Pengertian Social Engineering

 

        Social engineering adalah usaha/kegiatan untuk mendapatkan informasi/hak akses dengan cara memanipulasi psikologis dengan berinteraksi langsung dengan pemilik informasi (orang nya) dan  menipu user secara halus tanpa user sadari.

        Interaksi bisa dilakukan melalui berbagai jalur komunikasi seperti,telfon,sms,email,DM,WA,atau bahkan bertemu langsung dengan orang nya/target/korban.

        Tehnik social engineering ini mengexploitasi celah keamanan(vulnerability) yang dimiliki oleh semua sistem keamanan yaitu faktor manusia/user.

        Ingat tidak ada sistem keamanan yang tidak melibatkan user/manusia sebagai operator didalam nya dan manusia lah yang memegang kendali atas informasi penting yang dimilikinya.

        Jadi tehnik social engineering digunakan untuk mengorek informasi langsung dari pemilik informasi yang sah.

 

Bagaimana Social Enginnering attack dilakukan?

Manipulasi psikologis dikakukan dengan berbagai media yang tujuan nya untuk mempengaruhi pikiran korban,misalnya :

  • Menggunakan suara
    Saat menipu seseorang penipu bisa berbicara untuk meyakinkan korban
  • Menggunakan gambar/video
    Spammer memasang gambar/video  yang erotis/menarik  agar di klik
  • Menggunakan tulisan
    Hacker menulis artikel yang persuasif dan meyakinkan dengan menulis tutorial cara hack akun facebook,tapi akhirnya korban dituntun untuk menginstall tool hacking yang aslinya adalah malware.

 

Siapa Yang Menggunakan Social Engineering

Semua kriminal 100% menggunakan tehnik ini untuk mendapatkan informasi dari korban nya.

Mulai dari tukang copet yang menyamar sebagai penumpang biasa, penipu yang menjanjikan hal luar biasa pada korban nya,sexpredator yang menggunakan facebook untuk berinteraksi dengan korban nya.

Kenapa Menggunakan Social Engineering Attack?

Social engineering mentargetkan rantai terlemah dalam sistem keamanan komputer,yaitu user atau pengguna atau manusia itu sendiri.

vulnerability disetiap sistem
kelemahan system

Bug atau celah keamanan ini bersifat universal,
tidak tergantung platform,sistem operasi,protocol,software ataupun hardware.

Dengan artian,semua sistem tercanggih di planet ini memiliki celah keamanan tersebut.

Lebih Mudah Mengakali User daripada Mesin

Tidak semua pekerjahan hacking (menjebol sistem) murni dilakaukan dari balik layar atau hanya fokus meng exploitasi mesin,karena semakin berkembang nya zaman keamanan komputer juga semakin sulit ditembus.

Teknik ini banyak dipake untuk penyebaran malware atau mendapatkan informasi yang diperlukan hacker,seperti identitas seseorang.

User Adalah Titik Terlemah Dalam Sistem Keamanan

Untuk mendapatkan sebuah akses ke sebuah sistem (komputer,gedung,relasi,komunitas,rasa percaya kita) bisa dilakukan dengan melakukan pendekatan dengan manusia itu sendiri untuk mendapatkan kepercayaan agar pelaku social engineer  bisa melakukan apa yang dia inginkan tanpa korban sadari.

ketika sadar itu sudah sangat terlambat. jadi yang disebut sistem disini bukan hanya komputer tetapi bisa juga pikiran kita sendiri,keamanan sebuah gedung,sebuah kommunitas dll.

Social Engineering Digunakan Juga Oleh Polisi

Social engineering tehnik tidak hanya dilakukan oleh kriminal, tetapi polisi/penegak hukum juga menggunakan tehnik ini untuk memata-matai target operasi dan  mendapatkan informasi tentang target operasi

9 Tehnik Social Engineering Yang Populer

Ada banyak jenis tehnik social engineering yang kerap dipakai di dunia social engineering baik digunakan oleh polisi,intel bahkan kriminal untuk mendapatkan informasi.

Namun ada 9 jenis social engineering populer yang wajib kamu ketahui :

Reverse social engineering (RSE)

Reverse social engineering attack adalah cara untuk mendapatkan hak akses ke suatu sistem dengan cara meyakinkan korban bahwa jika korban punya masalah tertentu sekarang atau dimasa depan penyerang/hacker punya solusi dan siap membantu menyelesaikan masalah.

Tehnik Reverse Social Engineering dilakukan dengan 3 tahap yaitu:

  • Merusak – hacker akan berusaha melakukan pengrusakan terhadap infrastruktur network yang ada sehingga kinerja system akan terganggu dan tidak berjalan sebagaimana mestinya,secara otomatis pemilik system akan berusaha mencari informasi untuk memperbaiki hal ini.
  • Menawarkan Bantuan- Iklan bisa dikirim ke alamat email pemilik sistem yang sebelum nya sender nya sudah di spoof seolah-olah email berasal dari perusahaan security terpercaya, atau bisa dilakukan dengan memberikan  kartunama sebelum serangan dimulai agar ketika hacker mengacaukan sistem si korban akan menghubungi si hacker yang sebelum nya memberikan kartunama /iklan dalam bentuk email
  • Beraksi-Setelah korban melihat iklan dan mengontak teknisi untuk perbaikan sistem (yang sebenarnya adalah si hacker itu sendiri) alih-alih membantu malah si hacker sudah mendapat akses penuh ke sistem dan bisa melakukan hal yang berbahaya seperti menanam backdoor ke sistem,mengambil data rahasia dll

Tehnik ini sering kita lihat di filem-filem box office. dimana pemeran utama menyamar menjadi teknisi atau IT konsultan untuk bisa mengakses perangkat secara fisik/remote dan menanam backdoor.

PiggyBack Ride Attack

Piggiback attack adalah Cara mendapatkan hak akses dengan menumpang seseorang yang memiliki akses /wewenang agar kita mendapat hak akses seperti halnya orang tersebut.

Contoh Piggyback ride attack 
Saat kamu berjalan dibelakang orang yang memiliki akses ke sebuah gedung,begitu orang tersebut membuka pintu dengan security key yang dimilikinya kita ngikut masuk dibelakang nya.

contoh lain seperti ketika hujan lebat kita sengaja membawa banyak barang /membawa kotak di kiri dan kanan kemudian dengan sopan kita meminta tolong seseorang yang ada di sekitar yang memiliki akses untuk membukakan pintu dengan alasan security key yang kita miliki susah diambil karena ada di kantong /tas /lupa di taruh di dalam kotak .dll

Techie Talk (berbicara layaknya ahli)

Kebanyakan hacker sangat mahir dalam hal teknis, ketika hacker akan meakukan social engineering maka si hacker dapat berbicara lancar seperti ahli soal komputer untuk mendapatkan kepercayaan dari si korban.

Contoh Techie Talk Attack
Ketika hacker berpura-pura dari  bagian helpdesk dan memberitahukan kepada korban  bahwa sistem  telah diretas dan si korban harus mengganti password baru ,maka si hacker akan memandu korban nya untuk mengganti password dan menanyakan password apa yang akan digunakan untuk memastikan password yang dipilih korban aman.

Phishing Attack (Scamming)

Phising Attack adalah tehnik untuk mendapatkan informasi sensitif(Data pribadi atau akun ) dari korban dengan cara menulis email yang seolah-olah berasal dari website resmi.

Contoh Phising Attack
Biasanya hacker akan menulis email yang menganjurkan korban untuk meng update data akun dan mengganti password akun dengan dalih akun korban disalah gunakan orang.
Korban akan diminta klik link menuju website mirip100% seperti aslinya dimana website tersebut sebenarnya palsu ayng dibuat oleh hacker itu sendiri.

Teknik ini bisa dikembangkan labih lanjut untuk mendapatkan sasaran tertarget atau yang bisa dikenal dengan spear phishing attack.

Whalling Attack (Memancing Paus )

whalling attack adalah jenis phising attack yang mengincar korban dengan jabatan tinggai di suatu perusahaan dengan tujuan untuk mendapatkan data rahasia perusahaan,dengan pertimbangan makin tinggi jabaran maka punya hak akses lengkap ke data perusahaan.

Contoh Whalling Attack
Hacker bisa mendapat informasi penting seperti kartu kredit dan data pribadi lain nya dengan cara menggali informasi yang dipajang korban secara online.

Semisal,di dalam facebook page nya tertulis bahwa korban alumni universitas A dengan hobby golf, maka si hacker bisa membuat scam email yang seolah-olah resmi dikirim  dari universitas A yang isinya ajakan untuk mengikuti turnamen golf antar alumni danmeminta untuk mengisi formulir yang telah disediakan sebagai syarat mengikuti turnamen tersebut.

Nah formulir yang disediakan adalah data  pribadi yang harus diisi , dengan mengumpulkan data pribadi sepotong demi sepotong,si hacker bisa mendapat 100% data pribadi dari korban.

Vishing attack (Voice or VoIP Phishing attack)

Gagal dengan tehnik phishing atau whaling ? cobalah dengan tehnik vishing , dimana dalam tehnik ini menggunakan telephone utnuk mendapatkan informasi dari si kotban.

hacker bisa berpura-pura menjadi karyawan bank dan memberitahukan bahwa kartu kreditnya ada masalah dan perlu mengupdate data-data lama dengan yang baru.

Dalam percakapan nya korban secara tidak sadar akan ditanyakan nomer CC dan pin serta identitas diri.

Social (Engineer) Networking

Media social seperti facebook,twitter,instagram dll menjadi surga bagi social engineer, di sini sebagian besar orang mengexpose data pribadinya seperti tempat tanggal lahir ,hobi,tempat tinggal,relasi,dll .

Social engineer bisa mendapat kepercayaan dengan menjalin pertemanan dengan korban dan mendapatkan kepercayaan.

Setelah terjalin kepercayaan hacker bisa menyalahgunakan kepercayaan yang telah diberikan oleh korban untuk hal yang merugikan korban.

Neuro-linguistic programming (NLP)

Neuro-linguistik pemrograman (NLP) adalah salah satu alat psikologis yang digunakan oleh para social engineer untuk memanipulasi korban dan jika dilakukan dengan benar hasilnya luar biasa.

NLP Adalah Senjata Social Engineering
Social engineer yang baik harus memiliki pemahaman yang kuat untuk memanipulasi pikiran manusia disinilah peran NLP digunakan kepada seseorang untuk mendapatkan kepercayaan dengan cara berkomunikasi (verbal atau non verbal).

Komentar

Posting Komentar