Social Engineering

Tadi pagi saya memberikan presentasi tentang “social engineering” (rekayasa sosial). Apa itu seocial engineering?

Upaya-upaya atau kegiatan  membujuk seseorang untuk melakukan sesuatu. Dalam konteks keamanan informasi, social engineering ditujukan agar target membocorkan informasi rahasia (seperti misalnya password, PIN).

Target dari social engineering memang manusia. Ada tiga faktor dalam keamanan informasi; manusia, proses, dan teknologi. Aspek manusia seringkali merupakan aspek yang paling lemah dalam mata rantai pengamanan informasi,

Teknik-teknik yang digunakan dalam social engineering berbeda dengan teknik penyadapan data, misalnya. Untuk mengetahui password seseorang, kita dapat mengirimkan email yang mengatakan bahwa sistem email target sedang bermasalah sehingga target harus mengganti passwordnya. Ternyata banyak orang yang percaya terhadap email ini dan mengubah passwordnya sesuai dengan instruksi. Padahal instruksinya itu justru membocorkan passwordnya. Misalnya, target diminta untuk mengunjungi situs tertentu untuk mengubah passwodnya. Situs tertentu ini merupakan milik penyerang.

Cara lain yang juga dapat dilakukan adalah membuat berita-berita dengan topik yang sedang populer (trending topic). Target secara tidak sadar mengklik link tertentu yang mengantarkan mereka ke halaman yang berisi malware (malicious software). Tanpa mereka sadari, mereka memasang software trojan horse sehingga komputer mereka dapat dikendalikan dari jarak jauh,

Pencurian identitas (identity theft) juga merupakan salah satu teknik social engineering. Kalau di Indonesia, pencurian identitas ini banyak terjadi di Facebook. Apa yang dapat dilakukan setelah mendapatkan identitas seseorang? Yang lazim dilakukan penyerang adalah … meminta uang (berpura-pura ada yang sakit) atau meminta pulsa. hi hi hi.

Ada beberapa hal yang membuat manusia mudah diserang;

  • suka dipuji-puji – penyerang memulai dengan memuji-muji sehingga mendapat kepercayaan dari target;
  • sopan / sungkan / tidak tega / tidak ingin menyakiti orang – dimanfaatkan oleh penyerang yang tidak tahu malu dan mengeksploitasi “kelemahan” ini;
  • takut kepada atasan (authority) – penyarang berpura-pura jadi atasan (atau pihak yang berwenang) dan memberi instruksi tertentu.

About Budi Rahardjo

Teknologi informasi, security, musik, buku Lihat semua pos milik Budi Rahardjo

7 responses to “Social Engineering

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: