Social engineering dipopulerkan oleh seorang hacker terkenal
bernama Kevin Mitnick pada era tahun 1990-an. Social engineering merupakan
sebuah teknik mendapatkan informasi penting dari korban dengan cara memperdaya
korban dengan memanfaatkan kelemahan interaksi social korban. Menurut Bernz,
social engineering adalah seni dan ilmu bagaimana mendapatkan orang untuk
memenuhi apa yang kita inginkan. Menurut Palumbo, social engineering adalah
sebuah trik psikologi yang digunakan oleh hacker dari luar pada pengguna sah
dari sebuah system komputer untuk mendapatkan informasi yang dibutuhkan agar
mendapatkan akses ke system komputer.
Pada dasarnya, tujuan dari social engineering sama dengan
hacking pada umumnya: mendapatkan akses yang tidak diotorisasi ke dalam system
atau informasi untuk melakukan tindakan illegal, penyerangan jaringan,
mata-mata industri, pencurian identitas,atau menyerangsistem atau jaringan
komputer. Umumnya, perusahaan yang menjadi target adalah perusahaan-perusahaan
besar seperti perusahaan telekomunikasi, militer, lembaga pemerintah, lembaga
financial, rumah sakit, dan sebagainya.
Social engineering memfokuskan pada rantai terlemah sistem
jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer
yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini
bersifat universal, tidak tergantung platform, sistem operasi, protokol,
software ataupun hardware. Setiap orang yang mempunyai akses kedalam sistem
secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social
engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi
persiapan itu sendiri.
Faktor utama terjadinya social engineering adalah kurangnya sistem keamanan namun ada faktor lain yang sangat penting dalam system keamanan, yaitu : manusia. Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten dan masih sedikit yang meyadari pentingnya sistem keamanan ini. Contohnya di sebuah perusahaan, seorang admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang kurang peduli terhadap kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang hacker memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan. Atau cara lain yang dilakukan hacker pada kasus diatas seperti seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
Target Social Engineering
Ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :
1. Receptionist sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Faktor utama terjadinya social engineering adalah kurangnya sistem keamanan namun ada faktor lain yang sangat penting dalam system keamanan, yaitu : manusia. Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten dan masih sedikit yang meyadari pentingnya sistem keamanan ini. Contohnya di sebuah perusahaan, seorang admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang kurang peduli terhadap kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang hacker memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan. Atau cara lain yang dilakukan hacker pada kasus diatas seperti seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
Target Social Engineering
Ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :
1. Receptionist sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Tidak ada komentar:
Posting Komentar