Menyelami Social Engineering

Social Engineering Apakah yang dimaksud dengan social engineering? Apakah social engineering teknik hacking yang mudah atau sulit untuk dilakukan? Saya akan mencoba memaparkan apa yang dimaksud dengan social engineering serta seluk beluk dari teknik ini. Social Engineering Technique Ada prinsip dalam dunia keamanan jaringan yang berbunyi “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa inggrisnya “the strength of a chain depends on the weakest link”. Apa atau siapakah “the weakest link” atau “komponen terlemah” dalam sebuah jaringan komputer? Ternyata jawabannya adalah manusia. Walaupun sebuah sistem telah dilindungi dengan piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, IDS/IPS, dan lain sebagainya, tetapi jika manusia yang mengoperasikannya lalai, maka keseluruhan peralatan itu tidaklah ada artinya. Para kriminal dunia maya paham betul akan hal ini sehingga kemudian mereka mulai menggunakan suatu kiat tertentu yang dinamakan sebagai “social engineering” untuk mendapatkan informasi penting dan krusial yang disimpan secara rahasia oleh manusia. Kelemahan Manusia Menurut definisi, “social engineering” adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Misalnya rasa takut, percaya, dan juga ingin menolong. Tipe Social Engineering Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu berbasis interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka yang memiliki intensi tidak baik. Dalam skenario ini, yang menjadi sasaran penipuan adalah individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama, yaitu melalui medium telepon. Ada yang berkedok sebagai user penting, misalnya direktur keuangan. Lalu sebagai user yang sah, juga sebagai mitra vendor, konsultan audit, penegak hukum. Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti teknik phising melalui email, sms, dan pop-up windows. Target Korban Social Engineering Statistik memperlihatkan bahwa ada 4 kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering, yaitu: Receptionist sebuah perusahaan,  Pendukung teknis dari divisi teknologi informasi, Administrator sistem dan pengguna komputer, Mitra kerja atau vendor perusahaan yang menjadi target karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya,  Karyawan baru yang masih belum paham mengenai prosedur standar keamanan informasi di perusahaan. Solusi Menghindari Resiko Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:Selalu hati – hati dan mawas diri dalam melakukan interaksi dengan dunia nyata maupun maya, Organisasi atau perusahaan mengeluarkan buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, dan Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering.