Dari sekian banyak cara untuk mendapatkan informasi sensitif,Ā social engineeringĀ selalu memanfaatkan titik terlemah dalam tata kelola manajemen keamanan informasi. Titik terlemah itu adalah manusia. Beberapa organisasi ataupun korporasi besar telah banyak menginvestasikan uang untuk membangun sistem keamanan informasi yang aman. Saat ini sudah banyak teknologi yang mampu mempertahankan sistem keamanan informasi korporasi ataupun organisasi yang berasal dari eksternal mereka.
Sayangnya,Ā social engineeringĀ memanfaatkan aspek yang tidak bisa dimengerti oleh teknologi yaitu psikis (kejiwaan) manusia. Dapat dikatakan bahwa social engineering adalah ancaman yang bersifat non-teknis.Ā Social engineeringĀ dapat digunakan oleh banyak pihak baik internal maupun eksternal. Kebanyakan orang menyebutsocial engineeringĀ sebagai suatu aktifitas meretas informasi penting melalui psikis dan pikiran manusia. Berbeda dengan meretas sistem komputer, mendapatkan informasi berharga dari seseorang membutuhkan teknik sosial dan persuasif yang tinggi.
Berdasarkan data dari SANS Institute, ada empat siklus penting yang sering digunakan dalam mendapatkan informasi melaluiĀ social engineering. Pada tahapan pertama,Ā social engineeringĀ akan mencari informasi terkait apa yang akan ia cari dan siapa yang bisa ia jadikan target eksploitasi. Selanjutnya, ia akan membangun hubungan dengan target yang dimaksud. Membangun hubungan tersebut dapat dilakukan dengan berbagai cara seperti bekerja pada organisasi yang ia jadikan target, membangun hubungan pertemanan ataupun persaudaraan bahkan membangun hubungan emosional.
Setelah hubungan terjalin,Ā social engineerĀ akan memanfaatkan psikis mereka untuk dieksploitasi. Caranya pun bermacam-macam.Ā Social engineerĀ bisa menggunakan faktor psikis emosional, penyuapan ataupun ancaman untuk mendapatkan informasi sensitif sepertiĀ passwordĀ ataupun akun pada bank ataupun sistem keamanan. Fase terakhir adalah eksekusi untuk melengkapi siklusĀ social engineeringĀ tersebut.
Dari sekian banyak teknikĀ social engineering, salah satu yang terkenal adalahĀ shoulder surfing. Teknik ini digunakan dengan cara mengintip individu tertentu ketika ia mengetikĀ passwordĀ atauĀ user nameĀ yang bersifat rahasia. Teknik tersebut sangat bergantung pada kekuatan memori otak untuk mengingat informasi sensitif itu.Shoulder surfingĀ adalah teknik andalan Kevin Mitnick untuk dapat meretas sistem keamanan perusahaan saat masih menjadi buronan FBI.
Sumber: ciso.co.id