Mengenal Social Engineering, dan Pencurian Data

Menyikapi terjadinya pembobolan rekening bank serta data pribadi melalui modus SIM swap, Kemenkominfo dan BRTI memiliki kewajiban untuk mengedukasi dan mengajak penyedia operator, bank, dan masyarakat untuk lebih waspada. Tujuannya untuk meminimalisir terjadinya kasus pencurian dan pembobolan serupa di kemudian hari.

Mengenal Social Engineering?
Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu.

Modus Social Engineering
Metode Social engineering ini termasuk cara yang paling sering dilakukan pelaku penipuan untuk mengelabui calon korbannya. Para pelaku akan mengaku Costumer Service / Support Staff dari pihak bank, kartu kredit, asuransi dan instansi bidang keuangan lainnya. Modus berawal dari sebuah telepon yang di terima oleh calon korban yang tidak menyadari bahwa pelaku penipuan sedang berusaha untuk mengorek data pribadinya.

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa di sisipi worm atau trojan horse untuk membuat backdoor di sistemnya.

Kiat Hindari Kejahatan Social Engineering
Lalu bagaimana agar kita terhindar dari kejahatan Social Engineering? Pertama, perhatikan cara penyimpanan data, mulai dari username, password mobile banking hingga data nomor rekening. Berikutnya gunakan password yang lebih baik (kombinasi angka, huruf, dan tanda baca). Kemudian jika kehilangan handphone dan sim card, segera hubungi layanan contact center operator telepon dan bank. Terakhir, jangan memberikan data apapun kepada orang/oknum yang mengaku dari pihak bank dan operator.

Perbedaa Hacker dan Cracker

Kata-kata hacker ataupun hacking menjadi begitu familiar semenjak kasus perang hacker yang terjadi antara Australia dengan Indonesia. Namun sebenarnya, hacker bukanlah seorang kriminal, dan hacking bukanlah tindakan yang negatif.
Arti kata hacking dan hacker sekarang ini dinilai mengalami penyimpangan makna oleh salah seorang hacktivist di Indonesia.  Menurut salah seorang staf di komunitas Binus Hacker, hacking adalah kegiatan positif yang dapat memberikan manfaat untuk orang lain.
“Saat ini kata hacking sudah jauh dari manifesto yang ada. Hacking itu bukan seperti yang dilakukan oleh peretas Indonesia yang menyerang situs Australia, itu cracking namanya,” kata hacker yang tak ingin diketahui identitasnya.
Cracking adalah perusakan yang dilakukan dan merugikan orang lain. Sedangkan hacking, meski juga bisa merusak dan memanipulasi data, tapi dilakukan tanpa merugikan orang lain.
Sebaliknya, hacking malah memberikan manfaat bagi orang lain. “Hacker itu melakukan hacking untuk mengetes keamanan sistem seseorang atas izin si pemilik, yang memerlukan bantuan,” jelasnya.
Ia menjelaskan, cara kerja hacker adalah membobol sebuah sistem, mencari suatu sistem yang cacat, lalu memberikan informasi mengenai kecacatan tersebut kepada pemiliki situs agar meningkatkan sistem keamanannya.
Berbeda dengan craker, sebutan bagi orang yang melakukan cracking, yang membobol sebuah situs dan mempermalukan situs tersebut dengan deface (mengubah tampilan laman muka).

Teknik Pencurian Data
Eavesdropping
Eavesdropping adalah aktifitas mendengarkan (listening) terhadap konversasi yg dilakukan pihak lain dengan tidak diketahui oleh pihak tersebut. Umumnya dapat terjadi pada media Telepon, Email, Instant Messaging, dan media komunikasi lainnya.

Snooping
Snooping adalah tindakan mengakses data orang lain tanpa otorisasi seperti halnya eavesdropping. Namun berbeda dengan eavesdropping, snooping tidak terbatas pada usaha mengakses data pada saat data tersebut dikirimkan. Snooping dapat saja dilakukan dengan cara mengintip email orang lain pada saat ditampilkan di monitor atau mengamati seseorang ketika mengetik sesuatu di keyboard. Cara lain yang lebih canggih adalah menggunakan perangkat lunak untuk mengintip apa yang ditampilkan di monitor korban dari tempat lain.

Snooping juga sering dilakukan dengan menggunakan keylogger. Keylogger atau keystroke logger bekerja dengan cara merekam setiap tombol yang ditekan pengguna ketika bekerja dengan komputer, kemudian mengirimkan informasi tersebut ke alamat email seseorang. Hal ini memungkinkan pelaku snooping dapat mengetahui informasi-informasi penting milik pengguna seperti userid, password, nomor kartu kredit, akun bank online, dan lain sebagainya. Informasi tersebut kemudian dapat digunakan oleh pelaku untuk kepentingannya sehingga merugikan korban.

Identity Spoofing
Si penyerang menyamar seakan-akan adalah korban dengan memalsukan data yg dengan demikian memiliki hak akses yg legal terhadap sistem. Spoofing adalah tindakan menyusup ke jaringan di internet dengan cara memalsukan IP Address, kemudian melakukan serangan ke jaringan yang berhasil disusupi tersebut. Cara ini biasa dilakukan oleh hacker/cracker untuk mengecoh firewall dari jaringan yang menjadi target. Firewall biasanya digunakan sebagai penjaga agar paket-paket data yang dicurigai akan masuk ke jaringan dapat dicegah. Dengan memalsukan IP Address, paket data yang datang tersebut seolah-olah berasal dari sumber yang terpercaya sehingga firewall akan membiarkan paket tersebut masuk ke jaringan. Setelah berhasil masuk ke jaringan, paket data tersebut kemudian menjalankan aksi jahatnya Aksi jahat tersebut dapat berupa melumpuhkan sistem keamanan sehingga aksi selanjutnya dapat dilakukan, mencuri data penting, merusak data, dan aksi-aksi lain yang merugikan.

Email spoofing
Email spoofing adalah teknik penipuan yang dilakukan dengan cara memalsukan email header sehingga seolah-olah email tersebut berasatruart”seseorang dan bukan datang dafMpengirim sebenarnya. Tekuk ini senng dilakukan oleh para pelaku sparmm agar email menarik penerima untuk membukanya serta kemudian memberikan respons. Email spoofing juga senng digunakan oleh penipu dengan membuat email seolah-olah berasal dan orang yang dikenal dan dipercaya oleh penerima dan sehingga penerima mau memberikan data penting yang diminta. Jika tidak hati-hati, penerima dapat saja memberikan data pentting tersebut tanpa curiga.

Phishing
Phishing merupakan teknik penipuan untuk mendapatkan data penting korban dengan cara menggunakan halaman web palsu dan mengarahkan korban agar memasukkan data pentingnya di halaman web palsu tersebut. Korban diarahkan dengan menggunakan teknik yang panjang melalui suatu rekayasa sosial.
Pelaku sering mengincar data akun untuk login ke jejaring sosial, seperti Facebook, email, bank online, akun di marketplace, dan. sebagainya…
Sebagai contoh, pelaku ingin mencuri data penting halaman web. Pelaku akan mengirimkan email ke pengguna bersangkutan seolah-olah email tersebut berasal dari Korban akan diminta memperbaiki akun bank online-nya klik link yang disediakan di email yang dikirimkan. Jika korban mengklik link tersebut, korban akan dibawa ke halaman web bank online palsud. Di halaman web tersebut, korban akan diminta memasukkan data pentingnya. Jika tidak hati-hati korban akan memasukkan data penting tersebut tanpa curiga karena menyangka halaman web tersebut merupakan halaman web asli. Selanjutnya data penting tersebut akan digunakan oleh pelaku phising untuk keperluan pribadinya yang tentu saja akan sangat merugikan korban.

Pharming

Pharming adalah bentuk lain dari phishing. Seperti halnya phishing, pharming dilakukan dengan cara mengarahkan calon korban ke halaman web palsu agar calon korban memberikan data pentingnya di halaman web palsu tersebut. Perbedaannya dengan phishing adalah bagaimana cara membawa calon korban ke halaman web palsu tersebut. Pada phishing korban diarahkan ke halaman web palsu dengan membuat suatu rekayasa sosial, sedangkan pada pharming, korban diarahkan ke halaman web palsu dengan cara membajak DNS (Domain Name Service) dari halaman web yang dipalsukan. Hal ini akan membuat korban tidak sadar telah diantarkan ke halaman web palsu dan tanpa curiga memasukkan data pentingnya di halaman web tersebut.
Pharming dapat dicegah dengan cara menginstal program anti pharming di server dan halaman web yang bersangkutan. Menyertakan program antipharming merupakan tanggungjawab dari masing-masing pemilik halaman web penyedia layanan online untuk melindungi pelanggan mereka dari pelaku pharming.

Password-based attack
Memecahkan password dengan bantuan program spesial dengan teknik brute-force.

Denial of Service
Tindakan untuk memblokir akses user ke sistem dengan meng-konsumsi trafik jaringan, cpu, disk space. Biasanya tidak dilakukan secara langsung tetapi oleh komputer-komputer yg telah terinfeksi yg biasa disebut bot. Bot-bot ini akan menyerang sistem secara bersamaan sehingga sistem akan kehabisan resource.

Zero day Exploit
Mengambil keuntungan dari kelemahan perangkat lunak, sehingga dapat memanipulasi sistem sesuai keinginan si penyerang.

 
Sumber :
http://indonesiabaik.id/infografis/modus-kejahatan-pencurian-data-pribadi-dan-cara-menghindarinya
https://techno.okezone.com/read/2013/11/19/55/899456/ini-perbedaan-istilah-hacker-dengan-cracker

M. Yusuf, S.Pd

Leave a Reply

*

captcha *