Merupakan aksi yang memncari serta menemukan rahasia
seseorang dengan mengandalkan kelalaian atau kelemahan kesaaran korban.hal ini
banyak dilakukan pada peretas atau hackers untuk mengelelabui para korbannya. Kegiatan
ini banyak dilakukan dengan menggunakn perangkat sederhana seperti telepon, dan
internet sebagai media mengelabui korban. .
Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman,
bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah
disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan
persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri. Ada pula tahap-tahap
untuk melakukan ini seperti :
Tahap pertama adalah tahap yang paling dasar dalam
social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu,
penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan,
peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling
sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas
penyerang.
Cara kedua adalah dengan
menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi
tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain
atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan
bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus
mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak
harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala
fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti
ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai
perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap
dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu,
dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa
memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor
pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke
sistem di perusahaan tersebut dengan account target. Contoh lain, bisa
berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini
bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen
jaringan lainnya.
Cara yang populer
sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target
untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse
untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam
file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara tersebut
biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab,
ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan
yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau
target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan
membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa
bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah
kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk
target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita
bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya
yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat
keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan
tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang penguasa
hacker.
Riset psikologi juga
menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya
sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target
melakukan hal-hal kecil terlebih dahulu. Maka dari itu kita sebagai rantai terlemah
pada keamanan informasi, yang harus kita lakukan adalah meningkatkan kesadaran
akan pentingnya security yang baik.
Tidak ada komentar:
Posting Komentar