Label

Social Engineering



1.   Pengertian
Social engineering adalah suatu teknik ‘pencurian’ atau pengambilan data atau informasi penting/krusial/rahasia dari seseorang dengan cara menggunakan pendekatan manusiawi melalui mekanisme interaksi sosial. Atau dengan kata lain social engineering adalah suatu teknik memperoleh data/informasi rahasia dengan cara mengeksploitasi kelemahan manusia. Contohnya kelemahan manusia yang dimaksud misalnya:
  1. Rasa Takut – jika seorang pegawai atau karyawan dimintai data atau informasi dari atasannya, polisi, atau penegak hukum yang lain, biasanya yang bersangkutan akan langsung memberikan tanpa merasa sungkan;
  2. Rasa Percaya – jika seorang individu dimintai data atau informasi dari teman baik, rekan sejawat, sanak saudara, atau sekretaris, biasanya yang bersangkutan akan langsung memberikannya tanpa harus merasa curiga
  3. Rasa Ingin Menolong – jika seseorang dimintai data atau informasi dari orang yang sedang tertimpa musibah, dalam kesedihan yang mendalam, menjadi korban bencana, atau berada dalam duka, biasanya yang bersangkutan akan langsung memberikan data atau informasi yang diinginkan tanpa bertanya lebih dahulu (Richardus E I).

2.      Tujuan Social Engineering

Tujuan dasar social engineering sama seperti umumnya hacking, mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, matamata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan.
Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit (Bambang S: 2015).

3.      Target Korban Social Engineering
Target yang menjadi korban social engineering biasanya adalah perusahaan-perusahaan besar serta lembaga-lembaga yang kerap bisa dijadikan untuk mencuri uang. Dilihat dari sumber, ada  beberapa kelompok individu diperusahaan yang sering menajadi korban social engineering, diantara adalah sebagai berikut:
  1. Receptionist dan/atau Help Desk sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personil yang bekerja dalam lingkungan dimaksud
  2. Pendukung teknis dari divisi teknologi informasi khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci akses penting ke data dan informasi rahasia, berharga, dan strategis.
  3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan.
  4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan.
  5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar akeamanan informasi di perusahaan (Richardus E I)

4.      Serangan Social Engineering
Social Engineering menempati dua tingkatan, yaitu sebagai berikut:

1.      Tingkatan Fisik
Pada lingkungan fisik yang rawan terhadap serangan-serangan social engineering, tempat kerja, telepon, tempat sampah dan online (internet).

2.      Tingkatan Psikologis
Social engineering dari sudut pandang psikologis, menekankan bagaimana caranya menciptakan lingkungan psikologis yang sempurna untuk suatu serangan. Metode-metode dasar persuasi termasuk : berkedok sebagai orang lain, mengambil hati/ menjilat, mencari kesesusaian, penunjukan tanggung jawab, atau sekadar keramah-tamahan.


  
PHISHING

Phishing adalah teknik menipu untuk mendapatkan informasi pribadi milik korban. Biasanya pelaku mengirimkan email yang seolah-olah dari perusahaan atau badan resmi. Misalnya dari Bank, Toko online atau Badan pemerintah dan lainnya. Email tersebut memiliki tampilan dan tulisan yang sama persis dengan apabila perusahaan resmi yang mengirimkan.
Email palsu ini biasanya berisi formulir data-data pribadi yang harus diisi korban. Data-data pribadi bisa berupa password email, nomor pin ATM atau data-data vital lainnya. Data-data tersebut kemudian bisa dipergunakan untuk kepentingan pribadi pelaku, dan biasanya merugikan korban. Untuk mengintimidasi korban, biasanya dalam email dicantumkan ancaman berupa pembekuan akun rekening bank, penghentian layanan, atau ancaman lainnya apabila formulir data pribadi tidak diisi.

Sumber Bacaan

Bambang S. (2015). Social Engineering. ResearchGate. Diakses dari
https://www.researchgate.net/publication/283084058.

Richardus E I. Seluk Beluk Teknik Social Engineering Diakses dari
https://idsirtii.or.id/doc/IDSIRTII-Artikel-sosial_engineering


Label:

Komentar

Posting Komentar