Oke Kali ini w mau share artikel " apa sih itu Social Engineering (soceng)". Yuk simak gan ;)
Apa itu Social engineering tehnik?
Pengertian Social engineering adalah manipulasi psikologis seseorang dengan tujuan untuk mendapatkan informasi tertentu atau melakukan hal tertentu dengan cara menipunya secara halus dan tidak dia sadari. manipulasi psikologis dikakukan dengan berbagai media yang tujuan nya untuk mempengaruhi pikiran korban,misalnya menggunakan suara (berbicara untuk meyakinkan korban),gambar(memasang gambar yang erotis agar di klik),tulisan (menulis artikel yang persuasif dan meyakinkan misal menulis tutorial cara hack akun facebook,tapi palsu ;v)
Dengan kata lain Social engineering adalah tehnik untuk mendapatkan informasi /hak akses dengan cara menipu korban nya dengan halus dan tanpa dia sadari. Semua kriminal 100% menggunakan tehnik ini untuk mendapatkan informasi dari korban nya. mulai dari tukang copet yang menyamar sebagai penumpang biasa, penipu yang menjanjikan hal luar biasa pada korban nya,sexpredator yang menggunakan facebook untuk berinteraksi dengan korban nya. dan lain sebagainya.
Social engineering mentargetkan rantai terlemah dalam sistem keamanan komputer,yaitu user atau pengguna atau manusia itu sendiri. Bug atau celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protocol, software atau hardware. Dengan artian ,semua sistem tercanggih di planet ini memiliki celah tersendiri.
1. Jenis Social Engineering tehnik yang populer
Reverse social engineering (RSE)
A. Tehnik ini dilakukan dengan 3 langkah yaitu:
A. Tehnik ini dilakukan dengan 3 langkah yaitu:
-Merusak
pertama-tama hacker akan berusaha melakukan pengrusakan terhadap infrastruktur network yang ada sehingga kinerja system akan terganggu dan tidak berjalan sebagaimana mestinya,secara otomatis pemilik system akan berusaha mencari informasi untuk memperbaiki hal ini.
-Memasang Iklan
Iklan bisa dikirim ke alamat email pemilik sistem yang sebelum nya sender nya sudah di spoof seolah-olah email berasal dari perusahaan security terpercaya, atau bisa dilakukan dengan memberikan kartunama sebelum serangan dimulai agar ketika hacker mengacaukan sistem si korban akan menghubungi si hacker yang sebelum nya memberikan kartunama /iklan dalam bentuk email
-Membantu
Setelah korban melihat iklan dan mengontak teknisi untuk perbaikan sistem (yang sebenarnya adalah si hacker itu sendiri) alih-alih membantu malah si hacker sudah mendapat akses penuh ke sistem dan bisa melakukan hal yang berbahaya seperti menanam backdoor ke sistem,mengambil data rahasia dll
Tehnik ini sering kita lihat di filem-filem box office. dimana pemeran utama menyamar menjadi teknisi atau IT konsultan untuk bisa mengakses perangkat secara fisik/remote dan menanam backdoor.
B. PiggyBack Ride
singkatnya tehnik ini menggunakan seseorang yang memiliki akses /wewenang agar kita mendapat hak akses seperti halnya orang tersebut.
Contohnya: kita berjalan dibelakang orang yang memiliki akses ke sebuah gedung,begitu orang tersebut membuka pintu dengan security key yang dimilikinya kita ngikut masuk dibelakang nya. contoh lain seperti ketika hujan lebat kita sengaja membawa banyak barang /membawa kotak di kiri dan kanan kemudian dengan sopan kita meminta tolong seseorang yang ada di sekitar yang memiliki akses untuk membukakan pintu dengan alasan security key yang kita miliki susah diambil karena ada di kantong /tas /lupa di taruh di dalam kotak .dll
C. Techie Talk (berbicara layaknya ahli)
Kebanyakan hacker sangat mahir dalam hal teknis, ketika hacker akan meakukan social engineering maka si hacker dapat berbicara lancar seperti ahli soal komputer untuk mendapatkan kepercayaan dai si korban.
contohnya ketika hacker berpura-pura dari bagian helpdesk dan memberitahukan kepada korban nya bahwa sistem nya telah diretas dan si korban harus mengganti password baru ,maka si hacker akan memandu korban nya untuk mengganti password dan menanyakan password apa yang akan digunakan untuk memastikan password yang dipilih korban aman. nah loo.. secara gak langsung si hacker dapet password baru dari si korban.
D. Phishing Attack (Scamming)
tehnik phising atau scaming merupakan tehnik untuk mendapatkan informasi sensitif(Data pribadi atau akun ) dari korban dengan cara menulis email yang seolah-olah berasal dari website resmi seperti paypal , biasanya dalah email nya akan tertulis untuk mengkonfirmaasi meng update data paypal dan mengganti password paypal karena akun yang korban miliki disinyalir telah disalahgunakan orang dan disertakan link yang menuju ke website mirip100% seperti paypal yang sebenarnya website tersebut adalah biatan dari si hacker itu sendiri. dengan cara ini hacker mendapatkan semua data yang diperlukan untuk mengambil alaih akun seseorang. teknik ini bisa dikembangkan labih lanjut untuk mendapatkan sasaran tertarget atau yang bisa dikenal dengan spear phishing attack
selain email ,tehnik ini juga menggunakan media social media seperti facebook untuk mendapatkan korban nya.
E. Whalling attack (Memancing Paus )
whalling attack menargetkan korban dengan profile tinggai atau orang-orang penting dalam bidang yang digelutinya. sebagai contoh : hacker bisa mendapat informasi penting seperti kartu kredit dan data pribadi lain nya dengan cara menggali informasi yang dipajang korban secara online. semisal,di dalam facebook page nya tertulis bahwa korban alumni universitas A dengan hobby golf, maka si hacker bisa membuat scam email yang seolah-olah resmi dikirim dari universitas A yang isinya ajakan untuk mengikuti turnamen golf antar alumni danmeminta untuk mengisi formulir yang telah disediakan sebagai syarat mengikuti turnamen tersebut. nah formulir yang disediakan adalah data pribadi yang harus diisi , dengan mengumpulkan data pribadi sepotong demi sepotong,si hacker bisa mendapat 100% data pribadi dari korban.
F. Vishing attack (Voice or VoIP Phishing attack)
gagal dengan tehnik phishing atau whaling ? cobalah dengan tehnik vishing , dimana dalam tehnik ini menggunakan telephone utnuk mendapatkan informasi dari si kotban. hacker bisa berpura-pura menjadi karyawan bank dan memberitahukan bahwa kartu kreditnya ada masalah dan perlu mengupdate data-data lama dengan yang baru. dalam percakapan nya korban secara tidak sadar akan ditanyakan nomer CC dan pin serta identitas diri.
G. Social (Engineer) Networking
media social seperti facebook,twitter,instagram dll menjadi surga bagi social engineer, di sini sebagian besar orang mengexpose data pribadinya seperti tempat tanggal lahir ,hobi,tempat tinggal,relasi,dll . social engineer bisa mendapat kepercayaan dengan menjalin pertemanan dengan korban dan mendapatkan kepercayaan. setelah terjalin kepercayaan hacker bisa menyalahgunakan kepercayaan yang telah diberikan oleh korban untuk hal yang merugikan korban.
H. Neuro-linguistic programming (NLP)
social engineer yang baik harus memiliki pemahaman yang kuat untuk memanipulasi pikiran manusia.
Neuro-linguistik pemrograman (NLP) adalah salah satu alat psikologis yang digunakan oleh para social engineer untuk memanipulasi korban dan jika dilakukan dengan benar hasilnya luar biasa.NLP berkaitan dengan bagaimana seseorang mendapat kepercayaan dengan cara berkomunikasi (verbal atau non verbal).
Sebagai contoh ketika seorang social engineer malancarkan aksinya dia akan berhati-hati dalam memilih kata-tata,mengatur intonasi nafas,nada suara dan gestur tubuhnya. hal ini akan membantu menjalin kepercayaan seseorang di level bawah sadar, korban akan hormat/mengagumi si pembicara. setelah terjalin rasa percara bisa dilanjut ke tahap selanjutnya seperti memberi senyuman hangat dan ringan,menyentuh bahu atau lengan mereka untuk memberikan rasa aman dan menggunakan kata-kata yang menunjukkan pikiran positif, gambar, dan emosi. Semua gesture, visual, dan tindakan verbal(disebut anchoring dan reframing dalam hal NLP) memberikan pesan bawah sadar yang mempengaruhi orang untuk memiliki perasaan positif dan memperoleh rasa hubungan dengan pelaku social engineering . kalau hubungan sudah terjalin dengan kuat,sugesti kuat pelaku social engineering akan bisa mengarahkan korban nya untuk melakukan hal yang menguntungkan pelaku.
Dalam dunia keamanan komputer,tehnik ini dipakai jika sebuah sistem komputer tidak mungkin ditembus dengan cara mengexploitasi secara teknis (meng exploitasi komputer), dengan memanfaatkan kelemahan manusia seorang hacker bisa memancing pengguna komputer untuk memasang backdoor/malware tanpa korban sadari dengan tehnik social engineering . cara ini dilakukan dengan metode pendekatan secara psikologi, kreatifitas menjadi kuncu utama dari social engineering.
ada banyak cara menyisipkan Backdoor /malware agar tidak terlihat oleh korban . misalnya menyisipkan exploit ke dalam file dokumen ,menyisipkan backdoor kedalam aplikasi yang terlihat resmi, menyisipkan exploit pada flashdisk yang dijatuhkan di dekat lokasi target (begitu ada yang nemu biasanya pnasaran untuk colok ke komputer) dan masih banyak lagi karena bergantung bagaimana hacker berimprovisasi dengan di korban.
ada banyak cara menyisipkan Backdoor /malware agar tidak terlihat oleh korban . misalnya menyisipkan exploit ke dalam file dokumen ,menyisipkan backdoor kedalam aplikasi yang terlihat resmi, menyisipkan exploit pada flashdisk yang dijatuhkan di dekat lokasi target (begitu ada yang nemu biasanya pnasaran untuk colok ke komputer) dan masih banyak lagi karena bergantung bagaimana hacker berimprovisasi dengan di korban.
berikut adalah contoh penggunaan social engineering tehnik yang bisa kita jumpai ketika kita menggunakan internet dan dalam kehidupan sehari-hari
Hacker (pembuat malware) akan menyisipkan kode jahatnya (malware)pada aplikasi bajakan yang telah dicrack , dengan begitu si korban tidak akan sadar.karena korban mendapatkan apa yang diinginkan nya (Software berbayar yang gratis /telah di crack) tetapi si hacker juga mendapatkan apa yang dia dia inginkan,yaitu tanpa sadar si korban telah menginstal backdoor/trojan kedalam sistemnya dan si hacker mempunyai hak penuh akan komputer si korban(victim).
Pernah mendapat email gak jelas yang isinya menang undian atau liburan dan disuruh mengisi data pribadi dan mengupload bukti diri,yakin lah ini semua adalah palsu.dan si hacker hanya menginginkan data pribadi korban yang nantinya akan dia gunakan untuk menutupi jati dirinya dalam melakukan aksi kejahatan di dunia maya.
C. Menipu pengguna telefon dengan memberitahukan menang undian
Pernah mendapat sms menang undian?karena kamu da tau itu penipuan jadi kamu diemin,tapi bayangkan ada berjuta2 sms yang dikirim scammer ke nomer acak. dari sejuta nomer pasti ada seratus yang bisa kena tipu dan percaya. orang yang percaya biasanya orang yang gaptek,dengan mudahnya mereka dipengaruhi oleh scammer dan dituntun sampai ke atm dengan instruksi yang meyakinkan dengan mengatasnamakan dari bank sampai akhirnya malah korban yang mentrasfer duit ke scammer,karena biasnaya disuruh memilih menu dalam bahasa inggris di ATM.
Phising adalah teknik social engineering dengan cara membuat tampilan website /program sama persis seperti aslinya untuk mendapatkan data pribadi korban.
Pernah mendapat email atau mailbox yang biasanya isinya “your account violates the rules please confirm ”. Pihak provider atau staff resmi tidak akan menanyakan account dari pelanggan nya. Untuk menghindari tehnik ini adalah dengan selalu memperhatikan URL website dan hafalkan URL dari website resmi dari tiap game.
Jika kamu benar-benar tidak tau tentang internet,minimal bersihkan pikiran mu dari “Pornografi” karena kebanyakan hacker menggunakan gambar porno untuk memancing korban nya agar ngeklik dan menuntunnya untuk mendownload aplikasi berbahaya(malware).
Semua ada harga yang harus dibayar. Kelemahan ini sering dipakai hacker atau penipu untuk meyakinkan korban nya, misalnya investasi bodong dengan bunga 20%sebulan,awal-awal emang jalan ,dibilan ke 3-4 dia bawa kabur semua duitnya ;v.
Boleh berteman di dunia maya,tapi tau akan batasan . jangan sampai kamu anggap teman di dunia maya adalah segalanya. memang tidak semua orang berhati busuk,tapi gak semua orang berhati baik walau kelihatan baik.selalu waspada dengna orang jahat yang memanfaatkan kerpercayaan yang kita berikan.
Oke gan sekian info dari w ,Semoga bermanfaat ya
Hello, my name is Akira AR dan semoga betah di blog saya.
No comments:
Post a Comment