SOCIAL ENGINEERING

Pada kali ini saya akan membahas mengenai social engineering. Dalam pengertian social berasal dari kata bahasa inggris yang berarti sosial atau berkemasyarakatan. Sedangkan engineering juga berasal dari bahasa inggris yang berarrti keahlian teknik atau pabrik mesin. Akan tetapi mengalami arti yang lebih luas ketika masuk dalam wilayah sosial, keahlian teknik atau pabrik mesin mengalami perluasan makna menjadi suatu upaya merekayasa suatu objek sosial dengan segala perencanaan yang matang untuk mewujudkan transformasi sosial sesuai dengan target perekayasa atau "engineer".

Jadi berdasarkan uraian di atas social engineering adalah suatu upaya dalam rangka transformasi sosial secara terencana (social planning), istilah ini mempunyai makna yang luas dan pragmatis. Obyeknya adalah masyarakat menuju suatu tatanan dan sistem yang lebih baik sesuai dengan apa yang dikehendaki oleh sang perekayasa atau the social engineer. Maka upaya rekayasa ini muncul berawal dari problem sosial, yaitu ketidak seimbangan antara das sollen dengan das sein, atau apa di kita cita-citakan dimasyarakat tidak sesuai dengan apa yang terjadi.

TARGET DAN SASARAN  SOSIAL ENGINEERING

Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon ddan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit.

Booming internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar.Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering adalah sulit. Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan(lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) dan/atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak.

Katakan saja mengapa organisasi dijadikan sasaran melalui social engineering – baiklah, ini seringkalil merupakan suatu cara yang lebih mudah untuk mendapatkan  akses melanggar hukum daripada berbagai macam bentuk hacking teknis. Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker. Serangan-serangan social engineering berlangsung pada dua level: fisik dan psikologis.

DIVING DIMPSTER

Dumpster diving, juga dikenal sebagai sampah, adalah metode populer lain dari social engineering. Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company Dumpster. The LAN Times mendaftar daftardaftar berikut sebagai potensi kebocoran keamanan dalam trash kita: “Buku telepon perusahaan, grafik organisasi, memo, panduan kerja kebijakan perusahaan, kalender pertemuan, peristiwa-peristiwa dan peletakan jabatan, panduan kerja sistem, printout data yang sensitif atau nama login dan
password, printout kode, disket dan tape sumber, kepala surat perusahaan dan formulir memo, dan pperangkat keras lama.”

Sumber-sumber data ini menyediakan suatu jalur informasi yang kaya untuk para hacker. Buku telepon memberikan nama-nama pada para hacker dan jumlah orang untuk dijadikan target dan diimpersonasikan. Grafik-grafik organisasional berisi informasi tentang orang yang berada dalam posisis kewenangan organisasi. Memo menyediakan tidbit kecil dari informas yang bermanfaat guna menciptakan otentisitas. Panduan kebijakan memperlihatkan pada para hacker bagaimana aman atau tidak amannya sebuah perusahaan. Kalender sangat hebat –mereka mungkin memberitahu penyerang tentang pekerja mana yang keluar kota pada waktu-waktu tertentu.

PENDEKATAN PERSUASIF

Hacker itu sendiri mengajarkan social engineering dari suatu sudut pandang psikologis dengan menekankan bagaimana menciptakan suatu lingkungan psikologis sempurna bagi serangan. Metode mendasar persuasif meliputi: impersonasi, ingrasiasi, konformitas, penyebaran tanggungjawab, dan persahabatan lama yang jelas.

Dengan mengabaikan metode yang digunakan, ssaran utamanya adalah untuk meyakinkan orang yang memperlihatkan informasi bahwa social engineer pada kenyataanya adalah suatu person yang bisa mereka percayai dengan informasi yang sensitif tersebut. Kunci penting lainnya adalah jangan pernah meminta terlalu banyak informasi pada suatu waktu, namun mintalah sedikit dari tiap-tip orang untuk memelihara suatu bentuk hubungan yang nyaman.

Impersonation umumnya berarti menciptakan beberapa bentuk karakter dan memerankan perannya. Semakin lebih sederhana perannya, akan lebih baik. Kadang-kadang ini hanya bisa berarti menelpon, dan
berkata: “Hai, Saya Joe di MIS dan saya memerlukan password anda,” namun hal itu tidak elalu berhasil. Lain kali, hacker akan mempelajari seorang individu nyata dalam sebuah organisasi dan menunggu sampai orang itu keluar kota untuk mengimpersonasikannya lewat telepon.

KESIMPULAN

saya menyimpulkan dengan suatu kutipan darinya lewat artikel tentang Fokus Keamanan (Security Fokus):“Anda bisa saja membeli suatu teknologi dan jasa yang menguntungkan dan infrastruktur jaringan anda masih tetap rentan pada manipulasi gaya lama.”

Strategi Pertempuran, yang akan melihat cara-cara  melawan serangan-serangan dengan mengidentifikasikan seranganserangan, dan dengan menggunakan teknologi, pelatihan dan kebijakan preventif.