Himpunan Mahasiswa Sistem Informasi

Social Engineering : Salah Satu Teknik Pencurian Data Yang Harus Diwaspadai!

26 Mar 2017

Image Source: https://www.bomgar.com/blog/entry/how-bomgar-can-help-combat-social-engineering-attacks#.WNKEBfmGPIU

Seperti yang kita tahu, system keamanan pada informasi pada saat ini bisa dibilang sudah cukup mumpuni di dalam menghadapi ancaman pencurian ataupun manipulasi data. Namun, di balik canggihnya system pengamanan informasi tersebut masih ada celah yang dapat dimanfaatkan beberapa orang ‘nakal’ dalam menyalahgunakan data pribadi kita. Salah satu teknik yang sering dipakai adalah teknik social Engineering.

Apa itu Social Engineering?

Social engineering adalah ancaman yang bersifat non-teknis. Social engineering dapat digunakan oleh banyak pihak baik internal maupun eksternal. Kebanyakan orang menyebut social engineering sebagai suatu aktifitas meretas informasi penting melalui psikis dan pikiran manusia. Berbeda dengan meretas sistem komputer, mendapatkan informasi berharga dari seseorang membutuhkan teknik sosial dan persuasif yang tinggi. Karena objek yang akan mereka “retas” adalah manusia bukan mesin.

Ada beberapa definisi tentang social engineering. Harl dalam bukunya People Hacking menyatakan social engineering sebagai, “…the art and science of getting people to comply with your wishes.” Sedangkan Karen J. Bannan dalam bukunya Internet World menjelaskan, “A social engineer is a hacker who uses brains instead of computer brawn. Hackers call data centers and pretend to be customers who have lost their password or show up at a site and simply wait for someone to hold a door open for them.” Secara definisi Karen ingin menggambarkan bahwa social engineer akan menggunakan otaknya daripada mesin komputer. Artinya mereka meretas sistem menggunakan diri mereka sebagai manusia tanpa perantara komputer.

Siklus Dalam Social Engineering

Berdasarkan data dari SANS Institute, ada empat siklus penting yang sering digunakan dalam mendapatkan informasi melalui social engineering. Siklus tersebut adalah:

  1. Social engineering akan mencari informasi terkait apa yang akan ia cari dan siapa yang bisa ia jadikan target eksploitasi.
  2. Selanjutnya, ia akan membangun hubungan dengan target yang dimaksud. Membangun hubungan tersebut dapat dilakukan dengan berbagai cara seperti bekerja pada organisasi yang ia jadikan target, membangun hubungan pertemanan ataupun persaudaraan bahkan membangun hubungan emosional.
  3. Setelah hubungan terjalin, social engineer akan memanfaatkan psikis mereka untuk dieksploitasi, caranya pun bermacam-macam. Social engineer bisa menggunakan faktor psikis emosional, penyuapan ataupun ancaman untuk mendapatkan informasi sensitif seperti password ataupun akun pada bank ataupun sistem keamanan.
  4. Fase terakhir adalah eksekusi untuk melengkapi siklus social engineering tersebut.

Contoh Social Engineering dalam pencurian Data

  • Phishing Attack

Phising adalah tindakan memperoleh informasi pribadi seperti User ID,Password dan data-data sensitive lainnya dengan menyamar sebagai orang atau oraganisasi yang berwenang melalui sebuah email. Istilah ini berasal dari Bahasa Inggris fishing yang berarti memancing. Dalam hal ini memancing target untuk memberikan informasi penting seperti informasi keuangan dan password yang dimilikinya.

Sebagai contoh pada kasus yang pernah terjadi pada Paypal. Dalam email phising tersebut akan tertulis untuk mengupdate data paypal dan mengganti password paypal karena akun yang korban miliki disinyalir telah disalahgunakan orang dan disertakan link menuju ke website yang mirip 100% seperti paypal yang sebenarnya website tersebut adalah buatan dari si hacker itu sendiri. Dengan cara ini hacker mendapatkan semua data yang diperlukan untuk mengambil alaih akun seseorang. Teknik ini bisa dikembangkan labih lanjut untuk mendapatkan sasaran tertarget atau yang bisa dikenal dengan spear phishing attack. Selain email, teknik ini juga menggunakan media social media seperti facebook untuk mendapatkan korban nya.

Beberapa Cara Pencegahan Social Engineering:

·         Jangan Langsung Percaya

Jika kamu tiba-tiba mendapat email,telepon,pesan singkat telah memenangkan hadiah dan kamu tidak merasa mengikuti hal hal seperti itu,maka jangan ditanggapi. Atau jika kebetulan kamu menabung di bank dan mendapat sms menang undian dari bank tersebut maka jangan langsung percaya, apa lagi nomer yang digunakan adalah nomer pribadi. Satu lagi ketika mendapat telpon yang mengatasnamakan bank dan meminta data-data pribadi, jangan diberikan.

  • Jangan Berpikir serba instan dan gratis

Siapa sih yang tidak mau cepat kaya apalagi dengan cara yang mudah dan cepat. Rasanya hampir semua orang memiliki keinginan tersebut. Kelemahan ini sering dipakai hacker atau penipu untuk meyakinkan korban nya, misalnya investasi bodong dengan bunga 20%sebulan,awalnya memang jalan, namun di bulan 3-4 uang kita justru raib dibawa sang penipu. Nah ketika kita membutuhkan aplikasi premium tapi gak mau beli, biasanya kita memilih aplikasi bajakan dan disediakan crack/key generator, tapi tanpa kita ketahui, di dalam crack tersebut bisa saja telah disipkan malware yang dapat mengancam data kita.
Source : http://www.ciso.co.id/kenali-teknik-social-engineering/

               https://www.tembolok.id/pengertian-social-engineering-contoh-dan-cara-mencegahnya/

https://nic.itb.ac.id/mail/email-phising