SOCIAL ENGINEERING

Menurut Wikipedia social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Menurut saya pribadi social engineering itu adalah suatu teknik untuk mendapatkan suatu informasi tertentu secara langsung berinteraksi dengan si pemilik informasi bisa dengan menanyakan langsung atau juga mengelabuinya sehingga bisa mendapatkan informasi tersebut.

Dalam  teknik ini seorang hacker di harus kan memiliki mental yang kuat dan kreativitas, karena si hacker itu berhadapan langsung dengan si pemilik informasi jadi jika tidak maka si pemilik informasi curiga terhadap kita dan serangan yang di lancarkan menjadi gagal.

Menurut saya pribadi sehebat apapun keamanan suatu sistem informasi tersebut, dan sesering apa pun di debugging tetap saja masih memiliki celah yang ada dan diantara celah tersebut ialah melalui si pemilik ataupun si pemilik informasi yang berkaitan dengan sistem tersebut. Hal ini dapat kita lihat banyak nya sebuah sistem keamanan yang berhasil di susupin oleh orang dalam itu tersendiri, nah yang menyebabkan hal itu terjadi karena si orang dalam itu sudah tau segala macam prosedur atau pun informasi yg berharga untuk menyusup di bandingkan orang luar yg ingin menyusup ke sistem keamanan tersebut.

Mari kita simak sebuah kejadian yg benar benar terjadi berikut :

Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.

Sebelum mendatangi kantor tersebut, mereka mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama penting yang jika di dengar oleh penjaga pintu depan akan membukakan pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk orang-orang dengan akses keamanan tertentu saja yang boleh masuki.

Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service, begitu) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.

Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.

Dari cerita diatas kita bisa mengambil kesimpulan bahwa sehabat apapun sistem keamanan pasti memiliki celah kemanan dan tingkat celah terbesar itu adalah human error. Karena manusia itu mudah di tebak tingkah laku nya sehingga mudah saja untuk seorang untuk mencuri informasi dari dia dibandingkan dengan menerobos masuk kesistem menggunakan teknologi tercanggih.

Teknik seperti ini sudah sering saya terapkan di kehidupan sehari hari untuk mendapatkan informasi tertentu, akhir akhir ini seorang teman saya mengeluh karenadia sering di terror oleh seseorang melauli telepon selular nya dan dia meminta bantuan saya untuk menemukan siapa orang tersebut. Langkah awal yang saya terapkan adalah meminta teman saya itu meladenin percakapan teleponnya, kemudian berdasarkan informasi percakapan tersebut bisa di simpulkan dia adalah seorang lelaki yang umurnya kira kira sebaya dengan saya. Langkah kedua yang saya lakukan adalah mencoba membuat suatu kondisi dimana saya seolah olah salah mengirimkan sms salah alamat ke nomor tersebut dalam kasus ini saya belum mengetahui siapa nama penggangu tersebut, ternyata sms saya dibalas dan setelah saya pancing akhirnya dia menyebutkan nama nya saya berpura pura tidak percaya dan menelpon dia dengan alasan dia berbohong dan dan untuk memastikan suara dia bukan teman saya dia meng iyakan  dan saya pancing dia menyebutkan alamat singkatdia tahapan kedua selesai. Lanjut ke tahapan terakhir saya melakukan pencarian di jejaring social dengan nama tersangka dan lokasi yg  dia bilang dapat beberapa subject untuk memastikan alamat lengkap nya saya berpura pura meleopn dia dengan mengatasnamakan kurir dan dia menjawab alamat lengkap nya kemudian saya berangkat ke daerah tersbut dan memastikan wajah nya sama dengan yg saya cari di  jejaring social . dan informasi ini saya berikan kepada teman saya ternyata dia adalah mantan teman saya yang minta balikan dan memang benar dia yg meneror teman saya tersebut.

            Pendekatan seperti ini sering saya gunakan dalam kasus lain seperti pencurian password teman teman saya, sebelum saya melakukan pendekatan terlebih dahulu saya melakukan pembelajaran bagaimana sifat dan kebiasan yg berhubungan dengan target. Pertama saya mencoba login dengan password yg ada berhubungan dengan kehidupan teman saya itu seperti tanggal lahir, nama ortu , hobi dll.

            Saya ambil contoh sewaktu saya membobol password facebook teman saya sewaktu sma, saya berpura pura menanyakan apa email fb dia supaya bisa di add pertemanan (sebenarnya tidak perlu pakai nama bisa tetapi saya mencoba meyakin kan dia) dan saya mendapatkan nya, kemudian saya mencoba login dengan nama dia  , tanggal lahir, tgl pacaran dsb. Kemudian berhasil log in.

            Hal ini berhasil jika dia member tahu alamat email nya dan juga dia menggunakan password yg mudah di tebak, tetapi jika ini gagal saya bisa menggunakan lupa password pada email yg dia berikan dan membobolnya dengan menjawab security question , karena pada saat itu banyak yg tidak memperhatikan security question pada saat membuat email dan saya menggunakan informasi tentang dia untuk menerobos nya.

            Dan jika ini tidak berhasil saya membuat akun facebook palsu dengan menggunakan nama dia yg di akhiri dengan angka dua, karena pada saat itu marak yg membuat seperti itu karena pertemanan di fb lama sudah penuh nah saya membuat fb palsu dengan nama pacar dia dan seolah olah meminta password dan nama email dia dengan alasan untuk memantau agar tidak selingkuh, dan cara ini sering berhasil dulu nya.

            Terakhir dengan cara yg menggunakan alat, alat di sini saya menggunakan HP, saya meminta teman saya untuk login fb nya di hp saya dengan alasan untuk add pertemanan ketika sudah dia log out fb nya, nah setelah itu saya back terus pada browser hp saya nah di situ terdapat nama email nya dan password yang masih terbungkus artesik code pada tampilan login saya catat email nya dan password nya itu saya pindah kan ke aplikasi catatan di hp saya dan booom password nya sudah saya ketahui. Selain menggunakan hp saya biasanya menggunakan keylogger yg saya pasang di lab atau warnet tempat target saya memainkan nya. Dan sebenarnya masih banyak cara cara yg lain yg saya gunakan untuk memperoleh informasi dari target hal ini tergantung keberuntungan dan tekad untuk mendapatkan nya, jika saya memberitahu tentang cara yg lain nya jika saya menggunakan nya tidak akan efektif :D

Dari penglaman tersebut saya mengambil kesimpulan sehebat apapun kemanan informasi yg di miliki seseorang pasti mempunyai celah yg di timbulkan oleh si pemilik informasi itu. Jadi menurut saya social engineering itu bagaimana seseorang bisa memperolah informasi dari tergetnya berdasarkan kebiasaan dan prilaku mereka sehari hari dan menemukan celah untuk mendapatkan informasi dari nya kebiasan yg ada tersebut.