Apa itu Social Engineering ?

Perkembangan teknologi saat ini sangat pesat, Namun dengan berkembangya teknologi banyak juga memunculkan celah-celah untuk para hacker berbuat kejahatan. Salah satu bentuk kejahatan yang dilakukan hacker yaitu Social Engineering. Baiklah untuk lebih jelasnya apa itu social engineering,saya akan memberi sedikit penjelasan tentang Social Engineering.

Social engineering adalah pemerolehan informasi dengan cara menipu pemilik informasi. Social engineering umumnya dilakukan melalui Telepon dan Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai atau memberikan informasi itu.

Social engineering memfokuskan pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Faktor utama terjadinya social engineering adalah kurangnya sistem keamanan namun ada faktor lain yang sangat penting dalam system keamanan, yaitu : manusia. Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten dan masih sedikit yang meyadari pentingnya sistem keamanan ini. Contohnya di sebuah perusahaan, seorang admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang kurang peduli terhadap kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang hacker memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan. Atau cara lain yang dilakukan hacker pada kasus diatas seperti seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Target Social Engineering
Ada 5 (lima) kelompok individu yang kerap menjadi korban serangan social engineering, yaitu :
1. Receptionist sebuah perusahaan, karena merupakan pintu masuk ke dalam organisasi yang relatif memiliki data/informasi lengkap mengenai personel yang bekerja dalam lingkungan dimaksud;
2. Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaan, karena mereka biasanya memegang kunci  akses penting ke data dan informasi rahasia, berharga, dan strategis
3. Administrator sistem dan pengguna komputer, karena mereka memiliki otoritas untuk mengelola manajemen password dan account semua pengguna teknologi informasi di perusahaan;
4. Mitra kerja atau vendor perusahaan yang menjadi target, karena mereka adalah pihak yang menyediakan berbagai teknologi beserta fitur dan kapabilitasnya yang dipergunakan oleh segenap manajemen dan karyawan perusahaan; dan
5. Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan.

Teknik / Metode Social Engineering
Secara garis besar social engineering dapat dilakukan dengan beberapa macam teknik, seperti :
1. Pretexting : Pretexting adalah suatu teknik untuk membuat dan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
2. Diversion Theft : Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidan transportasi atau kurir. Dengan meyakinkan kurir bahwa kita adalah pihak legal, kita dapat mengubah tujuan pengiriman suatu barang ke tempat kita.
3. Phising : Phising adalah suatu teknik penipuan untuk mendapatkan informasi privat. Biasanya teknik phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat memasukkan account-nya. Teknik phising bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
4. Baiting : Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa ingin tahu target. Serangan ini dilakukan dengan menginjeksi malware ke dalam flash disk, atau storage lainnya dan meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya.
5. Quid pro pro : Quid pro pro adalah sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target.
6. Dumpster diving : Dumpster diving adalah pengkoleksian data dari sampah perusahaan. Bagi perusahaan yang tidak mengetahui betapa berharganya sampah mereka akan menjadi target para hacker. Dari sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
7. Persuasion : Persuasion lebih dapat disebut sebagai teknik psikologis, yaitu memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode dasar dari persuasi ini adalah peniruan, menjilat, kenyamanan, dan berpura-pura sebagai teman lama.

Banyak teknik dan segala cara dilakukan para hacker agar dapat mendapatkan apa yang diinginkannya, celah utama yang menyebabkan terjadinya social engineering ini adalah manusia itu sendiri,manusia yang belum menyadari bahwa keamanan dalam sistem komputer itu penting  baik itu perusahaan atau pribadi. Semoga di masa sekarang dan akan datang semakin banyak orang-orang yang menyadari betapa pentingnya sistem keamanan komputer saat ini, dan kita hendaknya waspada dan hati-hati terdapat dampak negatif pada perkembangan teknologi saat ini.