Seperti janji saya pada posting sebelumya, kali ini saya akan memberikan beberapa contoh tenik social engineering yang kerap digunakan oleh seseorang tanpa kita sadari bisa terjebak di dalamnya.
Sebelumya sudah saya tuliskan, bahwa jenis social engineering dibagi menjadi dua, yaitu melalui interaksi sosial dan melalui interaksi komputer.
Skenario 1 : Kedok sebagai User Penting
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”.
Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun.
Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Skenario 2 : Kedok sebagai User yang Sah
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”.
Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun.
Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Skenario 2 : Kedok sebagai User yang Sah
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa bantu ya?”.
Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan cek dan ricek.
Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor telepon Iwan diketahuinya dari Satpam dan/atau receptionist.
Skenario 3 : Kedok sebagai Mitra Vendor
Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut:
“Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cumacuma. Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas canggih dari program CRM versi terbaru.”
Merasa mendapatkan kesempatan, kepercayaan, dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu nama-nama yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT Teknik Alih Daya Abadi dan nama-nama klien utamanya.
Skenario 4 : Kedok sebagai Konsultan Audit
Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan pendekatan sebagai berikut:
“Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur. Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”.
Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur keamanan website yang diimplementasikan perusahaannya.
Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai struktur keamanan website yang diimplementasikan perusahaannya.
Tentu saja sang kriminal tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga mempermudah yang bersangkutan dalam melakukan serangan.
Skenario 5 : Kedok sebagai Penegak Hukum
Skenario 5 : Kedok sebagai Penegak Hukum
Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai pendekatan penjahat kepada calon korbannya:
“Selamat sore Pak, kami dari Kepolisian yang bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan spesifikasi jaringan anda secara detail?”.
Tentu saja yang bersangkutan biasanya langsung memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan atau keaslian identitas penelpon.
Contoh-contoh diatas merupakan teknik social engineering yang menggunakan interaksi sosial, pada posting selanjutnya saya akan memberikan contoh teknik social engineering yang menggunakan interaksi komputer.
Peringatan, artikel ini maupun berikutnya, hanya untuk pengetahuan agar anda tidak terjebak di dalamnya. Hal apapun yang anda lakukan yang merupakan pelanggaran hukum setelah anda membaca artikel ini, sepenuhnya menjadi tanggung jawab anda. Terima kasih
Referensi: Seluk Beluk Teknik Social Engineering oleh Prof. Richardus Eko Indrajit
0 komentar:
Post a Comment