Social Engineering Attack

SC2

Abstract

Di era informasi ini, informasi pribadi sudah menjadi asset terpenting bagi sebuah kehidupan. Maka dari itu, menjaga suatu keamanan adalah hal yang penting untuk kita dan Perusahaan kita. Keamanan Informasi dapat Bocor bukan hanya dari kesalahan teknis, namun juga bisa melalui kesalahan manusianya sendiri.

Ada beberapa teknik untuk melakukan peretasan. Salah satu teknik yang paling sensitif adalah memanfaatkan psikologis korban. Teknik ini adalah teknik yang sangat sulit diatasi. Disini kita akan membahas bagaimana cara merekayasa social dan cara peretas mengeksploitasi korbannya.

Introduction

What is “Social Engineering ?”

SC1Social Engineering adalah sebuah teknik dalam peretasan yang memanfaatkan kesalahan dari manusia itu sendiri (Korban). Ini karena fakta yang diterima secara luas bahwa manusia adalah “Sistem Terlemah” dalam kerangka keamanan.

Dalam Social Engineering, hacker memanfaatkan sifat alami manusia yang mudah ditebak dan mudah ditipu. Yang dilakukannya adalah meniru orang lain, memuji, atau sekedar berpura-pura ramah terhadap korban. Tujuan Social Engineer Hacker sama dengan hacker lainnya yaitu untuk mendapatkan akses kedalam sebuah system, dimana mereka bisa mengincar uang, informasi, atau asset penting perusahaan.

How does social engineering attack cycle works?

1. Information Gathering

Cara yang pertama kali dilakukan dalam Social engineering adalah pengumpulan informasi korban. Bisa berupa struktur Organisasi, list nama orang dalam, tanggal      ulang tahun, dan cara lainnya yang dapat digunakan nantinya untuk mengembangkan relasi/hubungan dengan korbannya.

2. Development of Relationship

Setelah mendapatkan informasi yang cukup maka selanjutnya adalah mendekati salah satu staff yang telah menjadi sasaran. Pada tahap ini semua informasi yang di dapat akan digunakan untuk mendapakatkan kepercayaan Korban tersebut.

3. Exploitation of Relationship

Setelah mendapatkan kepercayaan dari korban, langkah selanjutnya adalah mengeksploitasi informasi yang didapat untuk masuk kedalam system.

4. Execution to Achieve the Objective

Setelah masuk kesystem, Hacker dapat dengan mudah mencuri, merubah, bahkan merusak system dan data didalamnya tanpa terhalangi system keamanan.

Type of Social Engineering Attack

  1. Phising

Phising diambil dari kata “Fishing” yang berarti “Memancing”. Sesuai dengan artinya, teknik ini digunakan untuk memancing korban masuk kedalam perangkap yang sudah disiapkan oleh hacker.

Phising mempunyai beberapa teknik:

  1. Phising by Email

Teknik ini biasanya paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya Hacker menyamar sebagai pegawai atau karyawan yang mepresentasikan sebuah permasalahan.

Pada gambar tersebut hacker mengirimkan email notifikasi mengenai permasalahan pada akun Apple korban. Kalau di check secara teliti, email itu berisikan link yang mengarah ke Web Phising yang sudah disiapkan oleh hacker Lihat From mailnya, hacker mencoba memanipulasi email tersebut dengan domain Apple yang asli. From Name email juga sama seperti Apple. Ini akan membuat korban menjadi  percaya bahwasannya itu benar-benar dari Pihak Apple.

2. Phising by phone

          Teknik ini sering kita dapat di Ponsel kita, biasanya berupa sms dan telepon dengan alasan kita mendapatkan Hadiah berupa mobil dan uang tunai.

Victims of Social Engineering

  1. Receptionist
  2. IT SUPPORT
  3. SYSADMIN
  4. New Employees
  5. Work Partners

 

  1. How to Resolve Social Engineering Attacks

Setelah mengetahui seperti apa serangan Social Engineering, lantas bagaimana cara menghindarinya?

Berikut hal-hal yang disarankan kepada pemegang aset-aset penting perusahaan, yaitu:

  1. Mengikuti Sosialiasi dan Pelatihan mengenai pentingnya keamanan informasi.
  2. Melakukan Vulnerability Analysis pada perusahaan.
  3. Melakukan Penetration Testing
  4. Menjalin kerja sama dengan pihak ketiga seperti vendor yang berintegrasi dalam dunia Keamanan Informasi.
  5. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya.
  6. Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan informasi.

flyeraryaUntuk mengetahui lebih lengkap mengenai bagaimana teknik dan praktek dari Social Engineering Attack ini ikuti Seminar dan Workshopnya Pada Hari Sabtu 28 April 2018 dan Workshop di hari Minggu Tanggal 29 April 2018. Sampai berjumap di Acara nya.

(Penulis : Abdul Kadir Syamsuir, Praktisi IT & Technopreuneur)

Iklan