Social Engineering

Barangkali banyak yang pernah mendengar istilah “social engineering” dan kaitannya dengan hacking. Dan jika sebelumnya kamu sudah coba melakukan pencarian “definisi social engineering” di Google, barangkali kamu diperhadapkan dengan banyak definisi

• seni memanipulasi orang untuk melakukan hal yang diinginkan
• teknik psikologis yang digunakan hacker untuk memperoleh informasi yang dapat dipergunakan untuk mengakses sistem komputer
• memperoleh informasi (password misalnya) dari seseorang ketimbang melakukan usaha pembobolan sistem

Ya, semua itu benar adanya. Tujuan dari social engineering bisa dipastikan adalah untuk memperoleh informasi yang memungkinkan seorang hacker untuk mengakses sistem komputer dan mengakses informasi yang tersimpan di dalam sistem komputer tersebut. Yang menjadi masalah, bagaimana informasi yang dicuri tadi dipergunakan.

Kenapa kita perlu sadar tentang social engineering?

Tak perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau firewall terbaru yang dirilis di pasar, tetap saja hal sederhana bisa menjadi jalur yang mengancam keamanan sistem komputer dan informasi di dalamnya. Coba disimak cerita berikut, yang benar-benar terjadi beberapa tahun lalu:

Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.

Sebelum mendatangi kantor tersebut, mereka mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama penting yang jika di dengar oleh penjaga pintu depan akan membukakan pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk orang-orang dengan akses keamanan tertentu saja yang boleh masuki.

Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service, begitu) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.

Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.

Jika diperhatikan, teknis hacking tidak digunakan sampai bagian akhir cerita di atas. Bagian-bagian sebelumnya memaparkan betapa sifat alami manusia yang bisa ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan adalah gampang percaya.

Ilustrasi dari: cyberarms.wordpress.com

Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.

Lalu kamu berada dimana?

Barangkali kamu merasa apa yang dituliskan di atas tidak berkaitan dengan kamu secara langsung; “hei, saya tidak punya perusahaan” atau kamu ngerasa tidak mengelola sebuah server.

Tunggu dulu, coba jawab pertanyaan ini.

Kamu punya password?

Entah untuk Facebook, Twitter, atau email kamu. Kamu yakin password kamu aman?

Kamu tidak menggunakan tanggal lahir kan untuk password kamu?

Atau jangan-jangan kamu masih mencatat password kamu di secarik kertas?

Atau kamu sudah pastikan gak ada teman yang ngintip ketika kamu mengetikan password kamu?

Setelah kamu membaca cerita di atas, gak perlu pengetahuan teknis tentang hacking kan untuk mendapatkan password kamu. Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk kamu membuka attachment email yang mengandung malware, phisher menggunakanya untuk mendapatkan informasi berharga dari kamu, bahkan ada pembuat scareware yang menakut-nakuti kamu untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak)

Sebaiknya kita semua menyadari bahwa di era informasi digital ini tidak ada informasi yang sepele.