Dari sekian banyak cara untuk mendapatkan informasi sensitif, salah satunya adalah memanfaatkan titik terlemah dalam tata kelola manajemen keamanan informasi. Titik terlemah itu adalah manusia. Beberapa organisasi ataupun korporasi besar telah banyak menginvestasikan uang untuk membangun sistem keamanan informasi yang aman. Saat ini sudah banyak teknologi yang mampu mempertahankan sistem keamanan informasi korporasi ataupun organisasi yang berasal dari eksternal mereka. Sayangnya, social engineering memanfaatkan aspek yang tidak bisa dimengerti oleh teknologi yaitu psikis (kejiwaan) manusia.
Dapat dikatakan bahwa social engineering adalah ancaman yang bersifat non-teknis. Social engineering dapat digunakan oleh banyak pihak baik internal maupun eksternal. Kebanyakan orang menyebut social engineering sebagai suatu aktifitas meretas informasi penting melalui psikis dan pikiran manusia. Berbeda dengan meretas sistem komputer, mendapatkan informasi berharga dari seseorang membutuhkan teknik sosial dan persuasif yang tinggi. Karena objek yang akan mereka “retas” adalah manusia bukan mesin.
Ada beberapa definisi tentang social engineering. Harl dalam bukunya People Hacking menyatakan social engineering sebagai, “…the art and science of getting people to comply with your wishes.” Sedangkan Karen J. Bannan dalam bukunya Internet World menjelaskan, “A social engineer is a hacker who uses brains instead of computer brawn. Hackers call data centers and pretend to be customers who have lost their password or show up at a site and simply wait for someone to hold a door open for them.” Secara definisi Karen ingin menggambarkan bahwa social engineer akan menggunakan otaknya daripada mesin komputer. Artinya mereka meretas sistem menggunakan diri mereka sebagai manusia tanpa perantara komputer.
Sedangkan Sir Ross dalam bukunya A Guide to Social Engineering vol.1 mengatakan, “Social engineering is a use of psychological knowledge to trick a target into trusting the engineer, and ultimately revealing information.” Agar social engineering itu berhasil, mereka yang menjalankannya harus menggunakan berbagai tipu daya untuk mendapatkan informasi yang penting. Hal ini senada dengan pendapat Bruce Schneier bahwa social engineering selalu identik dengan kebohongan dan kerahasiaan.
Berdasarkan data dari SANS Institute, ada empat siklus penting yang sering digunakan dalam mendapatkan informasi melalui social engineering. Siklus tersebut adalah:
Pada tahapan pertama, social engineering akan mencari informasi terkait apa yang akan ia cari dan siapa yang bisa ia jadikan target eksploitasi. Selanjutnya, ia akan membangun hubungan dengan target yang dimaksud. Membangun hubungan tersebut dapat dilakukan dengan berbagai cara seperti bekerja pada organisasi yang ia jadikan target, membangun hubungan pertemanan ataupun persaudaraan bahkan membangun hubungan emosional. Setelah hubungan terjalin, social engineer akan memanfaatkan psikis mereka untuk dieksploitasi. Caranya pun bermacam-macam. Social engineer bisa menggunakan faktor psikis emosional, penyuapan ataupun ancaman untuk mendapatkan informasi sensitif seperti password ataupun akun pada bank ataupun sistem keamanan. Fase terakhir adalah eksekusi untuk melengkapi siklus social engineering tersebut.
Masih dikutip dari SANS Institute bahwa ada empat motif yang membuat individu melakukan social engineering. Yaitu:
1. Financial Gain: Social engineer akan melakukan tindakan ini dikarenakan dorongan finansial untuk memuaskan dorongan hati mereka seperti kebiasaan untuk berjudi.
2. Self Interest: Motif ini dilakukan karena ada dorongan untuk merubah informasi atau data yang terkait dengan relasi, keluarga atau kolega mereka.
3. Revenge: Motif seperti ini biasanya terjadi karena social engineer memiliki dendam pribadi pada organisasi atau korporasi yang pernah memperkerjakan mereka.
4. External pressure: Social engineering terjadi karena adanya tekanan terhadap social engineer baik dari eksternal keluarga, kolega ataupun organisasi kejahatan.
1. Financial Gain: Social engineer akan melakukan tindakan ini dikarenakan dorongan finansial untuk memuaskan dorongan hati mereka seperti kebiasaan untuk berjudi.
2. Self Interest: Motif ini dilakukan karena ada dorongan untuk merubah informasi atau data yang terkait dengan relasi, keluarga atau kolega mereka.
3. Revenge: Motif seperti ini biasanya terjadi karena social engineer memiliki dendam pribadi pada organisasi atau korporasi yang pernah memperkerjakan mereka.
4. External pressure: Social engineering terjadi karena adanya tekanan terhadap social engineer baik dari eksternal keluarga, kolega ataupun organisasi kejahatan.
Tidak ada komentar:
Posting Komentar