Artikel
Modus Social Enginering (1)
Sep
11
disubmit pada : 2009-09-11 WIB
kategori Umum
Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu: berbasis
interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social
engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka
yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah
individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama,
yaitu melalui medium telepon.
Skenario 1 (Kedok sebagai User Penting)
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal
sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa
password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena
takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan
mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung
memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama
Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Skenario 2 (Kedok sebagai User yang Sah)
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita
menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi
dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu
reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang
tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa
bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam
acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan
cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama
terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor
telepon Iwan diketahuinya dari Satpam dan/atau receptionist.
Skenario 3 (Kedok sebagai Mitra Vendor)
Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional
teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut:
“Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file
CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cumacuma.
Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari
tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas
canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan,
dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya
kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu namanama
yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT
Teknik Alih Daya Abadi dan nama-nama klien utamanya.
Skenario 4 (Kedok sebagai Konsultan Audit)
Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan
pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor
teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur.
Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak
melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”.
Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai
struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal
tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga
mempermudah yang bersangkutan dalam melakukan serangan.
Skenario 5 (Kedok sebagai Penegak Hukum)
Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai
pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari Kepolisian yang
bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami
memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud
untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan
spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung
memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan
atau keaslian identitas penelpon.
interaksi sosial dan berbasis interaksi komputer. Berikut adalah sejumlah teknik social
engineering yang biasa dipergunakan oleh kriminal, musuh, penjahat, penipu, atau mereka
yang memiliki intensi tidak baik. Dalam skenario ini yang menjadi sasaran penipuan adalah
individu yang bekerja di divisi teknologi informasi perusahaan. Modus operandinya sama,
yaitu melalui medium telepon.
Skenario 1 (Kedok sebagai User Penting)
Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal
sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa
password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”. Karena
takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan
mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung
memberikan password yang dimaksud tanpa rasa curiga sedikitpun. Si penipu bisa tahu nama
Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.
Skenario 2 (Kedok sebagai User yang Sah)
Dengan mengaku sebagai rekan kerja dari departemen yang berbeda, seorang wanita
menelepon staf junior teknologi informasi sambil berkata “Halo, ini Iwan ya? Wan, ini Septi
dari Divisi Marketing, dulu kita satu grup waktu outing kantor di Cisarua. Bisa tolong bantu
reset password-ku tidak? Dirubah saja menjadi tanggal lahirku. Aku takut ada orang yang
tahu passwordku, sementara saat ini aku di luar kantor dan tidak bisa merubahnya. Bisa
bantu ya?”. Sang junior yang tahu persis setahun yang lalu merasa berjumpa Septi dalam
acara kantor langsung melakukan yang diminta rekan sekerjanya tersebut tanpa melakukan
cek dan ricek. Sementara kriminal yang mengaku sebagai Septi mengetahui nama-nama
terkait dari majalah dinding “Aktivitas” yang dipajang di lobby perusahaan – dan nomor
telepon Iwan diketahuinya dari Satpam dan/atau receptionist.
Skenario 3 (Kedok sebagai Mitra Vendor)
Dalam hal ini penjahat yang mengaku sebagai mitra vendor menelepon bagian operasional
teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis sebagai berikut:
“Pak Aryo, saya Ronald dari PT Teknik Alih Daya Abadi, yang membantu outsource file
CRM perusahaan Bapak. Hari ini kami ingin Bapak mencoba modul baru kami secara cumacuma.
Boleh saya tahu username dan password Bapak agar dapat saya bantu instalasi dari
tempat saya? Nanti kalau sudah terinstal, Bapak dapat mencoba fitur-fitur dan fasilitas
canggih dari program CRM versi terbaru.” Merasa mendapatkan kesempatan, kepercayaan,
dan penghargaan, yang bersangkutan langsung memberikan username dan passwordnya
kepada si penjahat tanpa merasa curiga sedikitpun. Sekali lagi sang penjahat bisa tahu namanama
yang bersangkutan melalui berita-berita di koran dan majalah mengenai produk/jasa PT
Teknik Alih Daya Abadi dan nama-nama klien utamanya.
Skenario 4 (Kedok sebagai Konsultan Audit)
Kali ini seorang penipu menelpon Manajer Teknologi Informasi dengan menggunakan
pendekatan sebagai berikut: “Selamat pagi Pak Basuki, nama saya Roni Setiadi, auditor
teknologi informasi eksternal yang ditunjuk perusahaan untuk melakukan validasi prosedur.
Sebagai seorang Manajer Teknologi Informasi, boleh saya tahu bagaimana cara Bapak
melindungi website perusahaan agar tidak terkena serangan defacement dari hacker?”.
Merasa tertantang kompetensinya, dengan panjang lebar yang bersangkutan cerita mengenai
struktur keamanan website yang diimplementasikan perusahaannya. Tentu saja sang kriminal
tertawa dan sangat senang sekali mendengarkan bocoran kelemahan ini, sehingga
mempermudah yang bersangkutan dalam melakukan serangan.
Skenario 5 (Kedok sebagai Penegak Hukum)
Contoh terakhir ini adalah peristiwa klasik yang sering terjadi dan dipergunakan sebagai
pendekatan penjahat kepada calon korbannya: “Selamat sore Pak, kami dari Kepolisian yang
bekerjasama dengan Tim Insiden Keamanan Internet Nasional. Hasil monitoring kami
memperlihatkan sedang ada serangan menuju server anda dari luar negeri. Kami bermaksud
untuk melindunginya. Bisa tolong diberikan perincian kepada kami mengenai topologi dan
spesifikasi jaringan anda secara detail?”. Tentu saja yang bersangkutan biasanya langsung
memberikan informasi penting tersebut karena merasa takut untuk menanyakan keabsahan
atau keaslian identitas penelpon.
hello