Social Engineering dan Information Security
7:52 AM
Pengertian
Social Engineering merupakan sebuah teknik yang bertujuan untuk pengumpulan informasi, melakukan penipuan, atau memperoleh akses sistem komputer.
Definisi dari Social Engineering itu sendiri adalah mengkapitalisasi psikologi manusia, seperti keterbatasan kognitif dan bias, dimana penyerang melakukan eksploitasi untuk menipu korban.
Jenis eksploitasi biasanya tidak hanya serangan tunggal, melainkan langkah-langkah dalam urutan lebih kompleks yang membentuk skema penipuan besar.
Menurut CERT® Insider Threat team, Software Engineering Institute, Carnegie Mellon University. Mereka telah mengidentifikasikan dua tingkatan berdasarkan kejadiannya:
1. Single-Stage Attack
Seperti namanya, pengeksploitasian dilakukan sekali dengan target tertentu yang ditetapkan. Penyerang mendapatkan informasi dengan cara ini dan menggunakan informasi tersebut untuk menyebabkan kerusakan lebih lanjut dari organisasi/instansi yang salah satu orang dalamnya telah diserang. Penyerang tidak menggunakan Informasi lebih lanjut untuk melakukan eksploitasi.
2. Mitiple-Stage Attack
Penyerang mempergunakan informasi yang diperoleh dari awal untuk mengeksekusi satu atau lebih tambahan eksploitasi Social Engineering. Beberapa eksploitasi memerlukan waktu lebih dari beberapa menit atau beberapa jam, ada pula yang bahkan lebih dari beberapa minggu atau lebih lama seperti penyerang menerapkan informasi untuk menyebabkan kerusakan.
Kaitan antara Social Engineering dan Keamanan Informasi
Menurut situs http://www.cert.gov.uk dalam Introduction to Social Engineering, didalam keamanan cyber, social engineering mengacu pada manipulasi individu untuk mendorong mereka melakukan tindakan tertentu atau membocorkan informasi yang dapat berguna bagi penyerang. Social Engineering itu sendiri tidak selalu membutuhkan banyak pengetahuan teknis untuk melakukannya. Sebaliknya, social engineering memangsa aspek umum dari psikologi manusia seperti rasa ingin tahu, kesopanan, mudah tertipu, keserakahan, kesembronoan, rasa malu dan acuh.
Teknik Social Engineering biasanya digunakan dengan memberikan perangkat lunak berbahaya (malware). Tapi dibeberapa kasus, ada pula kasus dimana penyerang sebagai pemberi izin untuk mendapatkan informasi tambahan, melakukan penipuan atau memperoleh akses untuk mengamankan sistem. Jangkauan dari serangan teknik Social Engineering itu sendiri bersekala besar dan acak, yang mana sederhana dan dapat secara normal mudah teridentifikasi, melalui serangan multi-layered yang mutakhir yang mana hampir tak dapat dibedakan dari interaksi yang asli.
Para pengguna Social Engineering adalah orang-orang yang kreatif, dan taktik mereka diharapkan dapat berkembang lebih maju agar kita dapat mengambil keuntungan untuk teknologi dan situasi yang baru.
Terdapat dua jenis serangan menurut luas area serangan, yaitu:
1. Wide Scale Area
Phishing
Bentuk yang paling produktif dari Social Engineering adalah phishing, terhitung sekitar 77 % dari semua serangan socialbased dengan lebih dari 37 juta pengguna melaporkan serangan phishing pada tahun 2013. Phishing adalah upaya penipuan untuk mencuri informasi pribadi atau sensitif dengan menyamar sebagai orang yang dikenal atau kontak yang terpercaya. Sementara e-mail phishing adalah yang paling umum, serangan phishing juga dapat dilakukan melalui telepon, pesan teks dan fax, serta metode komunikasi lainnya, termasuk media sosial.
Dari diagram diatas terlihat bahwa 39.5 % phishing terjadi pada pengguna jasa eCommerce dan beruntun setelahnya Bank (22.0%), Transfer Uang (20.7%), Jejaring Sosial dan Email (11.6%), Gaming (0.6%) dan lainnya sebanyak 5.7%.
Ini menggambarkan bahwa semakin maraknya online shop, e-banking service, money transfer baik dari bank bersangkutan atau melalui layanan seperti paypal atau payza dan sejenisnya membuat kita semakin harus berhati-hati dalam menggunakan layanan tersebut karena saat ini kita telah menjadikan jaringan internet sebagai perantara transaksi keuangan yang sebagian besar orang mungkin lebih memilihnya karena lebih praktis, mudah dan dapat dilakukan dimanapun asal terhubung ke internet. Jika dilihat, ada lebih dari 82.2% target dari phishing mengincar jasa-jasa tersebut dan kita harus berhati-hati pada setiap notifikasi dari akun email, sosial media, dan yang lainnya yang tentu dapat disisipkan link yang bisa jadi digunakan untuk mengambil data pribadi anda tentunya.
Baiting
Yang lainnya dari serangan berskala besar adalah melewati baiting atau umpan menggunakan iklan online atau website. Layaknya phishing, baiting akan selalu menawarkan hal-hal yang bagus atau sebuah peringatan penting. Ini dimuat di beberapa website yang memperkenankan user untuk mendownload atau stream video seperti film atau TV shows, atau pop-up yang mengaku telah mendeteksi sebuah masalah di sistem korban yang mana jika di klik pop-up tersebut masalah akan terselesaikan. Mengikuti link-link yang dijadikan umpan, seorang user mungkin selanjutnya akan tertipu dengan memberikan informasi personalnya atau komputer mereka akan secara otomatis mendownload malware. Serangan ini bisa saja sederhana, tetapi yang lain dapat saja lebih canggih dan tangguh.
2. Focusing the Attack
Spear Phishing
Spear Phishing digunakan oleh penyerang yang lebih canggih yang akan membatasi target mereka, meningkatkan ketepatan pesan mereka, dan meningkatkan daya tarik pesan dan legitimasi yang jelas. Spear Phishing dapat menargetkan individu dalam sektor bisnis tertentu, yang bekerja di perusahaan yang sama, di departemen yang sama, atau yang berbagi beberapa atribut umum lainnya. Sebuah email spear phishing bahkan dapat menargetkan hanya satu individu tertentu jika mereka dipandang dan dinilai memadai untuk penyerang. Walaupun mengurangi jumlah korban potensial, teknik ini cenderung menghasilkan proporsi lebih tinggi untuk jatuh ke serangan mereka. Beberapa spear phishing masih bisa diketahui, dan masih tetap mudah dikenali karena mengandung beberapa indikator seperti yang tercantum di atas. Yang lain dapat saja muncul dan sangat sulit untuk mengidentifikasinya seperti malicious.
Watering Hole Attacks
Watering Hole Attacks, mirip dengan baiting, menggunakan situs terpercaya untuk menginfeksi komputer korban. Mereka biasanya lebih canggih daripada kebanyakan teknik Social Engineering lainnya karena mereka juga membutuhkan beberapa pengetahuan teknis. Sebuah serangan Watering Hole bekerja dengan kompromi dipercaya situs pihak ketiga untuk memberikan kode berbahaya terhadap komputer korban yang dimaksud itu. Seperti teknik Social Engineering lainnya, penyerang akan meneliti korban mereka dan mengidentifikasi satu atau lebih situs terpercaya yang cenderung mereka akses. Sepriti situs Storage Web, jurnal industri atau website lain yang menarik bagi korban. Setelah mengidentifikasi sebuah website yang sesuai, penyerang akan mencari kerentanan dalam host server website tersebut, dan setelah menemukan sebuah celah, mereka akan memasukkan kode yang memungkinkan malware untuk di download, kadang-kadang dengan sedikit atau tidak ada interaksi dari korban (dikenal sebagai 'drive-by' attack).
Attacking on Multiple Fronts
Seorang penyerang yang bersungguh-sungguh bisa saja mengadopsi sebuah pendekatan multi-layered bersamaan dengan teknik lain untuk menarik kepercayaan target mereka, atau memanfaatkan kebingungan target, untuk memperbesar peluang sukses. Sementara jika dilakukan dengan acak, si penyerang dapat mulai memanggil nomor acak didalam sebuah organisasi dan berperan seakan ia IT support (berpotensi menggunakan sebuah nama asli dari IT support department yang didapat dari sosial media) sampai mereka akhirnya menemukan korban yang tidak memiliki masalah IT. Dalam usaha mereka untuk memecahkan masalah, mereka akan mengelabui pengguna untuk memberi mereka login, password atau informasi lain yang akan berguna dalam mengorbankan komputer mereka. Atau, penyerang mungkin berpura-pura menjadi seorang eksekutif, mendesak menuntut untuk dikirim dokumen penting (dan sensitif) ke alamat email pribadi mereka karena mereka tidak bisa mengakses akun pekerjaan mereka. Dalam kedua kasus, korban diletakkan di bawah tekanan untuk melakukan sesuatu yang mereka harus tahu bahwa mereka tidak harus melakukan: mereka tidak ingin mempertanyakan seseorang yang tahu lebih dari mereka (dukungan TI), atau yang senior mereka (eksekutif), dan penolakan untuk mematuhi bisa membuat mereka dalam kesulitan. Beberapa penyerang mungkin bahkan lebih kreatif.
Physical Baiting
Seorang penyerang juga dapat menggunakan perangkat keras untuk mengumpan target atau kelompok sasaran. Sifat dari jenis Social Engineering berarti bahwa itu biasanya hanya digunakan oleh penyerang yang lebih canggih terhadap sektor tertentu, organisasi atau individu. Sebuah contoh umum dari umpan adalah untuk meninggalkan bentuk media digital ( misalnya USB flash drive , CD , DVD ) tanpa pengawasan, mungkin diberi label yang menarik , dan dalam Lokasi yang sering dikunjungi oleh korban yang dimaksud ( seperti tempat parkir mobil ). Tujuannya adalah bahwa mereka akan mengambilnya dan kemudian menggunakannya di komputer pribadi atau bekerja, dimana komputer akan terinfeksi malware. Bentuk lain dari umpan fisik dapat di konferensi atau acara lainnya, di mana penyerang adalah dalam posisi untuk membagikan drive USB gratis sebagai hadiah, atau memberikan informasi lebih lanjut tentang media digital, yang diam-diam sarat dengan malware.
Sumber
Aaron, Greg. 2015. Global Phishing Survey 2H2014: Trends and Domain Name Use. Lexington: An APWG Industry Advisory
CERT Division. 2014. Unintentional Insider Threats: Social Engineering. Pennsylvania: Carnegie Mellon University
https://www.cert.gov.uk/wp-content/uploads/2015/01/Introduction-to-social-engineering.pdf
https://www.cert.gov.uk/wp-content/uploads/2015/01/Introduction-to-social-engineering.pdf
http://img.zerosecurity.org/files/2012/07/se-wp.jpg
0 comments