The Social Engineering
internet
Back up Modul Workshop Social Engineering dan Web Defense
UNSYIAH 11 November 2015
Kata Pengantar
Dalam dinamika perkembangan internet saat ini, selalu diiringi juga dengan meningkatnya kejahatan yang ada didalamnya, dimana ancaman cyber terus berevolusi dan berkembang. Di beberapa tahun lalu saja, banyak serangan cyber yang menimpa beberapa perusahaan global dan itu belum lagi dihitung dengan jumlah dari yang tidak terdata. Menilik dari hasil riset PWC, jumlah serangan diinternet terdeteksi yang terjadi sepanjang 2014 meningkat hingga lebih dari 48% dibanding tahun sebelumnya. Tak hanya dari sisi serangannya, juga total kerugian yang diterima perusahaan korban serangan cyber ini bahkan meningkat hingga 34% dalam rentang waktu tersebut. Dari data ini, dapat disimpulkan bahwa telah terjadi peningkatan serangan cyber yang terdeteksi.
Jika dilihat dari perspektif lain, di balik banyaknya serangan yang terdeteksi ini, tentulah jumlah percobaan penyerangannya lebih besar dari serangan yang berhasil. Karena belum tentu semua percobaan penyerangan tersebut berhasil. Lantas bagaimana dengan serangan yang berhasil masuk ke sistem IT tetapi tidak terdeteksi oleh sistem keamanan? Ini akan jauh lebih berbahaya.
Jelas sekali bahwa ancaman hacking yang tidak terdeteksi oleh sistem keamanan sebenarnya lebih fatal akibatnya ketimbang dari serangan yang terdeteksi. Alasannya sangat sederhana, penyerangan jenis ini bisa bebas menyusup masuk sistem, mencuri berbagai data rahasia, hingga membenamkan malware melalui celah vulnerable yang berhasil ditembus tanpa disadari oleh korbannya. Karena ketidaktahuan ini, banyak orang atau perusahaan sering kali menganggap sistem mereka masih dalam keadaan aman dan kemudian tidak melakukan langkah-langkah lebih lanjut untuk melakukan penanggulangan aksi hacking ini.
Melihat situasi seperti yang tersebut diatas, bisa dikatakan kita tidak lagi dapat bertumpu dengan paradigma yang ada bahwa usaha untuk memblokir setiap ancaman yang menyerang sistem dan berharap sistem yang digunakan tidak akan ditembus. Paradigma tersebut sudah tidak lagi relevan dengan dinamika keamanan internet saat ini. Faktanya, banyak perusahaan besar dunia saat ini sudah tidak lagi terfokus tentang “Bagaimana jika sistem mengalami pembobolan,” tetapi lebih mengarah pada “Apa yang akan terjadi jika sistem dibobol?” Pemikiran ini mengarahkan ke paradigma baru dimana praktisi keamanan IT dituntut untuk mampu mencegah dan menangkal sebuah serangan serta ancaman, baik saat atau sebelum menyerang sistem yang ada.
SOCIAL ENGINEERING
Menurut Wikipedia Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu secara langsung kepada korban atau pihak lain yang mempunyai informasi tersebut.
Social engineering mengkonsentrasikan diri dan menargetkan pada rantai terlemah sistem jaringan komputer, yaitu manusia. Karena tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan yang lebih parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung pada platform apapun seperti sistem operasi, protokol, software/aplikasi ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik merupakan ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Layaknya metode hacking yang lain, social engineering juga memerlukan persiapan, penelitian, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
DESKRIPSI
Secara umum modul workshop ini bertujuan untuk memberikan kesadaran bagi peserta dan pengguna internet untuk mampu mengenali pola serangan cyber berbasis Social Engineering, termasuk menangkal dan mengantisipasi jenis serangan ini. Pengetahuan ini diharapkan akan mampu menjadi wadah sosialisasi untuk membangun kesadaran akan pentingnya membendung kejahatan IT termasuk mengupayakan tercapainya tujuan internet sehat dan aman.
Oleh karena hal itu maka modul workshop IT security ini dikembangkan dengan mengintodusir materi analisis dari pola serangan cyber Social Engineering berbasis sosial sebagai instrumen untuk membantu peserta untuk lebih memahami dan alur dan struktur sebuah serangan cyber social engineering.
HUMAN VULNERABLE
Beranjak dari hal diatas, Social Engineering bisa dikatakan merupakan sebuah aksi paling umum saat ini yang digunakan oleh hacker untuk menjebol sistem. Mereka memanfaatkan celah dari “Human Error”. Baik karena ketidaktahuan, kelalaian atau ketidakperdulian pengguna sistem itu sendiri. Social Engineering bahkan dianggap merupakan tehnik tertinggi dari sebuah aksi hacking, dimana tehnik ini bersifat sangat luas dan tidak terbatas pada kemampuan sistem, karena jelas sekali jenis exploitasi ini menargetkan kelemahan pengguna sistem itu sendiri dengan berbagai cara yang bisa dikatakan sangat kental dengan unsur psikologi korbannya.
Secara umumnya tehnik social enginnering terdiri dari beberapa hal berikut:
Pretexting: Pretexting adalah suatu teknik dengan menggunakan skenario yang diciptakan yang melibatkan korban yang ditargetkan dengan cara meningkatkan kemungkinan agar korban membocorkan informasinya. Pretexting bisa disebut sebagai kebohongan yang terencana dimana telah diadakan riset data sebelumnya untuk mendapatkan data-data akurat yang dapat meyakinkan target bahwa kita adalah pihak yang terautorifikasi.
Diversion Theft: Diversion Theft atau yang sering juga dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidang transportasi atau kurir. Dengan meyakinkan kurir bahwa attacker adalah pihak yang legal, maka hacker dapat mengubah tujuan pengiriman suatu barang ke tempat yang diinginkannya.
Phising: Phising adalah suatu teknik penipuan untuk mendapatkan informasi personal. Biasanya phising dilakukan melalui email dengan mengirimkan kode verifikasi bank atau kartu kredit tertentu dan disertai dengan website palsu yang dibuat sedemikian rupa terlihat legal agar target dapat tertipu dan login di page yang palsu. Teknik phising ini bisa dilakukan melalui berbagai macam media lain seperti telepon, sms, dsb.
Baiting: Baiting adalah Trojan horse yang diberikan melalui media elektronik pada target yang mengandalkan rasa keingintahuan targetnya. Serangan ini umumnya dilakukan dengan menginjeksi malware ke dalam flash disk, atau media storage lainnya dan terkadang meninggalkannya di tempat umum, seperti toilet umum, telepon umum, dll dengan harapan target akan mengambilnya dan menggunakannya pada komputernya untuk kemudian di exploit.
Quid pro quo: Quid pro quo adalah sesuatu demi sesuatu. Biasanya penyerang akan menelpon secara acak kepada suatu pribadi atau perusahaan dan mengaku berasal dari technical support resmi dan berharap user akan menelpon balik untuk meminta bantuan. Kemudian, attacker akan “membantu” menyelesaikan masalah mereka, dan secara diam-diam pula mengambil informasi penting atau memasukkan malware ke dalam komputer target.
Dumpster diving: Dumpster diving adalah mengkoleksi data dari sampah perusahaan. Banyak perusahaan yang belum mengetahui betapa berharganya data sampah mereka, dan menjadi akan menjadi target para hacker. Dari data sampah yang dikumpulkan seperti buku telepon, buku manual, dan sebagainya akan memberikan hacker akses besar pada perusahaan tersebut.
Persuasion: Persuasion lebih dapat disebut sebagai teknik psikologis, yakni dengan memanfaatkan psikologis target untuk dapat memperoleh informasi rahasia suatu perusahaan. Metode basic dari persuasi ini adalah meniru, menjilat, kenyamanan, dan bahkan berpura-pura sebagai teman lama.
Beberapa contoh dari aksi hacking dengan tehnik Social Engineering;
1. Aksi Social Engineering Murni. Tehnik ini murni manipulasi psikologis. Dan hanya hacker yang sudah sangat berpengalaman dan memiliki pengetahuan psikologi yang mampu melakukan tehnik ini, disebut juga sebagai level tertinggi dalam dunia black hat. Hacker yang bermain disini biasanya mempelajari prilaku target dan kebiasaanya dengan mengumpulkan informasi sebanyak-banyaknya, mereka akan berusaha menipu, menyamar, meyakinkan calon korbannya untuk mendapatkan akses yang mereka cari, paling minim adalah untuk mencari tahu tingkat persentase kemungkinan password yang digunakan oleh korbannya. Banyak orang memilih password yang sederhana dengan alasan “mudah diingat”. Dan ini yang menjadi celah psikologis untuk diexploitasi oleh hacker. Dengan mengetahui data dan psikologi korbannya, hacker akan dengan mudah menebak jenis password yang digunakan, seperti tanggal lahir, nama suami, istri atau pacar, nama hewan kesayangan, cita-cita bahkan hobi. Sebagai contoh, seseorang yang sangat menggandrungi dunia balap sepeda motor, pada umumnya mereka juga akan memilih password yang relevan dengan hal tersebut, bisa jadi seperti “valentinorossi” misalnya.
2. Melakukan injeksi malware secara manual. Tehnik ini adalah sangat klasik, dimana hacker akan berupaya untuk mendekati korbannya secara berhadapan dan langsung, menggunakan berbagai cara untuk bisa membenamkan malware didalam komputer targetnya. Seperti yang kita ketahui bersama, banyak hacker mengandalkan malware untuk menyusup kedalam sustem korbannya, mereka menyadari untuk melakukan serangan secara langsung ke dalam sistem target tentunya tidak segampang membalikkan telapak tangan, mereka harus berhadapan dengan firewall, antivirus atau software-software keamanan jaringan lainnya. Maka upaya yang mereka lakukan akhirnya dengan mengiming-imingi targetnya dengan sebuah file yang telah disusupi oleh malware. Begitu file berbahaya tersebut sudah masuk kedalam sistem, maka malware akan segera mengambil alih sistem dan melakukan koneksi ke server yang dibuat oleh hacker, dan hasilnya? Hacker mampu melakukan penyadapan data penting bahkan melakukan full take over control dari korbannya.
3. Memasang malware di jaringan. Tehnik ini identik dengan hal diatas, hanya saja perbedaannya, hacker yang bermain di tehnik ini tidak berhadapan langsung dengan targetnya, mereka mencoba menebar perangkapnya via jaringan internet. Misalnya dengan menyisipkan malware pada sebuah aplikasi dan kemudian menguploadnya ke penyedia jasa layanan download, dan kemudian mulai melakukan pendekatan terhadap korbannya dengan harapan sang korban bersedia untuk mendownload aplikasi dari tautan yang berisi malware tersebut.
4. Login palsu/Fake Login. Sebuah tehnik paling umum yang dilakukan hacker untuk mendapatkan akses username dan password dengan menampilkan halaman login palsu yang menyerupai halaman login aslinya, user yang kurang jeli akan terjebak dalam perangkap ini sehingga tanpa disadari user akan dengan sukarela memberikan aksesnya kepada hacker. Fake login juga umum ditemukan di kafe-kafe wifi di kota banda aceh, dimana user yang kurang jeli akan terperangkap kedalam halaman login palsu dimana hacker juga sudah mengaktivkan MITM untuk melakukan sniffing data dari trafik yang ada. Tak jarang pula mereka berupaya melumpuhkan akses point yang asli dan memaksa user untuk terhubung ke hotspot malware yang mereka buat. Fake login juga banyak ditemukan di website-website toko online untuk membajak data kartu kredit. Hacker memanfaatkan celah vulnerable dari web store online untuk kemudian memasang fake login atau fake payment form. Banyak administrator web toko online yang kurang sigap dengan celah ini termasuk juga usernya. Berikut beberapa jenis fake login yang banyak ditemukan.
1. Fake Wifi Hotspot
Hotspot wifi buatan hacker yang sengaja dipasang untuk tujuan sniffing trafik.
2. Fake Login Direct. Hacker memanfaatkan kelalaian user dalam mengetik URL, sebagai contoh, seorang user hendak login di halaman “facebook.com”, namun user melakukan kesalahan dalam mengetik URL yang dimaksud menjadi “fecabook.com” sehingga tanpa sadar telah landing di halaman web palsu milik hacker yang menyerupai web aslinya. Tehnik lainnya. hacker meminta atau bahkan menebar link berisi login palsu dengan iming-iming tertentu secara acak.
2. Fake Login Redirect.
Sebuah serangan MITM yang memaksa user untuk redirect ke tautan yang berisi halaman login palsu.
2. Fake Form Payment Online Store
Form pembayaran palsu untuk mendapatkan data user dan kartu kredit, biasanya ditemukan di web store palsu pula.
3. Fake Reset Email
Sebuah email palsu yang berisi pesan yang menakut-nakuti korbannya dan meminta korbannya untuk mereset password sesegera mungkin, dalam email tersebut hacker akan menyertakan tautan berisi halaman reset palsu pula untuk mendapatkan username dan password.
4. Fake Apps
Hacker menyebarkan aplikasi yang banyak dicari oleh pengguna internet, dimana dalam aplikasi tersebut hacker meminta kepada penggunanya untuk memasukkan username dan password dari email atau akun sosial media dengan dalih untuk mendapatkan akses PRO di aplikasi tersebut.
PENCEGAHAN
Nah dikarenakan serangan cyber jenis ini lebih mengarah ke personal korbannya, maka fokus utama untuk mencegah serangan ini adalah dengan melakukan “patch” pada user itu sendiri, disamping tetap melakukan perbaikan pada sistem, berikut beberapa pencegahan yang bisa melemahkan tingkat serangan cyber berbasis social engineering.
1. Mengenali dan memahami pola dari serangan ini adalah poin paling penting sebagai pencegahan, yakni dengan mengubah beberapa kebiasaan dalam jaringan internet seperti kebiasaan menggunakan password yang sama untuk banyak akun lainnya yang berbeda. Tidak memberikan informasi penting kepada orang yang belum dikenal, selalu melakukan konfirmasi terhadap suatu tawaran yang mengaku-ngaku pihak yang legal. Dan yang paling penting adalah tidak ketinggalan update informasi, karena hal itu akan sangat membantu untuk mengenali pola kasus penipuan dan rekayasa di jaringan. Pengguna juga harus sadar bahwa dalam menjaga keamanan informasi, pengguna dari informasi itu sendiri memiliki peranan yang sangat penting, dimana kekuatan dari sebuah keamanan informasi sangat berpengaruh dari keterlibatan pengguna itu sendiri. Langkah selanjutnya yaitu memberikan pemahan mengenai social engineering dan ancaman serta dampaknya. Hal ini bisa dilakukan dengan cara memperkenalkan kepada user mengenai social engineering dan efek yang dapat ditimbulkannya. Karena masalah social engineering ini bukan masalah baru, melainkan masalah lama yang seringkali diabaikan oleh banyak orang, dan sekali lagi pengguna memiliki peranan yang sangat penting agar dapat menghindari ancaman Social Engineering.
2. Selalu menggunakan dan mengupdate software security seperti anti virus yang bagus dan terpercaya yang mampu mengenali bentuk gangguan jaringan lokal, baik serangan MITM, trojan dan juga mampu memblokir situs yang berisi malware dan bahkan juga mampu untuk mengenali situs web phising.
3. Membuat beberapa peraturan tertulis yang bisa diikuti oleh para pengguna ( jika anda seorang administrator) hal ini bertujuan untuk menghalau, mencegah, dan mengurangi kemungkinan serangan social engineering ini. Membuat revisi dari peraturan tertulis secara berkala agar dapat menutup celah-celah baru yang sebelumnya memang tidak ada. Memberi pengetahuan yang cukup kepada yang berkompeten sebagai basis yang merupakan pertahanan yang kuat bagi serangan ini.
Jika anda seorang pengusaha online, anda bisa memberikan informasi kepada para pelanggan atau pengguna jasa anda untuk dapat menerima dan mengikuti segala syarat yang tertulis dalam peraturan untuk menyadarkan mereka akan pentingnya prosedur ini untuk menjaga keamanan data dan informasi mereka sendiri.
Anda bisa membuat prosedur dan kebijakan perusahaan akan keamanan informasi, dimana dokumen resmi ini haruslah ditandatangani oleh pimpinan puncak suatu perusahaan untuk menandakan bahwa masalah keamanan informasi menjadi perhatian utama. Pembuatan dokumen resmi ini juga harus mengacu kepada standar keamanan informasi yang berlaku dan tentunya selalu diupdate.
Dengan mengikuti standar yang telah diakui di dunia keamanan informasi diharapkan pembuatan dokumen resmi perusahaan dapat memenuhi kebutuhan keamanan informasi. Para staff/pengguna juga harus diarahkan agar mereka dapat mengikuti dan mematuhi standar, prosedur, atau kebijakan perusahaan yang telah dibuat. Mereka juga harus mengerti setiap kemungkinan dari hal apapun yang dapat menyebabkan bocornya informasi perusahaan untuk segera melaporkannya kepada atasan. Karena umumnya salah satu penyebab kenapa terjadinya penyerangan dengan menggunakan social engineering sulit dideteksi adalah karena para pengguna merasa takut disalahkan jika mereka melaporkannya ke atasan, padahal hal ini jugalah yang sering menjadikan social engineering menjadi sebuah ancaman karena memang sulit sekali terdeteksi.
Menyiapkan perencanaan menegemen resiko. Meskipun dengan melakukan semua langkah yang ada dapat diharapkan dapat menangkal serangan Social Engineering attack ini, namun perusahaan harus tetap bersiap untuk kemungkinan paling buruk, yaitu terjadinya insiden hacking. Dengan adanya persiapan menegemen resiko maka dapat diharapkan walau insiden terjadi, perushaan dapat memperkecil kerugian yang ditanggung dengan sekecil mungkin. Dengan adanya managemen resiko, juga dapat membantu perusahaan agar tetap dapat menjalankan kegiatan perusahaan sehari-hari walaupun hacking insiden yang sedang terjadi.
4. Membuat dan menjalankan prosedur khusus yang dapat mengeliminasi setiap kemungkinan pergantian password dan username dalam proses yang dicurigai. Buat agar semua sistem yang berhubungan dengan password dapat dilakukan secara otomatis dengan program atau perangkat komputer, tanpa adanya perantara manusia sama sekali dalam keperluan password tersebut. Misalnya membuat program reset password melalui nomor hape, halaman penentuan password yang dapat diakses langsung oleh pengguna, dan banyak lagi.
5. Hindarilah menggunakan pertanyaan keamanan yang merujuk kepada petunjuk password, karena hal ini juga dapat digunakan para hacker sebagai petunjuk untuk melakukan cracking terhadap password. Hacker juga bisa memiliki berbagai macam cara untuk memecahkan misteri kemungkinan password tersebut dengan sedikit pendekatan dan penelitian.
6. Menggunakan password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan anda. Misalnya jangan menggunakan tanggal lahir, nama kecil, nama binatang peliharaan, nama anggota keluarga, karena hal ini bisa jadi sangat mudah dapat ditebak oleh hacker.
7. Jika memungkinkan, cukup dengan menggunakan hanya elemen sistem tanpa campur tangan manusia pada point-point yang penting untuk diperhatikan dan dijaga keamanannya, seperti misal-nya menggunakan sistem token password yang dapat menggenerate nomor dan huruf secara acak sebagai password, menggunakan sistem location-based authentication, dan lainnya.
8. Lakukan sosialisasi tentang bahaya dan dampak serangan ini, termasuk juga dengan melaporkan situs-situs berbahaya seperti toko online palsu atau web berisi malware ke Google DMCA atau pihak yang berkompeten lainnya untuk segera melakukan pemblokiran terhadap situs-situs tersebut.
SASARAN
Modul workshop ini ditujukan kepada praktisi, penggiat dan pengguna internet pada umumnya untuk membangun kesadaran akan pentingnya memahami, mengenali dan mencegah serta meminimalisir kejahatan dunia maya khususnya serangan cyber berbasis social engineering.
POIN
Semakin berkembangnya kemajuan internet, maka sorang hacker juga akan semakin kreativ untuk mencari cara mengexploitasi sasarannya, dan bahkan tidak terbatas hanya dengan menggunakan sistem untuk mengeksploitasi kelemahan targetnya. Mereka juga dapat menjadikan manusia sebagai sasarannya untuk mendapatkan informasi-informasi penting yang dapat digunakan untuk menerobos suatu sistem keamanan. Cara yang dipakai seperti ini populer disebut sebagai social engineering, yang bertujuan untuk membuat agar target yang menjadi sasarannya memberikan informasi-informasi yang diinginkan dengan cara mengexploitasi human vulnerable.
Jika hacker tersebut telah memiliki informasi-informasi penting yang dibutuhkan olehnya untuk menerobos sistem keamanan, maka sistem keamanan sekuat apapun yang telah dipasang akan menjadi tidak berguna. Untuk menanggulangi masalah seperti ini adalah dengan cara membangun kesadaran dari pengguna sistem itu sendiri mengenai social engineering, ancaman dan dampaknya, maka dengan demikian serangan cyber jenis ini bisa ditangkal, setidaknya diminimalisir, serta tidak lupa untuk selalu memperbaharui informasi yang ada menjadi lebih kuat untuk mengimbangi hacker yang berusaha kreativ untuk selalu mencari jalan keluar alternatif demi tujuannya.
Ahmad Shalihin aka RDK03
Banda Aceh, 11 November 2015
jangan lupa mampir ke postingan saya hehe... Hati-hati Kejahatan Cyber Dengan Teknik Social Engineering.
BalasHapus