Di era informasi ini, informasi sudah menjadi aset yang berharga bagi sebuah perusahaan. Maka dari itu, menjaga keamanan informasi sudah menjadi tanggung jawab seluruh staff karyawan perusahaan tersebut. Keamanan informasi dapat bocor bukan hanya dikarenakan kesalahan teknis, namun juga dapat melalui staff perusahaan yang membuat kesalahan sehingga terciptanya lubang di dinding keamanan tersebut. Kesalahan staff yang seperti ini dimanfaatkan oleh hacker untuk mendapatkan informasi yang diinginkan tanpa menggunakan cara teknis.
Metode ini memanfaatkan faktor psikologis calon korban, kadang tanpa perlu keahlian teknis di bidangHACKING, contohnya telah sering anda lihat pada kehidupan sehari hari. Pernahkan anda mendapatkan SMS/TELEPON yang menyatakan anda mendapatkan hadiah tertentu, dan untuk itu anda harus memberikan dana atau informasi yang bersifat confidential? Jika anda mengalai hal tersebut tadi anda perlu hati hati bisa jadi seorang sosial engineering sedang beraksi.
Dalam social engineering, hacker memanfaatkan sifat alami manusia, teknis hacking tidak digunakan. Hal ini mengartikan bahwa betapa sifat alami manusia yang bisa ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan adalah gampang percaya.
Banyak metode yang dapat dilakukan untuk mencapai situasi psikologis yang tepat sebelum “serangan” dilancarkan. Yang umum adalah dilakukan dengan meniru orang lain, memuji, berpura-pura “eh kita sama”, atau sekedar benar-benar bersikap ramah terhadap sasaran.
Dan perlu disadari bahwa social engineering tidak hanya ditujukan untuk pencurian password saja; pembuat virus menggunakannya untuk membujuk kamu membuka attachment email yang mengandung malware, phisher menggunakanya untuk mendapatkan informasi berharga dari kamu, bahkan ada pembuat scareware yang menakut-nakuti kamu untuk membeli atau mendownload program (yang bisa jadi tidak berguna, atau bahkan merusak).
Menurut acuan keamanan jaringan yang dikeluarkan oleh Microsoft, perusahaan pembuat Opreating System Windows, Social Engneering Hacker dapat menjadikan kecerobohan, kemalasan, kesopanan, bahkan antusiasme dari seorang staff perusahaan sebagai targetnya. Tujuan dari Social Engineering hacker sama dengan hacker lainnya yaitu untuk mendapatkan akses ke dalam sebuah system, dimana mereka bisa mengincar uang, informasi, atau asset IT perusahaan.
Sebagian besar masyarakat Indonesia masih belum mengenal Social Engineering Hacker. Padahal teknik hacker yang satu ini sudah ada sebelum tahun 2000an, hanya saja tidak pernah terekspos dikarenakan sulitnya mengidentifikasi kasus yang menggunakan Social Engineering. Hal ini dikarekan staff perusahaan yang telah menjadi korban tidak mau mengakui insiden tersebut karena insiden tersebut dikarenakan kesalahan user itu sendiri.
Social engineer adalah hacker yang menggunakan otaknya daripada keahlian komputernya. Hackers menelpon pusat data dan berpura-pura menjadi pelanggan yang kehilangan user dan passwordnya. Social engineering menjadikan staff/manusia sebagai targetnya. Mereka mendatangi staff tersebut untuk mendapatkan informasi yang mereka butuhkan. Social engineer hacker juga dapat berpura-pura sebagai orang dalam perusahaan tersebut, hal ini bisa dioerburuk dengan tidak adanya control yang jelas akan staff yang keluar masuk.
Dalam social engineering terdapat pola umum yang biasa dilakukan oleh para hacker, yaitu:
- Pengumpulan informasi
Banyak tehnik yang biasa digunakan oleh hacker untuk mendapatkan informasi mengenai sasarannya. Bisa berupa struktur organisasi, list nama orang dalam, tanggal ulang tahun, dan cara lainnya yang dapat digunakan nantinya untuk mengembangkan relasi/hubungan dengan targetnya.
- Mengembangkan relasi/hubungan
Setelah mendapatkan informasi yang cukup maka selanjutnya adalah berusaha mendekati salah satu staff yang telah menjadi sasaran. Pada tahap ini semua informasi yang telah diperoleh di awal akan digunakan untuk mendapatkan kepercayaan sasaran tersebut.
- Mengeksploitasi
Setelah mendapatkan kepercayaan dari orang yang dijadikan sebagai sasaran, langkah selanjutnya adalah mengeksploitasi informasi-informasi yang telah didapat untuk masuk ke dalam system perusahaan.
- Eksekusi
Setelah berhasil masuk ke dalam system, hacker tersebut dapat dengan mudah mencuri, merubah, bahkan merusak system dan data didalamnya tanpa terhalangi system keamanan.
Sumber: publikasi.kominfo.go.id
