Definisi Rekayasa Sosial yang Perlu dipahami
Sering mendengar mengenai rekayasa sosial? Berikut pembahasannya.
Apa itu Rekayasa Sosial?
Rekayasa sosial adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Rekayasa sosial umumnya dilakukan melalui telepon atau Internet.
Rekayasa sosial merupakan salah satu metode yang digunakan oleh peretas untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Rekayasa sosial mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia.
Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, perangkat lunak, ataupun perangkat keras. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia.
Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun.
Seperti metode peretasan yang lain, rekayasa sosial juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Metode pertama adalah metode yang paling dasar dalam rekayasa sosial, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: kata sandi, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan.
Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut.
Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya.
Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang target.
Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadang kala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim.
Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target.
Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya.
Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan akun target.
Contoh lain, bisa berpura-pura sedang mengadakan survei perangkat keras dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, perute, firewall, atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui surel, dengan mengirim surel yang meminta target untuk membuka lampiran yang tentunya bisa kita sisipi cacing komputer atau kuda troya untuk membuat pintu belakang di sistemnya.
Kita juga bisa sisipkan cacing komputer bahkan dalam berkas JPG yang terkesan “tak berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral.
Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atau tanpa efek buruk sama sekali.
Atau target merasa bahwa dengan memenuhi keinginan penyerang yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan yang lebih baik.