Sosial Enginering

Info4Cyber - hacker sekarang tidak hanya beroperasi di balik komputer untuk menyerang targetnya, mereka juga menghampiri targetnya secara langsung dan berusaha memenangkan kepercayaan mereka untuk mendapatkan informasi berharga yang mereka butuhkan untuk dapat mengakses system yang terlindungi oleh didinding keamanan dan membuat penanganan keamanan apapun menjadi tidak berguna, cara seperti inilah yang biasa disebut sebagai sosial enginering dan hacker.

sosial enginering adalah suatu seni dan ilmu yang membuat orang untuk memenuhi keinginan seorang hacker, kegiatan ini dilakukan dengan trik psikologis kepada pengguna yang sah dari sebuah sistem komputer. Tujuan dari sosial enginering adalah sama seperti hacker yaitu untuk mendapatkan akses ke dalam sebuah sistem, dimana mereka bisa mengincar uang, informasi, atau asset IT yang ada.

cara yang umum di gunakan sosial enginering pertama dengan cara  menelpon pusat data dan berpura-pura menjadi pelanggan yang kehilangan user dan passwordnya. Bentuk lain dari sosial enginering dengan cara membuat website palsu yang menanyakan kata sandi yang dimiliki si pengguna, selain itu ada juga dengan cara berpura-pura menjadi pelanggan untuk mendapatkan informasi yang mereka inginkan seperti password yang dimiliki pelanggan sebenarnya. Mereka juga dapat berpura-pura sebagai orang dalam organisasi tersebut.

Setelah mendapatkan informasi yang cukup maka selanjutnya adalah berusaha mendekati salah seorang staff yang telah menjadi sasaran. Pada tahap ini semua informasi yang telah diperoleh di awal akan di gunakan untuk mendapatkan kepercayaan sasaran tersebut. Misalnya saat bertemu dengan orang yang menjadi sasaran, si hacker dengan menyebutkan nama panggilan dan alamat atasan tersebut. karena merasa informasi yang disebutkan oleh hacker tersebut benar, orang yang menjadi sasaran tersebut mulai mempercayai hacker tersebut.

Setelah berhasil mendapatkan informasi-informasi yang diinginkan pada saat inilah tahapan dari pola penyerangan sosial enginering berakhir dan dilanjutkan denga mengakses sistem yang menjadi sasaran awal dari hacker dengan menggunakan informasi-informasi yang dia miliki. setelah berhasil masuk ke dalam sistem hacker tersebut dapat dengan mudah mencuri, merubah, bahkan merusak sistem dan data di dalamnya tanpa terhalangi oleh sistem keamanan.

Contoh Kasus 1:

kasus yang pernah terjadi di indonesia yaitu kasus pencurian data milik pejabat XL yang dilakukan oleh karyawan HUawei pada tanggal 13 Maret 2009. Pada saat itu perusahaan telekomunikasi, XL sedang mengadakan rapat dngan ihak perusahaan Huawei, perusahaan perangkat jaringan milik China. Kemudian, salah satu karyawan Huawei tersebut menyelinap keluar ruangan rapat lalu menyusup ke ruangan General Manager Network Planning XL Opbet Suwadji yang terletak di lantai 15. Oknum tersebut sempat mengkopi file-file di folder My Document computer milik Opbet, ke dalam Flash Disk miliknya, namun sempat terpergok oleh seorang karyawan XL. Jika pada saat itu pelaku berhasil membawa kabur data-data yang berhasil dia copy dan dimana diantara data-data tersebut terdapat informasi yang sensitif bagi perusahaan, maka perusahaan XL akan mengalami kerugian yang sangat besar karena informasi sensitif perusahaan telah bocor keluar.

Contoh Kasus 2:
Berikut sebuah contoh percakapan seseorang yang hendak mencuri data credit card dengan mengaku sebagai customer service bank. Teknik ini sering kali ditiru bahkan disalahgunakan oleh para carder. Selain dari petugas bank, banyak pula yang mengaku dari petugas departemen lainnya, konsultan keuangan, pihak penjamin kartu kredit, bagian asuransi kartu kredit, dan lain sebagainya. Ilustrasinya adalah sebagai berikut. Korban menerima sebuah telepon dari seseorang yang bersuara ramah dan mengaku sebagai Customer Service tempat bank kartu kredit miliknya. Pada umumnya, mereka beralasan untuk melakukan survei. Umpama korban bernama “Budi”, sedangkan penyerang sebut saja “Fiktif CS”. Berikut contoh dialognya :

Fiktif CS : Halo, selamat pagi. Bisa bicara dengan Bapak Budi?

Budi        : Iya, saya sendiri. Ada yang bisa saya bantu?

Fiktif CS : Bapak Budi, kami dari card center Bank Kaya Raya Sejahtera ingin melakukan survei mengenai kartu kredit bapak sebab kami akan melakukan kenaikan limit untuk kartu kredit yang bapak miliki saat ini.

(Modus tersebut bisa juga berupa perubahan sistem bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan transaksi yang dilakukan sebelumnya, meng-upgrade kartu menjadi Gold/Platinum).

Budi        : O, iya silahkan.

Fiktif CS : Tagihan Bapak Budi dialamatkan kemana?

Budi        : Jl. Kesasar Gang Buntu No.13 Malang sekali.

Fiktif CS : Alamat tinggal Bapak Budi saat ini?

Budi        : Jl. Uranium Niklir no.911

Fiktif CS : Tanggal lahir bapak?

Budi        : 17 Agustus 1945.

Fiktif CS : Maaf Pak, nama ibu kandungnya?

Budi        : Emak Guwe

Fiktif CS : Tolong sebutkan 16 digit nomor kartu kredit bapak.

Budi        : Tunggu sebentar ya, saya ambil dulu dari dompet.

Fiktif CS : Silahkan.

Budi        : Halo, ini nomornya: 1234 5678 9012 3456.

Fiktif CS : Tolong sebutkan 3 angka terakhir di belakang kartu Anda.

Budi        : Kalo yang di belakang, 212.

Fiktif CS : Kartu kredit bapak berlaku sampai kapan?

Budi        : Desember 2015

Fiktif CS : Baik Pak Budi, data Anda sudah cukup. Kartu kredit bapak akan segera kami proses. Terima kasih atas waktunya.

Budi        : Sama-sama.

Sepintas percakapan ini biasa saja dan tak ada yang mencurigakan. Itulah teknik social engineering untuk melakukan fraud/penyalahgunaan kartu kredit. Akibatnya, data kartu kredit Pak Budi dimiliki orang lain.

Saat billing tagihan datang di bulan berikutnya, ada transaksi yang besar. Padahal Pak Budi tidak pernah melakukan transaksi itu. Dari percakapan telpon, limit Pak Budi juga tidak naik. Baru Pak Budi sadar akan kelalaiannya. Dari penjelasan ini, ternyata melakukan aktivitas carding bisa dilakukan dengan mudah tanpa alat, hanya dengan modal nekat yaitu dengan teknik social engineering.