Seseorang mengaku sebagai kepala pemeliharaan peralatan jaringan dari vendor PT. YY menelepon ke bagiann operasional PT. XX.
X:”permisi, apa benar ini PT. XX? kami dari PT. YY, vendor yang menangani instalasi sistem jaringan di kantor anda.”
Y:”ya benar, ada perlu apa?”
X:”kami mohon maaf atas gangguan ini, kami telah menyiapkan patch terbaru untuk menangani sistem crash yang sering terjadi sesuai dengan feedback dari para pelanggan kami yang lain. Sebelum terjadi dampak yang lebih parah maka dengan ini kami memohon izin untuk melakukan remote ke komputer server anda agar masalah ini dapat diselesaikan secepat mungkin dan dikarenakan layanan yang PT bapak gunakan masih pada masa garansi maka semua layanan ini tidak akan kami kenakan tuntutan biaya perbaikan sedikitpun.”
Y:”lalu, apa yang bisa saya lakukan?”
X:”dalam perbaikan remote ini kami butuh username dan password administrator server anda, bisa tolong diberitahukan kepada kami?”
Karena rasa percaya kepada mitra vendor yang memang mereka gunakan jasanya, maka dengan kepercayaan penuh mereka akan memberikan username dan password server kantor mereka.
Semua informasi yang dikatakan si attacker didapatkan dari informasi-informasi umum PT. XX seperti, internet, koran, majalah kantor dll. Cerita diatas hanya fiktif hasil karangan sang penulis.
Siapa yang bisa lupa kecerdikan Kevin Mitnick mengelabui orang-orang demi mendapatkan informasi yang berharga dan bisa membuat dirinya diburu FBI-Tsutomu Shimomura selama 2 tahun lamanya? Semua itu cukup menggunakan teknik social engineering dan tentunya keahlian komputer tingkat tinggi.^^v
Social engineering adalah suatu teknik pencurian data-data dan atau informasi rahasia dari seseorang dengan cara melakukan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau bisa dibilang adalah teknik pengecohan atau mengeksploitasi kelemahan manusia. Dalam hal keamanan komputer khususnya keamanan jaringan, kelemahan manusia adalah yang paling utama dan paling dimanfaatkan para attacker untuk mendapatkan informasi-informasi rahasia. Walaupun dengan perangkat-perangkat tercanggih seperti firewall yang terus diupdate, IDS yang terus diawasi dan selalu mengawasi lalu lintas paket di jaringan tetapi tetap saja faktanya dari semua itu manusia yang melakukan pekerjaannya. Bagaimana dengan sifat manusia yang pelupa? Rasa takut kepada atasan? Saling percaya? Dan rasa ingin saling menolong kepada sesama? Semua itu terasa perbuatan berdosa ketika informasi rahasia secara tidak sengaja hilang begitu saja dari pengawasan kita yang sudah berhati-hati menjaganya.
Cara menghindari social engineering: rasa was-was dan hati-hati dalam berbicara, belajar dari pengalaman orang lain, kantor harus mengadakan pelatihan untuk melatih menjaga informasi, membuat prosedural harian untuk mengamankan informasi-informasi di komputer, secara berkala melakukan maintenanance sistem dan melakukan pengujian setelahnya (penetration-test) dan mungkin cara lain adalah membangun kerjasama dengan pihak ketiga yang sudah terpercaya secara personal maupun umum.
Maaf bila ada kesalahan kata-kata. I'm just Newbie.
Sumber: Seluk Beluk Teknik Social Engineering by: Prof. Richardus Eko Indrajit <ID-SIRTII>
Tidak ada komentar:
Posting Komentar