KAP Drs. J. Tanzil & Rekan

Serangan social engineering dapat dilangsungkan dalam 2 jenis : berbasis interaksi sosial dan berbasis ineraksi komputer. Dimana lingkungan yang sering menjadi objek social engineering?

Tempat kerja, telepon, bahkan melalui media online facebook twitter blog. Seperti di film-film, seseorang yang membutuhkan informasi tentang suatu perusahaan dapat berpura-pura sebagai cleaning service, penjual makanan, atau konsultan yang memiliki akses masuk dan menunggu ada karyawan yang tidak sadar menuliskan atau menempelkan password di tempat kerjanya.Hal ini dapat terjadi bukan karena kelemahan sistem komputernya namun karena kelemahan manusianya. Kelemahan manusia yang dieksploitasi oleh mereka yang menggunakan teknik social engineering ialah rasa takut, rasa percaya, bahkan rasa ingin menolong.

Rasa percaya dimanfaatkan mereka yang menggunakan social engineering karena dilakukan tanpa merasa curiga seperti saat seseorang memintai informasi melalui teman baik, sanak saudara, maupun sekretarisnya. Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata: “Halo, ini Antok ya? Tok, ini Septi dari Divisi Marketing, dulu kita satu grup waktu outbound kantor di Probolinggo. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”.

Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan dan nomor telepon Antok diketahuinya dari receptionist.

Normal 0 false false false EN-US X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0in 5.4pt 0in 5.4pt; mso-para-margin:0in; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}

Normal 0 false false false EN-US X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0in 5.4pt 0in 5.4pt; mso-para-margin:0in; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:"Times New Roman"; mso-fareast-theme-font:minor-fareast; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi;}

Rasa takut, jika seorang pegawai dimintai keterangan oleh atasannya atau dari penegak hukum, biasanya akan langsung memberikan informasi yg dimintai tanpa merasa sungkan. Sebagai contoh seorang penipu menelpon helpdesk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut: “Halo, di sini pak Anton, Direktur Keuangan. Saya mau login tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”.

Merasa takut dan sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya, maka yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama Direktur Keuangannya adalah Anton karena melihat company profile dari situs website perusahaan.

Rasa ingin menolong – jika seseorang dimintai informasi dari orang yang sedang tertimpa musibah biasanya mereka akan langsung memberikan informasi tanpa bertanya terlebih dahulu. Adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya:

“Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian identitas penelpon.

Penggalan kisah di atas memberi gambaran social engineering berbasis interaksi sosial. Berarti siapa sajakah yang sering menjadi sasaran social engineering? Terdapat beberapa kelompok besar yang acapkali menjadi korban serangan socila engineering, yaitu :

• Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud.
• Technical support dari divisi teknologi informasi,khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis.
• Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan.
• Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan.
• Dan yang terkahir yaitu karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.

Sungguh tidak dapat dipungkiri bahwa semua bagian dari perusahaan, wajib memiliki rasa “awareness” akan keamanan teknologi informasi.