target yang memungkinkan untuk dikendalikan dikenali, selanjutnya penyerang akan mengembangkan suatu hubungan baik dengan target yang merupakan pegawai atau entitas yang bekerja/terlibat langsung dengan organisasi tersebut. Kepercayaan yang berhasil dibangun dari hubungan tersebut selanjutnya dimanfaatkan untuk mengungkap setiap potongan informasi rahasia lainnya yang ada.
- Manipulasi Psikologis
Pada tahap ini, penyerang akan memanfaatkan kepercayaan yang diperoleh pada tahap sebelumnya untuk menggali sebanyak mungkin informasi rahasia/sensitif yang dibutuhkan oleh penyerang. Setelah semua informasi sensitif yang diperlukan telah terkumpul, penyerang akan pindah ke target selanjutnya atau akan langsung memanfaatkan informasi tersebut secara langsung untuk mengeksploitasi sistem atau tujuan lainnya.
- Closing
Setelah semua informasi yang dibutuhkan telah berhasil digali atau tujuan lainnya telah tercapai, selanjutnya penyerang akan membersihkan jejak untuk menghindari segala kecurigaan yang mungkin ada dan mengarahkan terhadap identitas penyerang itu sendiri. Sebisa mungkin penyerang tidak akan meninggalkan barang bukti terkait kejahatan yang dia lakukan.
Teknik Social Engineering
Berikut adalah beberapa teknik yang umum digunakan oleh penyerang :
- Shoulder Surfing
Teknik ini dilakukan dengan cara melakukan observasi terhadap kegiatan target yang sedang beraktifitas menggunakan informasi sensitif miliknya dari belakang. Observasi yang dilakukan bisa dari jarak dekat maupun dari jarak jauh menggunakan teropong. Pada praktiknya, salah satu serangan yang dilakukan adalah peyerang akan “mengintip” dari belakang bahu seseorang yang sedang memasukkan password di ATM atau di PC, yang bersangkutan, sehingga karakter passwordnya dapat terlihat;
- Dumpster Diving
Seringkali, organisasi besar membuang barang-barang seperti buku telepon perusahaan, buku manual sistem, bagan organisasi, panduan kebijakan organisasi, kalender pertemuan, acara dan liburan, cetakan data sensitif atau username dan kata sandi, hasil cetak source code, disket dan kaset, kop surat perusahaan dan formulir memo, dan perangkat keras yang sudah tidak digunakan dengan sembarangan ke tempat sampah. Penyerang dapat memafaatkan barang-barang ini untuk mendapatkan sejumlah besar informasi penting dan rahasia;
- Trojan Horse
Ini adalah salah satu metode paling umum yang saat ini digunakan oleh penyerang dengan menipu korban untuk mengunduh file perusak ke dalam sistem, yang apabila dieksekusi menciptakan backdoor pada sistem yang dapat digunakan oleh penyerang kapan saja di masa mendatang;
- Surfing Online Content
Sejumlah besar informasi mengenai struktur organisasi, email, nomor telepon, tersedia secara terbuka di situs web perusahaan dan forum lainnya. Informasi ini dapat digunakan oleh penyerang untuk memperbaiki pendekatannya dan membuat rencana untuk menargetkan dan metode yang akan digunakan;
- Role Playing
Metode ini melibatkan kegiatan membujuk atau mengumpulkan informasi melalui penggunaan sesi obrolan online, email, telepon, atau metode lain apa pun yang digunakan organisasi untuk berinteraksi secara online dengan publik, bisa jadi berpura-pura menjadi helpdesk, pegawai, teknisi atau pengguna penting dengan tujuan untuk membocorkan informasi rahasia;
- Phising
Metode ini adalah tindakan menciptakan dan menggunakan Situs Web dan e-mail yang dirancang agar terlihat sedemikian rupa seperti Situs Web dan e-mail yang ada untuk menipu pengguna Internet agar mengungkapkan informasi pribadi mereka yang kemudian akan digunakan oleh penyerang. Metode ini paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya penyerang menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank;
- Reverse Social Engineering
Serangan ini adalah serangan di mana penyerang meyakinkan target bahwa dia memiliki masalah dan penyerang mnyatakan siap untuk membantu memecahkan masalah tersebut. Serangan ini melibatkan 3 bagian:
Sabotage: Setelah penyerang mendapatkan akses ke dalam sistem, ia akan merusak sistem atau membuatnya terlihat rusak. Ketika pengguna melihat sistem dalam keadaan rusak, dia mulai mencari bantuan untuk memecahkan masalah;
Marketing: Penyerang akan menawarkan dirinya sebagai satu-satunya orang yang dapat memecahkan masalah tersebut;
Support: Pada langkah ini, penyerang mendapatkan kepercayaan dari target dan memperoleh akses ke dalam informasi sensitif.
Karena sifatnya yang sangat “manusiawi” dan memanfaatkan interaksi sosial, teknik-teknik memperoleh informasi rahasia berkembang secara sangat variatif. Beberapa contoh adalah sebagai berikut:
- Menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia;
- Ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal;
- Mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam;
- Membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga;
- Dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia.
Berikut adalah beberapa cara yang dapat menahan upaya penyerang mendapatkan informasi dengan Social Engineering :
- Melaksanakan training Security Awareness bagi setia orang dalam organisasi;
- Melaksanakan Background Check/Screening untuk setiap pegawai baru yang akan diterima dalam organisasi. Kegiatan ini tidak hanya terbatas untuk pegawai saja, tetapi kemudian bisa diterapkan juga kepada vendor, mitra ataupun pihak lain nya yang akan bekerja secara kontrak dengan organisasi;
- Pengamanan Fisik dengan menerapkan access control dengan baik dan terhindar dari upaya tail-tagging atau pembuntutan;
- Melakukan Social Engineering Drills kepada seluruh pegawai sebagai upaya screening lanjutan dan menjaga kewaspadaan setiap pegawai;
- Membuat kebijakan klasifikasi data untuk membatasi akses terhadap data-data penting dan rahasia;
- Menginstall firewall, anti-virus, anti-spyware dan email filtering;
- Jangan pernah membiarkan orang lain membututi kita;
- Seharusnya terdapat Incident Repsonse Strategy dalam suatu organisasi;
- Penggunaan email, ID dan kontak organisasi dalam domain publik, blog, pendaftaran online dan forum umum yang tidak terkait dengan kepentingan organisasi dilarang;
- Selalu memperhatikan URL dari sebuah website yang dicurigai, karena umumnya website palsu akan memiliki kesamaan yang sangat presisi dengan website asli;
- Dilarang mengirimkan informasi sensitif melalui internet sebelum melakukan pengecekan terhadap keamanan dari website tersebut;
- Jangan mudah mengungkapkan informasi finansial, pribadi melalui email dan jangan merespon email yang meminta data-data tersebut;
- Pastikan akses fisik terhadap ruangan yang berisi data-data rahasia dan penting selalu aman setiap saat;
- Jangan pernah memberikan informasi rahasia terhadap orang yang tidak memiliki wewenang terhadap informasi tersebut;
- Gunakan virtual keyboard untuk melakukan login dalam komputer/Laptop.