Seminar & Workshop IT Security Seri 1 Topik Social Engineering Studi Kasus Web Phising

hacker-1952027__340Komunitas Green Cooding Academy (GCA) mulai menunjukkan eksistensi nya sejak di deklarasikan pada bulan Maret 2018. Acara perdana dengan membuat kegiatan seminar dan workshop berseri dimulai pada bulan April dan berlanjut di bulan Mei dan Juli 2018. Topik yang akan dibawakan mengenai IT Security khususnya bagi pengguna internet dan media sosial.

Di sini saya akan menceritakan sedikit kegiatan yang baru saja berlangsung dari tanggal 28-29 April 2018 di Warung Everyday Dr. Mansyur Medan.

Social Engineering Attack

Di era informasi ini, informasi pribadi sudah menjadi asset terpenting bagi sebuah kehidupan. Maka dari itu, menjaga suatu keamanan adalah hal yang penting untuk kita dan Perusahaan kita. Keamanan Informasi dapat Bocor bukan hanya dari kesalahan teknis, namun juga bisa melalui kesalahan manusianya sendiri.

Ada beberapa teknik untuk melakukan peretasan. Salah satu teknik yang paling sensitif adalah memanfaatkan psikologis korban. Teknik ini adalah teknik yang sangat sulit diatasi. Disini kita akan membahas bagaimana cara merekayasa social dan cara peretas mengeksploitasi korbannya.

Social Engineering adalah sebuah teknik dalam peretasan yang memanfaatkan kesalahan dari manusia itu sendiri (Korban). Ini karena fakta yang diterima secara luas bahwa manusia adalah “Sistem Terlemah” dalam kerangka keamanan.

Dalam Social Engineering, hacker memanfaatkan sifat alami manusia yang mudah ditebak dan mudah ditipu. Yang dilakukannya adalah meniru orang lain, memuji, atau sekedar berpura-pura ramah terhadap korban. Tujuan Social Engineer Hacker sama dengan hacker lainnya yaitu untuk mendapatkan akses kedalam sebuah system, dimana mereka bisa mengincar uang, informasi, atau asset penting perusahaan.

Bagaimana Cara Kerja Social Engineering ?

flow soceng

Information Gathering

Cara yang pertama kali dilakukan dalam Social engineering adalah pengumpulan informasi korban. Bisa berupa struktur Organisasi, list nama orang dalam, tanggal ulang tahun, dan cara lainnya yang dapat digunakan nantinya untuk mengembangkan relasi/hubungan dengan korbannya.

Development of Relationship

Setelah mendapatkan informasi yang cukup maka selanjutnya adalah mendekati salah satu staff yang telah menjadi sasaran. Pada tahap ini semua informasi yang di dapat akan digunakan untuk mendapakatkan kepercayaan Korban tersebut.

Exploitation of Relationship

Setelah mendapatkan kepercayaan dari korban, langkah selanjutnya adalah mengeksploitasi informasi yang didapat untuk masuk kedalam system.

Execution to Achieve the Objective

Setelah masuk kesystem, Hacker dapat dengan mudah mencuri, merubah, bahkan merusak system dan data didalamnya tanpa terhalangi system keamanan.

Jenis dari Social Engineering Attack

Phising

Phising diambil dari kata “Fishing” yang berarti “Memancing”. Sesuai dengan artinya, teknik ini digunakan untuk memancing korban masuk kedalam perangkap yang sudah di siapkan oleh hacker.

Phising mempunyai beberapa teknik:

  1. Phising by Email

          Teknik ini biasanya paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya Hacker menyamar sebagai pegawai atau karyawan yang mepresentasikan sebuah permasalahan misalanya sebagai berikut:

Pada gambar tersebut hacker mengirimkan email notifikasi mengenai permasalahan pada akun Apple korban. Kalau di check secara teliti, email itu berisikan link yang mengarah ke Web Phising yang sudah disiapkan oleh hacker Lihat From mailnya, hacker mencoba memanipulasi email tersebut dengan domain Apple yang asli. From Name email juga sama seperti Apple. Ini akan membuat korban menjadi percaya bahwasannya itu benar-benar dari Pihak Apple.

1

2. Phising by phone

          Teknik ini sering kita dapat di Ponsel kita, biasanya berupa sms dan telepon dengan alasan kita mendapatkan Hadiah berupa mobil dan uang tunai.

2

Korban Social Engineering

  1. Receptionist
  2. IT SUPPORT
  3. SYSADMIN
  4. New Employees
  5. Work Partners

Cara Mengatasi Serangan Social Engineering

Setelah mengetahui seperti apa serangan Social Engineering, lantas bagaimana cara   menghindarinya?

Berikut hal-hal yang disarankan kepada pemegang aset-aset penting perusahaan, yaitu:

  1. Mengikuti Sosialiasi dan Pelatihan mengenai pentingnya keamanan informasi.
  2. Melakukan Vulnerability Analysis pada perusahaan.
  3. Melakukan Penetration Testing
  4. Menjalin kerja sama dengan pihak ketiga seperti vendor yang berintegrasi dalam    dunia Keamanan Informasi.
  5. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan    nilainya.
  6. Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan informasi.

(Penulis : Abdul Kadir Syamsuir,  CEO Sofindo, Praktisi IT & Technopreuneur)

Iklan