Metode yang Dipakai
Metode untuk melakukan social engineering bisa dibagi ke dalam dua cara yaitu secara fisik dan secara psikologi. Untuk metode social engineering secara fisik bisa dilakukan dengan mendatangi tempat kerja, melakukan hubungan telepon, memeriksa dari hasil sampah (mengambil sampah orang lain bukan
merupakan pelanggaran hukum) atau dengan koneksi Internet. Bila attacker memilih mendatangi tempat kerja, dia cukup memasuki perusahaan sasaran dengan berpura-pura menjadi konsultan, pegawai operasional, atau siapa pun yang berhak memasuki perusahaan tersebut. Selanjutnya dia bisa memasuki ruang-ruang seperti pada cerita di atas, atau cukup duduk dan menunggu sampai ada pegawai yang secara ceroboh menuliskan atau membicarakan password atau informasi penting lainnya di depannya.
1. Social Engineering dengan melakukan hubungan telepon
Yang paling sering terjadi adalah metode ini . Dengan melakukan sedikit trik seorang attacker yang berpengalaman akan mampu membuat pegawai yang menerima telepon mengucapkan username maupun passwordnya atau informasi lainnya yang dibutuhkan attacker. Biasanya pegawai yang bertugas di lini depan seperti bagian informasi atau customer service yang akan dihubungi karena selain mereka memang dilatih untuk selalu bersikap ramah dan memberikan informasi kepada penelpon. Mereka biasanya hanya mendapatkan sedikit pelatihan mengenai masalah teknik sehingga kurang mengerti bagaimana mengamankan informasi yang penting bagi keamanan perusahaan. Mereka akan selalu berusaha memberikan informasi yang diminta penelpon secepat mungkin agar bisa segera menerima penelpon berikutnya tanpa sempat memikirkan apa yang dapat dilakukan oleh penelpon dengan informasi yang telah diberikannya. Dari mereka biasanya attacker mendapatkan informasi yang diinginkannya dengan mudah. Bisa juga dengan langsung menelpon ke admin. Misalnya setelah seorang attacker mempelajari suatu perusahaan yang menjadi sasarannya, dia akan menelpon ke admin dengan mengaku sebagai pegawai yang ada di perusahaan tersebut. Karena dia telah mempelajari, bisa saja dia mengaku sebagai pegawai A yang menempati ruang kantor sebelah B di urutan meja ke X. Setelah merasa admin bisa diperdaya, dia akan mengatakan ,”Buku catatan kecil saya yang berisikan catatan password tertinggal di meja sehingga saya tidak bisa menyelesaikan pekerjaan saya dari rumah. Bisakah anda mengambilkan untuk saya ?” Seorang admin tentunya terlalu sibuk untuk dapat mengambilkan buku catatan seseorang, dan karena dia telah merasa yakin penelpon adalah pekerja di situ, dia cukup membuka database dan memberitahukan password ke penelpon.
2. Dumpster Diving
Dumpster diving atau juga disebut trashing adalah metode populer lainnya, yaitu attacker mengumpulkan informasi dengan memeriksa sampah perusahaan sasaran. Ada banyak yang bisa didapatkan seorang hacker dari sampah perusahaan selama sampah itu tidak berupa makanan busuk. Buku telepon akan memberikan petunjuk nama dan nomer orang-orang yang bisa dihubungi, kalender menunjukkan pekerja mana saja yang akan bertugas keluar kota pada saat tertentu, catatan kerja harian bisa dipelajari untuk dicari kelemahannya, dan sebagainya.
3. Koneksi Internet
Ketika seorang pekerja sedang melakukan koneksi Internet, tiba-tiba sebuah pop-up window keluar dan mengatakan bahwa koneksinya terputus dan untuk itu dia harus kembali menuliskan username dan passwordnya. Tanpa curiga pekerja tadi akan melakukannya dan semudah itu attacker mendapatkan informasi.
Sebuah kesalahan yang sering dilakukan adalah orang cenderung untuk menggunakan password yang sama untuk berbagai layanan yang dimilikinya, misalnya untuk e-mail, messenger, ATM, dan sebagainya. Akibatnya begitu seorang attacker berhasil mendapatkan password tadi, dia akan bisa memasuki semua layanan yang tersedia untuk orang tadi.
Pengiriman e-mail juga sering dilakukan karena e-mail bisa membawa berbagai virus dan trojan. Misalnya dengan memberitahukan bahwa attachment file yang disertakan di e-mail merupakan patch sistem operasi yang harus segera dijalankan. User mungkin merasa ini bukan hal yang perlu dilakukan verifikasi terlebih dahulu karena merasa e-mail itu berasal dari vendor sistem operasi yang digunakan. Selanjutnya dengan satu langkah klik user telah berhasil menanamkan trojan (meskipun tidak sengaja) yang siap membuka jalan untuk serangan.
Pada intinya dengan bekal pengetahuan dan pemahaman tentang keamanan jaringan yang kurang, manusia sebagai user bisa melakukan berbagai tindakan yang membahayakan keamanan jaringan dan secara tidak langsung membantu attacker untuk menyusup ke dalamnya.
4. Pendekatan Psikologi
Selain cara-cara di atas, seorang attacker bisa menggunakan langkah-langkah psikologis untuk mendapatkan informasi, yaitu dengan mengadakan sebuah ikatan emosional dalam tujuan mendapatkan kepercayaan. Atau seperti yang pernah Kevin Mitnick ucapkan, "That is the whole idea: to create a sense of trust and then exploiting it." Misalnya dengan menjalin suatu hubungan dengan orang dalam, sebagai contoh dengan memacari sekretaris dari pemimpin perusahaan. Dia lalu akan memberikan kesan sebagai orang yang bisa dipercaya dan lambat tapi pasti tidak hanya si sekretaris, tapi setiap rahasia perusahaan pun akan berada di tangannya. Attacker bisa melakukan berbagai hal untuk sekedar menarik simpati atau menjalin hubungan
dengan orang-orang yang dianggap bisa menjadi jalan untuk mencapai tujuannya dan memang pada dasarnya seni dari social engineering adalah bagaimana seorang attacker bisa mendapatkan kepercayaan dari pihak korban.
Sumber : www.konek.co.cc
No comments:
Post a Comment
what are you comments?