Berbeda dengan teknik hacking pada umumnya yang membutuhkan pengetahuan tentang bahasa-bahasa pemrograman tertentu, social engineering merupakan teknik hacking yang menggunakan interaksi langsung dengan manusia, memanfaatkan kelemahanya untuk mendapatkan sebanyak-banyaknya informasi penting tanpa dia, si calon korban sadari. Karenanya teknik dalam melakukan social engineering sangatlah variatif. Beberapa contohnya adalah sebagai berikut:
- ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat,
- mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya,
- menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia,
- ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal,
- mengatakan secara meyakinkan bahwa yang bersangkutan terlupa membawa ID-Card yang berfungsi sebagai kunci akses sehingga diberikan bantuan oleh satpam,
- membantu membawakan dokumen atau tas atau notebook dari pimpinan dan manajemen dimana pada saat lalai yang bersangkutan dapat memperoleh sejumlah informasi berharga,
- melalui chatting di dunia maya, si penjahat mengajak ngobrol calon korban sambil pelan-pelan berusaha menguak sejumlah informasi berharga darinya,
- dengan menggunakan situs social networking – seperti facebook, myspace, friendster, dsb. – melakukan diskursus dan komunikasi yang pelan-pelan mengarah pada proses “penelanjangan” informasi rahasia,
- dan lain sebagainya.
Target Korban Social Engineering
Statistik memperlihatkan, bahwa ada 4 (empat) kelompok individu di perusahaan yang kerap menjadi korban tindakan social engineering, yaitu:
- receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud,
- pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis,
- administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan,
- mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
- karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.
Solusi Menghindari Resiko
Setelah mengetahui isu social engineering di atas, timbul pertanyaan mengenai bagaimana cara menghindarinya. Berdasarkan sejumlah pengalaman, berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku kepentingan aset-aset informasi penting perusahaan, yaitu:
- selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan,
- organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan,
- belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering,
- pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat,
- memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” - untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:
- melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis),
- mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”,
- mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi,
- menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi,
- membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya,
- melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.
Peringatan, artikel ini maupun berikutnya, hanya untuk pengetahuan agar anda tidak terjebak di dalamnya. Hal apapun yang anda lakukan yang merupakan pelanggaran hukum setelah anda membaca artikel ini, sepenuhnya menjadi tanggung jawab anda. Terima kasih
Referensi: Seluk Beluk Teknik Social Engineering oleh Prof. Richardus Eko Indrajit
0 komentar:
Post a Comment