Rekayasa Sosial,Social Engineering

Ethical Hacking: Rekayasa Sosial (Social Engineering)

Rekayasa Sosial,Social Engineering

Apa itu Rekayasa Sosial?

Social Engineering atau biasa disebut rekayasa sosial. Meretas menggunakan rekayasa sosial adalah tentang memanfaatkan komponen terlemah dari keamanan setiap organisasi – orang-orangnya. Dengan kata lain, rekayasa sosial meretas orang daripada sistem itu sendiri. Teknik yang digunakan adalah mendapatkan kepercayaan dari orang-orang untuk mengeksploitasi mereka secara jahat dan mendapatkan informasi untuk keuntungan.

Rekayasa sosial bisa menjadi peretasan yang sangat sulit dilakukan, mengingat keberanian dan keterampilan yang dibutuhkan untuk membuat orang asing mempercayai teman-teman. Namun, ini juga merupakan peretasan yang paling sulit untuk dicegah karena setiap individu bertanggung jawab atas keputusan keamanannya sendiri.

Rekayasa sosial dilakukan ketika seorang peretas jahat berpura-pura menjadi orang lain untuk memperoleh informasi yang akan sulit didapat dengan cara lain. Informasi yang diperoleh dari korban kemudian dapat digunakan untuk mencuri file, menghancurkan sumber daya, melakukan penipuan, atau memata-matai sebuah organisasi. Rekayasa sosial berbeda dari upaya peretasan keamanan fisik, tetapi biasanya dilakukan bersama-sama.

Contoh rekayasa sosial meliputi:

  1. Personil pendukung – Peretas mengklaim bahwa mereka mengharuskan pengguna untuk menginstal tambalan atau pembaruan perangkat lunak. Mereka meyakinkan korban untuk mengunduh perangkat lunak, dan peretas kemudian dapat mengakses sistem korban dari jarak jauh.
  2. Vendor produk – Peretas berperan sebagai vendor produk tertentu yang diandalkan organisasi, misalnya, sistem telepon atau perangkat lunak akuntansi. Mereka mengklaim bahwa mereka perlu memperbarui sistem yang ada dan meminta kata sandi administrator.
  3. Karyawan – Beberapa karyawan mungkin berpura-pura bahwa mereka telah salah menempatkan lencana akses mereka untuk mengakses pusat data organisasi. Mereka memberi tahu departemen keamanan, yang menyerahkan kunci kepada mereka, hanya agar mereka mendapatkan akses tidak sah ke catatan digital dan fisik.
  4. Phishing – Peretas kriminal mengirim email berbahaya dengan tautan yang memicu malware dan virus untuk diunduh ke komputer korban. Dengan demikian mereka dapat menguasai sistem dan mencuri data.

Bagaimana Cara Melakukan Peretasan dengan Rekayasa Sosial

Begitu insinyur sosial mendapatkan target yang diinginkan untuk memercayai mereka, mereka mulai mengeksploitasi hubungan untuk mendapatkan sebanyak mungkin informasi yang relevan. Hal ini dapat dicapai baik tatap muka atau melalui sarana elektronik, dengan strategi menggunakan mode komunikasi apa pun yang paling nyaman bagi target potensial. Berikut adalah beberapa strategi yang digunakan peretas selama rekayasa sosial:

Membangun kepercayaan melalui kata-kata dan tindakan

Ada banyak cara yang dapat dilakukan oleh seorang insinyur sosial yang terampil untuk memperoleh informasi orang dalam. Seorang insinyur sosial yang baik akan cerdik, pandai berbicara, dan memiliki kemampuan untuk membuat percakapan tetap mengalir dengan lancar. Di sisi lain, adalah mungkin untuk mendeteksi serangan rekayasa sosial jika peretas jahat menjadi terlalu cemas atau ceroboh. Berikut adalah beberapa tanda serangan rekayasa sosial:

  1. Menjadi terlalu ramah atau antusias untuk bertemu seseorang.
  2. Berbicara tentang orang-orang terkenal dalam organisasi.
  3. Membual bahwa mereka memiliki otoritas dalam organisasi.
  4. Berperilaku gugup saat ditanya.
  5. Menguraikan secara berlebihan tentang hal-hal yang tidak memerlukan hal tersebut.
  6. Berbicara seperti orang dalam namun mereka adalah orang luar.
  7. Memiliki pengetahuan tentang isu-isu yang orang luar tidak seharusnya.
  8. Tampak terburu-buru.
  9. Mengajukan pertanyaan aneh.

Ini semua adalah tanda bahwa seseorang memiliki niat jahat. Tentu saja, seorang social engineer yang baik akan sangat ahli dalam menyembunyikan tanda-tanda ini. Strategi lain yang digunakan insinyur sosial adalah berusaha keras untuk membantu seseorang dan kemudian segera meminta bantuan kepada target. Ini adalah salah satu trik paling umum dan efektif dalam buku rekayasa sosial.

Trik umum lainnya disebut sebagai rekayasa sosial terbalik. Dalam kasus ini, insinyur sosial menyebabkan masalah tertentu terjadi, dan ketika korban yang dituju membutuhkan bantuan, mereka masuk seperti pahlawan super dan memecahkan masalah. Ini membuat mereka lebih dalam ke dalam hubungan dengan calon korban mereka.

Seorang insinyur sosial juga dapat memalsukan lencana kerja dan mendapatkan seragam palsu hanya untuk berbaur dengan karyawan yang sebenarnya. Semua orang di organisasi akan berasumsi bahwa karena mereka berpakaian seperti yang asli, mereka dapat dipercaya dengan informasi.

Phising untuk mendapatkan informasi

Insinyur sosial suka menggunakan teknologi untuk mencapai tujuan mereka. Itu membuat pekerjaan mereka lebih mudah dan lebih menyenangkan. Dalam kebanyakan kasus, mereka mengirim pesan teks atau email kepada korban yang dituju yang tampaknya berasal dari sumber yang dipercaya oleh korban. Namun, alamat email atau alamat IP yang ditampilkan mungkin saja dipalsukan.

Peretas jahat diketahui mengirim email kepada korbannya untuk meminta informasi pribadi yang penting. Email biasanya berisi tautan yang diminta untuk diklik oleh korban. Jika ini terjadi, korban berakhir di situs web yang terlihat profesional dan dapat dipercaya. Tujuannya adalah untuk mencuri informasi rahasia mereka dengan mendorong mereka untuk memperbarui ID pengguna, nomor jaminan sosial, dan kata sandi mereka. Permintaan tersebut bahkan dapat dikirim melalui media sosial, misalnya, Facebook atau Twitter.

Taktik lain yang digunakan adalah membanjiri calon korban dengan begitu banyak email dan email spam sehingga seseorang cenderung menurunkan kewaspadaannya dan membuka setidaknya satu email atau mengunduh lampiran. Korban kemudian ditipu untuk memberikan informasi rahasia dengan imbalan beberapa jenis hadiah.

Ada banyak kasus profil tinggi di mana peretas jahat mengirim tambalan atau pembaruan perangkat lunak kepada korbannya melalui email, yang mengaku berasal dari produsen perangkat lunak terverifikasi. Para korban ditipu untuk percaya bahwa perangkat lunak itu asli, tetapi sebenarnya adalah keylogger kuda Trojan atau bahkan pintu belakang yang memungkinkan peretas mengakses tanpa batas ke dalam jaringan.

Pintu belakang ini memungkinkan peretas jahat untuk langsung menyerang sistem korban atau menggunakannya sebagai zombie. Zombie adalah komputer atau sistem yang diretas oleh peretas jahat dan kemudian digunakan sebagai landasan untuk menyerang sistem lain. Rekayasa sosial juga dapat melibatkan penggunaan virus dan worm. Seorang peretas dapat mengirim email kepada calon korban yang mengaku sebagai kekasih atau pengagum rahasia. Setelah orang tersebut membuka email, komputer mereka menjadi terinfeksi.

Salah satu strategi phishing yang paling terkenal adalah Nigerian 419 scam. Di sinilah insinyur sosial mengirim email kepada seseorang yang mengaku sebagai kerabat orang kaya yang sudah meninggal, atau pengacara orang yang sudah meninggal. Penipu menawarkan untuk membagi warisan (biasanya jutaan dolar) dengan korban yang dituju jika mereka dapat membantu mereka memulangkan dana almarhum ke rekening bank di AS. Korban yang tidak curiga diminta untuk memberikan nomor rekening bank pribadi mereka serta sejumlah uang untuk membayar biaya transfer. Jika korban membuat kesalahan dengan melakukannya, rekening bank mereka dibersihkan.

Apa yang membuat serangan phishing rekayasa sosial begitu efektif adalah kesulitan dalam melacak sumber serangan. Insinyur sosial online bersifat anonim dan mahir menggunakan anonimizer, server proxy, server SMTP, dan remailer untuk menyembunyikan jejak mereka.

Penanggulangan Terhadap Rekayasa Sosial

Insinyur sosial tidak boleh diremehkan. Mereka memiliki kemampuan untuk memanipulasi orang yang naif dan tidak terlatih untuk memungkinkan mereka mengakses sistem komputer. Namun, ada beberapa tindakan pencegahan yang dapat dilakukan untuk melindungi jaringan dari serangan rekayasa sosial. Beberapa dari langkah-langkah ini bersifat korporat dan berlaku terutama untuk organisasi. Ada juga langkah-langkah yang dapat diambil individu untuk melindungi diri mereka sendiri.

Untuk organisasi, kami memiliki kebijakan organisasi yang ketat, serta kesadaran dan pelatihan pengguna.

Kebijakan organisasi yang ketat

  1. Membuat berbagai kelas atau hierarki informasi, di mana pengguna hanya memiliki akses ke beberapa tetapi tidak semua tingkat informasi. Informasi disebarluaskan murni berdasarkan kebutuhan untuk mengetahui.
  2. Membangun sistem ID di mana semua karyawan, kontraktor independen, dan konsultan diberikan ID saat dipekerjakan
  3. Memastikan bahwa semua karyawan, kontraktor, dan konsultan yang tidak lagi bekerja untuk organisasi mengembalikan ID pengguna mereka.
  4. Mengganti password pengguna secara berkala.
  5. Mengambil tindakan segera setiap kali ditemukan perilaku mencurigakan dan pelanggaran keamanan.
  6. Memelihara dengan baik informasi pribadi dan hak milik.
  7. Memastikan bahwa semua tamu yang masuk ke lokasi memiliki pengawalan resmi.

Jika tindakan pencegahan ini menjadi seefektif mungkin, penting untuk menginformasikan orang-orang yang terlibat dan menegakkannya secara menyeluruh.

Kesadaran dan pelatihan pengguna

Jika karyawan suatu organisasi ingin efektif dalam membela diri terhadap serangan rekayasa sosial, mereka harus dilatih tentang cara mendeteksi dan merespons ancaman tersebut. Kesadaran adalah kunci untuk mencegah peretasan rekayasa sosial, jadi semua orang yang terlibat harus berpartisipasi dalam inisiatif kesadaran keamanan secara teratur.

Organisasi harus memastikan bahwa ia memiliki kebijakan keamanan khusus yang selaras dengan langkah-langkah kesadaran dan pelatihan apa pun yang muncul. Sebaiknya juga mendatangkan konsultan keamanan eksternal yang berpengalaman dalam menangani peretasan rekayasa sosial. Ini mungkin sedikit mahal, itu pasti sepadan.

Rekayasa Sosial
Ethical Hacking: Rekayasa Sosial (Social Engineering)

Untuk menetapkan solusi jangka panjang, hal-hal berikut harus diingat:

  1. Masalah kesadaran dan pelatihan keamanan bukanlah sesuatu yang bisa dianggap enteng. Itu bukan pengeluaran, tapi investasi.
  2. Pengguna harus dilatih terus-menerus untuk memastikan bahwa pengetahuan mereka diperbarui.
  3. Karyawan harus memiliki keamanan untuk informasi pribadi dan profesional sebagai bagian dari deskripsi pekerjaannya.
  4. Pastikan bahwa konten yang dibagikan kepada orang-orang disesuaikan dan dikontrol.
  5. Membangun program kesadaran untuk karyawan dan pengguna lain.
  6. Tidak semua pengguna berpikiran atau berbakat secara teknis, jadi atur bahasanya agar tidak terlalu teknis.
  7. Berikan insentif kepada orang-orang untuk melaporkan dan mencegah insiden keamanan
  8. Manajemen puncak harus mempraktekkan apa yang mereka khotbahkan dan memimpin dengan memberi contoh.

Strategi penanggulangan individu meliputi:

  1. Hindari memberikan informasi pribadi atau rahasia kepada orang-orang kecuali teman-teman memverifikasi siapa yang memintanya dan mengapa mereka membutuhkannya.
  2. Jangan mengklik tautan email yang tidak diminta yang mengarah ke halaman web yang meminta informasi pribadi untuk diperbarui.
  3. Jangan arahkan mouse ke tautan email mana pun. Ini mungkin tampak tidak berbahaya tetapi ini dapat memicu malware untuk diunduh ke komputer teman-teman. Jika teman-teman telah menginstal antimalware, itu akan dapat melindungi dari kerentanan tersebut.
  4. Jangan berbagi informasi pribadi dengan orang-orang di media sosial. Insinyur sosial akan mencoba mendekati korban yang tidak curiga dengan permintaan pertemanan dan koneksi di Facebook atau LinkedIn.
  5. Jangan beri tahu orang lain kata sandi teman-teman.
  6. Jangan membuka lampiran email yang berasal dari alamat asing.
  7. Jangan izinkan orang asing terhubung ke jaringan nirkabel atau soket jaringan teman-teman. Yang dibutuhkan peretas hanyalah beberapa detik untuk memasukkan Trojan horse, malware, atau penganalisa jaringan ke dalam sistem teman-teman.