Social Engineering

Analyzer CTFL ECSA

Ahaa..seminggu gak nulis di kompasiana sepertinya ada yang kurang afdol, pas hari Jumat ini saya mau sharing sharing lagi soal Information Technology , semoga bisa memberikan wawasan buat pembaca sekalian.

Hari ini topiknya mengenai Social Engineering, apa itu ? Social Engineering adalah suatu cara non teknis intrusi hacker yang berdasarkan pada interaksi sesama manusia dan acapkali dilakukan dengan penipuan identitas dan melanggar aturan keamanan.

Didalam dunia hacker yang namanya social engineering adalah salah satu dari banyak komponen yang termasuk banyak digunakan, misalnya saja dengan meminta sasaranya untuk menjalankan malware / virus / aplikasi tertentu yang mana seolah olah dari teman yang dikenal atau intitusi lain yang meyakinkan. Mereka si pelaku umumnya dalam komunikasinya bersifat membujuk atau malah menakut nakuti, misalnya saja menyatakan bahwa komputernya sudah ter infeksi virus berbahaya, oleh karena itu user diminta untuk menjalankan aplikasi tertentu ( yang ternyata malware).

Pelaku social engineering melakukan apa yang dinamankan “con game “ con singkatan dari confidence. Confidence trick ini yang dikenal dengan nama “con game” , menurut Wikipedia con game termasuk dalam scam, penipuan. Jadi misalnya ada orang yang berusaha mendapatkan akses masuk ke suatu  account bank seseorang dengan cara berpura pura menjadi customer service dari bank tersebut, atau mencoba untuk masuk ke suatu computer dengan account yang sah dan legal maka si pelaku akan berpura pura sebagai system administrator agar mendapatkan akses usernya.Pada umumnya social engineering mengeksploitasi sisi kemanusiaan sasarannya ( mau membantu sesama, mau bekerja sama dll).

Tipe Tipe Social Engineering

Baiting.

Baiting adalah teknis dimana pelaku sengaja meninggalkan media penyimpanan yang isinya malware. Misalnya saja sengaja meninggalkan USB / CD disuatu tempat yang pasti ditemukan oleh targetnya. Ketika si penemu mengambillnya dan lalu mengaksesnya maka tanpa sengaja malware terinstall kedalam komputernya.

Phishing

Menggunakan jalur email dengan berpura pura dari pihak yang sah atau sumber yang dapat dipercaya, isinya berupa pernyataan tipuan yang akan membujuk usernya untuk melakukan tindakan misalmya membuka attachment, mengupload file, menjalankan file exe dll.

Pretexting

Pencurian identitas , berpura pura menjadi orang lain untuk mendapatkan informasi personal, fungsinya adalah untuk memastikan identitas dari si target.

Quid Pro Quo

Permintaan data data personal sebagai pengganti dari sesuatu yang di inginkan. Pelaku meminta account dan password sebagai ganti dari hadiah yang diberikan.

Spear Phishing

Sama seperti metode phishing, namun yang ini specific untuk suatu orang atau organisasi tertentu saja, tujuannya untuk mendapatkan data data finansial atau rahasia perusahaan.

Tailgating

Pencurian identitas disertai dengan akses fisik, misalnya dengan mencuri akses card, menyelinap setelah user yang sah masuk. Tujuannya mencuri rahasia suatu organisasi.

Pencegahan Social Engineering

  • Untuk mengatasi hal ini yang paling terbaik kita lakukan adalah dengan pencegahan, adapun beberapa caranya antara lain :
  • Memberikan training untuk meningkatkan kesadaran atas keamanan.
  • Menggunakan framework keamanan untuk menentukan level keamanan data, dimana data itu disimpan, bagaimana data disimpan, kenapa disimpan dll.
  • Menggunakan protokol keamanan dan kebijakana untuk menghandle Informasi yang sensitive.
  • Menggunakan protokol waste management untuk menghandle sampah dan barang tidak terpakai dari suatu organisasi.

Tokoh tokoh social engineer yang tercatat dalam sejarah adalah misanya Kevin Mitnick ( Hacker),  Christoper Hadnagy ( Creator DEFCON Social Engineer Capture the Flag dan Social Engineer CTF for Kids), Badir Brother ( Phone & Computer fraud – Israel 1990), JB Snyder (World’ top Experrt Banking Security), Pete Herzog ( Neuro Hacker & Notable Social Engineering Reseacher for Non Profit Security Research Organization),  Aaron Craword( Notable Social Engineering Consultant)

Demikian sharing saya untuk hari ini, semoga bermanfaat.


Referensi :

https://en.wikipedia.org/wiki/Social_engineering_(security)

http://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering

http://searchsecurity.techtarget.com/definition/social-engineering