Bersenang-senanglah di Dunia Maya dan Dunia Nyata

Thursday, May 14, 2015

Kategori dan Teknik Social Engineering

the clever manipulation of the natural human tendency to trust.
Social engineering sangatlah luas dan bisa dilakukan dengan berbagai media yang ada dalam kehidupan manusia. Media ini bisa saja berinteraksi secara tidak langsung seperti melalui SMS, Email, Internet, ataupun secara langsung, seperti media Telepon dan Manusia itupun sendiri :D dan pada postingan kali ini saya akan membahas tentang Kategori dan Teknik Social Engineering yang sering digunakan para hacker untuk mendapatkan Informasi.


Social Engineering terbagi dalam 2 Kategori yaitu:

  1. Human based social engineering
    Human based social enginering dalam pengertiannya adalah Social Engineering yang didasarkan pada sisi manusianya yaitu dengan melibatkan interaksi antara manusia yang satu dengan yang lainnya. Didalam human based, pelaku social engineering berhubungan langsung atau berinteraksi dengan korbannya.
  2. Computer based social engineering
    Computer based social enginering adalah Social Engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering), dengan bergantung pada software yang digunakan untuk mengumpulkan informasi atau data yang diperlukan.

    Didalam computer based, Social engineering kategori ini memanfaatkan komputer untuk melakukan aksinya seperti: SMS, email, media chatting dan lain sebagainya. Tipe social engineering ini, sangat banyak dilakukan karena berbiaya sangat rendah dan sangat mudah untuk dilakukan.


Teknik Umum Human Based Social Engineering
Umumnya Teknik Human based Social engineering dikategorikan menjadi 5 kategori yaitu:
  1. Impersonation (Pemalsuan)
    Dengan berpura-pura menjadi karyawan, hacker bisa mengakses lokasi-lokasi yang hanya diperuntukan untuk karyawan dan mendapatkan banyak keuntungan darinya. Pernah ada kejadian, kasir pada sebuah hypermart yang tiba-tiba bertambah satu dan celakanya, semua karyawan yang ada menganggapnya sebagai kejadian baru dan wajar. hal ini menunjukan bahwa karyawan palsu bisa melakukan banyak hal tanpa dicurigai.

    Sebagai contoh, hacker juga bisa berpura-pura dengan menjadi karyawan biasa yang meminta bantuan atau pertolongan dari karyawan lainnya. Metode yang sering digunakan adalah memanfaatkan divisi yang tidak terlalu dikenal dan gemuk secara organisasi sehingga tidak banyak orang mengenal secara detail, orang-orang yang ada didalamnya. Hacker bisa menghubungi bagian support kemudian meminta bantuan untuk mereset passwordnya.

    Contoh: Seseorang menyamar sebagai salah seorang karyawan dari suatu perusahaan, petugas kebersihan, kurir pengantar barang, dan sebagainya
  2. Important User (Menyamar sebagai orang penting)
    Masih ingat dengan salah satu faktor yang dieksploitasi oleh hacker dalam serangan Social Engineering? "Fear atau ketakutan". Umumnya manusia ingin mencari aman, apalagi untuk karyawan kecil yang hidupnya pas-pasan. Mereka umumnya ingin menghindari kesulitan dan hal semacam inilah yang akhirnya dengan mudah bisa diekploitasi.

    Disini hacker berpura-pura menjadi orang penting atau pemilik perusahaan yang biasanya memang begitu mengenal karyawan kecil. Dengan memanfaatkan kebiasaan semacam ini, hacker mencoba menekan dengan memberikan batas waktu yang sanga sempit agar karyawan tidak sempat berfikir dan diberikan pula pekerjaan lain yang tidak menimbulkan kecurigaan seperti menyiapkan ruang meeting. Tujuannya adalah agar sebuah jaringan WiFi tanpa password disiapkan sehingga bisa digunakan untuk memasuki jaringan perusahaan.

    Contoh: Seseorang menyamar sebagai seorang yang memiliki kedudukan tinggi di perusahaan dan kemudian berusaha untuk mengintimidasi karaywan atau bawahannya
  3. Third Party Authorization (Pemalsuan Otorisasi)
    Terkadang, berpura-pura menjadi karyawan atau orang penting didalam perusahaan tidak mudah dilakukan terutama didalam perusahaan kecil dimana semua orang mungkin mengenal satu sama lainnya cukup dekat. Menghadapi kondisi semacam ini, hacker bisa berpura-pura menjadi orang yang diberikan tanggung jawab atau kuasa untuk melakukan sesuatu atau dengan kata lain berpura-pura menjadi orang yang diberikan kuasa.

    Contoh : Seseorang berusaha meyakinkan target untuk memberikan informasi yang diperlukan dengan mengatakan bahwa ia telah diberi otorisasi oleh seseorang untuk menanyakn hal tersebut yang biasanya adalah seseorang yang lebih tinggi jabatannya.
  4. Technical Support (Menyamar menjadi bagian Technical Support)
    Cara lain yang juga sering digunakan adalah berpura-pura menjadi karyawan pada bagian Technical Support. Karyawan bagian ini disukai karena mereka adalah orang-orang yang menguasai hal-hal teknis yang biasanya membingungkan banyak orang :v. Karena berhubungan dengan komputer dan sistem komputerisasi penting yang melibatkan banyak data, banyak karyawan yang tidak ragu-ragu untuk selalu mengikuti apa yang diminta oleh orang-orang yang ada dibagian ini.

    Contoh : Seseorang menyamar sebagai salah satu dari tim IT dan berusaha mengumpulkan informasi dari korbannya.
  5. In Person (Mendatangi langsung ke tempat korban)Seseorang mendatangi langsung lokasi target untuk mengumpulkan informasi dari lokasi di sekitar tempat korbannya, antara lain dengan menyamar sebagai petugas kebersihan dan mencari atau mengumpulkan data/informasi dari tempat sampah yang ada di tempat korban atau berusaha melihat sekeliling pada saat user sedang mengetikkan password di komputernya (shoulder surfing). 
Teknik-teknik Lain Human Based Social Engineering
Adapun teknik-teknik lainnya yang sering digunakan para hacker dalam human based social engineering ini, walaupun beberapa jenis yang dicontohkan berikut ini menurut saya tidak cocok dengan definisi yang saya sebutkan hehe :v, ayo langsung saja:
  • Pengintaian
Kejadian semacam ini seringkali terjadi dimana hacker mengintai username dan password pengguna. Umumnya cara ini digunakan untuk pngguna yang berada ditempat umum atau bisa juga pengguna menggunakan komputer dari tempat yang bisa dilihat dari suatu lokasi, Hacker bisa memanfaatkan teropong, atau memanfaatkan peralatan teknologi lainnya untuk membantu proses ini.
  • Shoulder Surfing
Ini hampir sama dengan teknik In Person seperti yang diterangkan tadi, Teknik ini menggambarkan teknik observasi atau pengamatan dengan melihatnya dari belakang. Cara pengamatan ini sangat sering digunakan dalam lingkungan yang ramai karena didalam lingkungan seperti ini, orang-orang tidak saling memperhatikan.

Melihat orang memasukan pin komputer, pin ATM, mengisi form, menekan nomor telp, dsb menjadi kejadian yang umum. Kejadian yang sama juga menimpa pengguna ATM karena itu, pada mesin ATM saat ini seringkali dipasang penutup pada bagian keyboard agar tidak terlihat saat mengetik. Untuk menghindari Shoulder Surfing, sebaiknya anda menutup tangan anda saat menekan tombol agar tidak terlihat oleh orang-orang yang berada disekitar anda yang mungkin saja ada hacker diantara mereka :v.
  • Dumpster Diving
Jangan mengira sampah adalah tempatnya barang-barang yang tidak berguna karena sangat mungkin dan seringkali, sampah berisi informasi-informasi yang sangat berharga didalamnya. Kejadian ini pernah menimpa Microsoft. Pada waktu itu, Oracle menyewa detektif untuk melakukan investigasi terhadap Microsoft secara diam-diam, Agen detekftif yang disewa oleh Oracle ini akhirnya diketahhui karena mereka berusaha membeli sampah-sampah dari Microsoft. Mereka mengumpulkan informasi dari banyak tempat mengenai Microsoft temasuk tong sampah untuk mengetahui rahasia hubungan antara Microsoft dengan perusahaan-perusahaan yang seharusnya independen terkait masalah persaingan usaha tidak sehat.

Disadari atau tidak, sampah memang berisi banyak informasi yang berharga, Saya katakan berharga karena sesuatu yang berharga belum tentu rahasia. Sebagai contoh, dengan mudah anda bisa membuang laporan salah print, tagihan telepon, buku alamat, dsb yang menurut anda tidak berguna. Informasi-informasi inipun bukan informasi rahasia yang anda simpan didalam lemari besi namun informasi semacam ini akan sangat berharga bagi pelaku Social Engineer karena dengan informasi ini mereka bisa melakukan serangan social engineer dengan mudah.

Contohnya: Dengan mengetahui nama-nama karyawan dan mengetahui lingkungan perusahaan secara detail, aksi social engineering akan menjadi jauh lebih mudah untuk dilakukan. Orang-orang yang mengetahui informasi secara detail seringkali dianggap sebagai orang yang memang berasal dari lingkungan tersebut.
  • Tailgating (Membuntuti)
Keamanan apartment memang ketat dan pengunjung harus menggunakan kartu akses untuk membuka pintu yang tentu saja hanya dimiliki oleh penghuni. Bila tidak memiliki kartu akses, pengunjung harus melapor terlebih dahulu ke pos satpam, mengisi buku tamu dan meninggalkan KTP.

Prosedur semacam ini tentu sangat merepotkan karena itu, tidaklah heran banyak yang berpura-pura menjadi penghuni agar tidak perlu mengikuti segala prosedur semacam itu. Masalah kartu akses untuk membuka pintu, biasanya pengunjung ini akan mengikuti penghuni sebenarnya dari belakang. Ketika pintu lobby terbuka, mereka langsung masuk mengikuti penghuni. Cara ini dinamakan sebagai Tailgating.

Sangat banyak orang yang melakukan tailgating dan hal ini juga sudah dianggap sebagai hal yang lumrah, Terkadang, orang akan melakukannya karena memang lupa membawa kartu akses namun seringkali, karena mereka tidak memilikinya. Karena seringkali dilakukan, peugas jaga seringkali juga tidak menyadari adanya tailgating karena mengira orang yang ikut masuk adalah anggota keluarga atau orang yang kebetulan berjalan bersama.
  • PiggyBacking
Sifat manusia yang pelupa dan suka membantu membuat metode yang dinamakan PiggyBacking juga sering digunakan. Pada metode ini, pelaku meminta bantuan kepada orang-orang yang memiliki akses masuk dengan berpura-pura lupa membawa kartu aksesnya. Untuk meyakinkan korbannya, pelaku bisa mengajaknya untuk ngobrol-ngobrol sebentar dengan topik seputar lingkungan yang akan dimasukinya. Cara ini akan menghindari kecurigaan dari korban.

Teknik Computer Based Social Engineering
Social engineering, juga sangat sering dilakukan melalui Media komputer tanpa berinteraksi secara langsung dengan korbannya. Computer Based Social Engineering bisa dibagi menjadi beberapa kategori, yaitu:
  • Instant Chat Messenger
Populernya media chatting dalam menjalin pertemanan, membuat media ini juga menjadi tempat yang disukai untuk melakukan Social Engineering. Melalui media ini, pelaku bisa berinteraksi dan menjalin pertemanan dengan calon korbannya. Pertemanan yang walaupun dilakukan secara virtual, mempunyai efek yang sama dengan pertemanan pada dunia nyata. Setelah mendapat kepercayaan dari korbannya, pelaku bisa melakukan serangan secara halus kepada korbannya.
  • Pop-up Windows
Banyak pelaku Social Engineering yang memanfaatkan pop-up windows ini untuk mengelabuhi pengguna. Umumnya, situs-situs tersebut telah di-hack sehingga pop-up windows yang muncul sebenarnya merupakan halaman yang berbeda sama sekali dengan situs yang sedang anda kunjungi. 

Cara ini akan sangat efektif pada situs-situs yang memang membutuhkan hak akses sebelum digunakan. Bila anda menggunakan situs bank yang tiba-tiba memunculkan pop-up windows meminta anda untuk memasukan username dan password sebelum bisa melanjutkan, apakah anda akan melakukannya? sebagian pengguna akan melakukanya.
  • Surat Berantai (Chain Letter) dan Hoaxes
Surat berantai mungkin sudah sangat tua namun sampai detik ini, metode ini masih saja terus memakan korbannya. Chain letter atau surat berantai biasanya menawarkan hadiah atau barang gratis asalkan korbannya bersedia mengirimkan email yang sama keteman-temannya, dan tentunya hadiah yang dijanjikannya ini palsu.

Terkadang, surat berantai juga disertai dengan ancaman bagi yang tidak memforward email tersebut seperti kecelakaan yang mengerikan, musibah, bankrut, bahkan meninggal dunia yang biasanya membawa nama agama untuk mempengaruhi psikologis manusia (seperti yang beberapa waktu lalu saya mendapat surat berantai ini).
  • Email SPAM
Email SPAM adalah email yang dikirimkan kepada penerima tanpa ijin dari penerima dan biasanya bertujuan komseril. Email SPAM dikirimkan dalam jumlah banyak kepada penerima yang banyak sekaligus. Pengiriman SPAM ini mendapatkan daftar alamat email tanpa sepengetahuan dan seijin dari pemilik email. Biasanya, aktifitas mendapatkan email ini melalui aksi pencurian dengan hacking, pencurian dan terkadang melalui pembelian dari pasar gelap. Emai-email SPAM berisi informasi yang sebagian besar tidak berguna untuk penerimanya. Informasi-informasi ini biasnya untuk mengirimkan email.

Saat ini SPAM adalah masalah dunia karena sebagian besar email yang beredar didunia ini ternyata adalah email sampah. Murahnya email menjadi salah satu sebab pengiriman email SPAM begitu merajalela dan ternyata sebagian besar SPAM dikirim dengan membajak komputer yang kurang pengamanan. Artinya, pengirim SPAM bahkan tidak mengeluarkan biaya sedikitpun untuk semua bandwidth yang dihabiskan untuk mengirimkan email.
  • Phishing
Phishing adalah teknik menipu untuk mendapatkan informasi pribadi milik korban. Biasanya pelaku mengirimkan email yang seolah-olah dari perusahaan atau badan resmi. Misalnya dari Bank, Toko online atau Badan pemerintah dan lainnya. Email tersebut memiliki tampilan dan tulisan yang sama persis dengan apabila perusahaan resmi yang mengirimkan. Email palsu ini biasanya berisi formulir data-data pribadi yang harus diisi korban. Data-data pribadi bisa berupa password email, nomor pin ATM atau data-data vital lainnya. Data-data tersebut kemudian bisa dipergunakan untuk kepentingan pribadi pelaku, dan biasanya merugikan korban. Untuk mengintimidasi korban, biasanya dalam email dicantumkan ancaman berupa pembekuan akun rekening bank, penghentian layanan, atau ancaman lainnya apabila formulir data pribadi tidak diisi.

Nah seperti itulah mengenai Kategori dan Teknik Social Engineering, sebenernya masih banyak lagi teknik-teknik Social engineering dalam dunia kehackeran ini dalam kehidupan sehari-hari maupun dunia maya, cuman untuk saat ini yang saya tahu detil baru seperti diatas :D. Dan nanti pada postingan selanjutnya saya akan memposting tentang cara pencegahannya Social Engineering ini agar para pembaca tahu cara untuk melawan para social engineer black hat yang merajalela. Terima kasih. Salam AA Diaz.

Expliting Human Vulnerabilities

Sumber referensi:
Buku CEH 400% Illegal
http://en.wikipedia.org/wiki/Social_engineering_%28security%29
http://rhatavarium.blogspot.com/2012/04/social-engineering.html



0 Comment:

Post a Comment