Pengenalan Cybercrime
Cybercrime adalah suatu istilah yang mengarah ke aktivitas kejahatan dengan media elektronik komputer dengan perantara jaringan komputer yang bertindak sebagai alat atau jalur terjadinya kejahatan. Contoh kejahatannya seperti penipuan lelang secara online, penipuan kartu kredit/carding, confidence fraud, penipuan identitas, pornografi, pencemaran nama baik, dll.
Cybercrime sering di identikkan dengan sebutan Hacker dan Cracker, awal mulanya istilah tersebut muncul pada tahun 1960-an dan pertama kali digunakan oleh mahasiswa Tech Model Railroad Club yang bekerja di sebuah laboratorium di Massachussets Intitut of Technology.
Dari sisi operasi, cyber crime ini juga memiliki cakupan yang sangat luas. Yang paling sederhana misalnya yang dilakukan oleh mereka yang baru belajar teknik meretas (Script Kiddies) dengan melakukan Deface (memblok homepage suatu website). Level sedikit di atasnya, yang sudah lebih kompleks secara teknikal misalnya dengan serangan DDoS (Distributed Denial of Service), dimana sang peretas menginfeksi sejumlah besar PC untuk kemudian bertindak sebagai zombie yang secara simultan membanjiri port virtual situs target dengan permintaan data palsu. Karena permintaan data palsu ini jumlahnya sedemikian besar, server target akan kehabisan sumberdaya dan ujung-ujungnya down.
Di level yang lebih tinggi lagi, modus operandi cyber crime ini selain menggunakan kecanggihan teknis sekaligus juga memanfaatkan social engineering yang dilakukan oleh organisasi kriminal lintas negara. Dari hasil pembicaraan penulis dengan salah satu praktisi cyber security, masalah kehilangan uang dalam jumlah cukup besar yang menimpa sejumlah pengguna fasilitas internet banking dari beberapa bank ternama beberapa waktu lalu adalah contohnya.
Aksi tersebut jalankan dengan sangat rapi dan terorganisir, melibatkan sejumlah peretas dari berbagai negara, yang dilakukan dalam waktu cukup lama, dan begitu halusnya sehingga susah melacak keberadaan mereka, karena jaringan komputer didunia ini saling terhubung antara satu dengan yang lainnya.
Pengertian Social Engineering
Social engineering adalah teknik pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin boleh juga dikatakan sebagai penipuan. Social engineering membutuhkan kesabaran dan kehati-hatian agar sang koran tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran sepertin sang korban. Social engineering merupakan seni memaksa orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja pemaksaan yang dilakukan tidak secara terang-terangan atau diluar tingkah laku normal yang biasa dilakukan sang korban.
Siapakah Target Penyerangan dengan Social Engineering Ini?
Yang menjadi target untuk penggangguan keamanan jenis ini sudah tentu adalah user atau manusianya. Orang-orang yang memiliki sesuatu yang berharga yang dibutuhkan oleh penyerangnya tentulah merupakan target utama. Dalam dunia IT orang-orang yang memiliki informasi penting, baik di kepalanya maupun di komputernya adalah target utama dari social engineering. Tujuannya adalah untuk mengumpulkan informasi penting tersebut namun bukan dari komputernya, melainkan langsung dari penggunanya.
Manusia cenderung untuk lebih percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, memiliki hubungan kekerabatan, dan memiliki kata-kata atau penampilan yang menyakinkan. Hal ini sering dimanfaatkan pelaku social engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan dan keterkaitan kepadanya. Ya, tanpa kita sadari dia mengkondisikan korban dalam suatu masalah dan membuat (seolah-olah hanya) dialah yang bisa mengatasi masalah itu. Dengan demikian, tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga.
Metode Social Engineering
Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.
Cara yang populer pada saat ini adalah penipuan melalui e-mail, dengan mengirim e-mail yang meminta korban untuk membuka attachment yang tentunya bisa disisipi worm atau trojan horse untuk membuat backdoor di sistem komputer si korban.
Bagaimana Langkah-langkah Melakukan Social Engineering?
Melakukan social engineering yang notabene hampir sama seperti penipuan biasa juga terdiri dari beberapa step proses. Proses-proses tersebut adalah sebagai berikut:
1. Information Gathering
Proses social engineering yang paling pertama dilakukan adalah mengumpulkan informasi. Para social engineering memiliki beribu-ribu variasi cara untuk mengumpulkan informasi dari targetnya. Proses ini dapat dilakukan dengan sesederhana mungkin seperti misalnya mengumpulkan informasi dari list telepon, ataupun sampai yang paling sulit dan detail sepertu nomor-nomor jaminan sosial, username password sebuah halaman site, dan banyak lagi.
2. Develompent of Relationship
Adalah sifat manusia yang paling mendasar untuk dapat mempercayai seseorang. Berkedok sebagai orang yang mengaku memiliki hubungan darah para social engineering bisa dengan mudah memanfaatkan anda dengan informasi yang ia punya mengenai anda ataupun orang yang memiliki hubungan dengan anda.
3. Exploitation of Relationship
Setelah berhasil membuat anda yakin terhadap tipu dayanya, para social engineering akan mengorek semua informasi mengenai targetnya sesuai kebutuhannya seperti kebiasaan si korban, nomor kartu rekening, slip gaji, dll.
4. Execution to Achieve Objective
Proses-proses di atas terkadang perlu diulangi berkali-kali untuk mendapatkan suatu hasil yang pas. Maka dari itu, biasanya para social engineering akan membuat sebuah siklus pada tahap ini. Siklus ini dapat menjadi umpan bagi proses-proses lainnya agar dapat berjalan dengan baik dan tercapai tujuan dari si penyerang tersebut.
Cara Menanggulangi Social Engineering
Ketika seseorang terkena serangan social engineering, langkah yang diperlukan untuk menanggulanginya yaitu :
- Buatlah seperangkat peraturan tertulis kepada client atau orang – orang yang berkaitan dengan usaha anda bertujuan untuk menghalau, mencegah, dan mengurangi serangan social engineering, lalu arahkan mereka untuk mengikuti peraturan tertulis tersebut didalam maupun diluar lingkungan kerja.
- Gunakanlah password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan Anda. Misalnya jangan menggunakan tanggal lahir, nama kecil Anda, nama binatang peliharaan Anda, nama anggota keluarga, dan banyak lagi, karena hal ini bisa jadi sangat mudah dapat ditebak oleh penyerang.
- Membuat batasan hak akses terhadap data – data yang terdapat pada sistem yang dimiliki oleh anggota anda agar keamanan data lebih terjamin.
Kesimpulan :
Social Engineering adalah hacker yang lebih menggunakan interaksi sosial dari pada menggunakan jaringan komputer untuk mendapat informasi yang ia inginkan, dengan berpura – pura menjadi bagian dari korban social engineering berusaha mendapat informasi penting dengan berbagai cara yang halus seperti berpura – pura menjadi pelanggan tetap suatu informasi lalu berdalih kehilangan usernama dan password. Dengan demikian keamanan pada suatu sistem menjadi rentan bahkan tidak berguna lagi. Oleh karena itu perlu adanya suatu prosedur di sebuah instansi yang memberikan edukasi kepada para karyawannya akan bahaya dari social engineering ini dengan menetapkan beberapa aturan/standar resmi mengenai keamanan informasi agar dapat dipatuhi oleh setiap karyawan untuk terjaga data pada sistem dari ancaman hacker (Social Engineering).
Referensi :
- https://publikasi.kominfo.go.id/bitstream/handle/54323613/801/JURNAL-ANALISIS%20PENYERANGAN%20SOCIAL%20ENGINEERING.pdf?sequence=1
- https://id.wikipedia.org/wiki/Social_engineering_(keamanan)
- http://wikidpr.org/news/detiknews-sekilas-tentang-cyber-crime-cyber-security-dan-cyber-war
- http://syah69.blogspot.co.id/2008/09/social-engineering-ancam-keamanan.html
Show Konversi KodeHide Konversi Kode Show EmoticonHide Emoticon