Skip to content
hacking

Social Engineering: Sebuah Metode Peretasan Psikologis

Awal tahun 2016, Office of Inspectorate-General (OIG) US Homeland Security Department (DHS), melakukan kontrak dengan firma audit independen, KPMG, untuk menyelenggarakan reviu keamanan atas DHS. Termasuk di dalamnya adalah pelaksanaan pengujian (pen-test) social engineering, beserta tur ke dalam fasilitas DHS setelah jam kerja untuk melakukan reviu pengamanan fisik atas informasi yang sensitif. Tujuannya adalah untuk mengidentifikasi pelanggaran kebijakan lembaga oleh pegawai DHS dalam hal perlindungan atas informasi sensitif.

Hasilnya, pegawai DHS terbukti semakin memahami dasar-dasar dari cybersecurity. Meskipun, beberapa pegawai masih meninggalkan dokumen-dokumen sensitif di atas meja. Hal ini sebagaimana diungkapkan melalui laporan hasil pemeriksaan OIG DHS yang terbit pada tanggal 6 Mei 2016 mengenai praktik keamanan DHS. Laporan tersebut dirilis secara publik di situs FTC.

Sebagai bagian dari pengujian social-engineering, auditor menyamar sebagai technical support dan melakukan panggilan telepon kepada pegawai DHS dan meminta mereka memberikan login credentials. Auditor mencoba menghubungi 28 orang pegawai dan kontraktor, dan berhasil terhubung kepada 8 orang di antara mereka. Hasilnya, tidak satupun dari mereka yang bersedia memberikan password.

Namun, tampaknya pegawai DHS itu kurang menyadari adanya kerentanan, pada hal-hal yang berteknologi lebih rendah. Ketika auditor melakukan inspeksi pada cubicles dan kantor-kantor sebagai bagian dari walkthrough setelah jam kerja, mereka menemukan enam ruang kerja di mana materi sensitif telah ditinggalkan tanpa adanya pengamanan, melanggar kebijakan DHS. Termasuk di antaranya beberapa informasi yang ditandai FOUO, atau ‘For Official Use Only,’ yang merupakan sebutan DHS untuk menunjukkan informasi yang tidak rahasia namun masih sensitif.

Dalam situs resmi US Federal Trade Commission (FTC), Lorrie Cranor, Chief Technologist FTC menceritakan pengalamannya menjadi korban atas pencurian identitas (identity theft). Ceritanya, suatu hari pada awal tahun 2016, seorang perempuan yang tidak dikenal berjalan memasuki retail carrier store di Ohio. Ia mengidentifikasikan diri sebagai Lorrie Cranor, dan membeli dua buah Apple iPhone secara mengangsur. Perempuan itu memasukkan tagihan pembelian iPhone ke rekening Cranor dan melenggang begitu saja.

Dan Cranor tentu bukan seseorang yang ceroboh perihal keamanan teknologi informasi. Cranor bukanlah korban dari phishing. Cranor lebih dari sekedar melek teknologi (tch-savvy), ia bahkan merupakan seorang suhu digital security. Profesor di Carnegie Mellon University yang berspesialisasi pada passwords and authentication.

Untuk dapat melakukan hal tersebut, menurut Cranor dalam ceritanya, pencuri perlu memperoleh informasi mengenai nama, nomor ponsel, dan membuat ID palsu. Ada kemungkinan pula bahwa toko akan meminta 4 (empat) digit terakhir dari Social Security Number (SSN) Cranor. Namun itu bukanlah suatu informasi yang sulit dicari bagi seorang pencuri identitas.

Cranor beruntung. Segera setelah mengetahui ihwal adanya pencurian identitas tersebut, carrier terkait segera mencabut tagihannya. Cranor tidak mempersalahkan carrier atas kasus ini, mengingat kasus yang baru saja dialaminya, yakni phone account hijacking menjadi trik yang belakangan cukup marak, dan terjadi secara endemik di banyak carrier. Laporan pengaduan yang masuk kepada FTC berkaitan dengan kasus ini semakin banyak di tiga tahun terakhir.

Setidaknya menurut Sentinel Network Data Book tahun 2015 yang diterbitkan oleh FTC, untuk tahun 2015 saja terdapat 490.220 kasus fraud yang melibatkan pencurian identitas. Detail penyalahgunaan informasi berdasarkan laporan yang masuk digambarkan pada bagan berikut.

id-theft-ftc

Ancaman Social Engineering dan Permasalahan Perilaku

Modul Ethical Hacking and Countermeasures yang diterbitkan oleh EC-Council, menyebut bahwa social engineering mengacu kepada metode untuk mempengaruhi dan mempersuasi orang agar bersedia mengungkap informasi sensitif yang bertujuan untuk melakukan malicious action. Melalui social engineering, penyerang dapat memperoleh informasi rahasia, detil otorisasi serta detil akses dari seorang korban, melalui penipuan dan manipulasi atas korban. Social engineering menjadi ancaman sebab segala bentuk security measures yang dirancang oleh sebuah entitas akan menguap sia-sia, manakala terdapat pegawai yang menjadi korban social engineering oleh orang tidak dikenal.

Acapkali korban tidak menyadari bahwa dirinya tengah masuk ke dalam perangkap serangan social engineering. Sebab seseorang dapat menjadi korban atas social engineering manakala dihadapkan pada situasi semacam menjawab pertanyaan dari orang tidak dikenal dalam sebuah percakapan informal, mengikuti instruksi dalam sebuah surel (e-mail) yang ternyata mengandung umpan spear phising, atau bahkan ketika seseorang menyombongkan diri di hadapan rekan kerjanya.

Pada umumnya, penyerang memanfaatkan beberapa bentuk perilaku dan sifat dasar manusia dalam melakukan serangan social engineering. Celah yang paling utama adalah sifat alamiah manusia untuk mempercayai satu sama lain. Meski begitu, pada akhirnya penyerang juga acapkali menggunakan ancaman bila permintaan mereka tidak dipenuhi oleh korban. Sikap mental pemburu rente juga menjadi sasaran empuk social engineering, dengan menjanjikan pemberian tertentu sebagai ganti atas bocoran data yang diberikan.

Yang menarik, korban juga acapkali membocorkan informasi sensitif untuk menghindari masalah bilamana ia tidak memberitahukan informasi tersebut. Informasi diberikan oleh korban semata-mata sebab ia tidak ingin perusahaan akan terlibat pada suatu masalah jika informasi tersebut tidak diberikan.

Ragam Modus Social Engineering

social-engineering

Setidaknya, mengacu pada klasifikasi yang dibuat oleh EC-Council, modus social engineering terkategori dalam tiga kelompok besar. Di kelompok pertama, ada human-based social engineering. Modus-modus dalam kelompok ini melibatkan adanya interaksi antar manusia. Artinya melalui interaksi degan calon korbannya, penyerang dapat memperoleh informasi yang diinginkan berkenaan dengan targetnya.

Ada banyak modus yang terkategori sebagai human-based social engineering, termasuk di dalamnya dumpster diving. Ya, tempat sampah berbicara banyak hal tentang kehidupan pribadi seseorang, terlebih sebuah entitas. Sampah-sampah dokumen dari sebuah entitas dapat menjadi harta karun bagi penyerang. Beragam informasi bisa jadi bertebaran di setumpuk sampah, mulai dari password yang tertulis di sticky notes, daftar nomor telepon internal, kalender bercoret agenda, draft surat rahasia, hingga mungkin struktur entitas yang dapat digunakan untuk pencurian identitas maupun pengayaan pundi-pundi informasi yang penting sebelum melancarkan serangan kepada sebuah entitas. Oleh karenanya penting bagi sebuah entitas, untuk memperhatikan pengelolaan sampah dokumen.

Meski begitu, modus human-based social engieering yang jamak ditemui adalah penyamaran (impersonation). Pasalnya, melalui modus inilah eksploitasi atas psikologis korban dapat dilakukan secara amat masif. Penyerang umumnya dapat menyamar sebagai pengguna (legitimate end-user), sebagai orang yang penting (important user), maupun sebagai technical support. Ketiga jenis penyamaran tersebut dapat menyajikan tekanan otoritas dan urgensi, yang kerapkali membuat korban begitu saja menaruh kepercayaan, atau bahkan kehilangan keberanian untuk melakukan konfirmasi lebih lanjut mempertanyakan legitimasi penyerang. Situasi psikologis korban dalam menghadapi ketiga jenis penyamaran tersebut dapat dibayangkan dengan memposisikan diri sebagai sysadmin yang memperoleh telepon masuk berikut:

  • “Selamat siang, Mas. Saya Febri sekretaris pribadi bapak Inspektur Jenderal. Kebetulan beliau sedang mempersiapkan bahan untuk memberikan laporan yang urgent kepada Menteri sore ini. Namun beliau lupa password untuk mengakses sistem pengelolaan hukuman disiplin. Bisa dibantu, Pak?”
  • “Halo, Pak. Saya Mukidi, anggota tim audit BPK yang sebagaimana Bapak ketahui saat ini sedang melakukan pemeriksaan atas disaster recovery plan Kami ingin melakukan inspeksi mendadak mengenai prosedur pemulihan data. Anda kami beri waktu 10 menit untuk memberitahu bagaimana Anda mengatasi kegagalan sistem perbendaharaan.”
  • “Selamat siang Mbak, saya Ucup dari kantor Data Center Telkomsigma Serpong. Semalam, sebagaimana Mbak barangkali ketahui, ruang server dan NOC kami mengalami down karena permasalahan HVAC. Kami ingin memeriksa data loss dan dapat kami informasikan bahwa saat ini demi alasan keamanan kami sedang memblokir akses melalui vSphere. Boleh kami minta user ID berikut password Virtual Machine?”

Eavesdropping juga menjadi modus human-based social engineering yang patut diwaspadai. Eavesdropping adalah tindakan seseorang mendengarkan sebuah percakapan maupun membaca dokumen yang sebetulnya ia tidak punya wewenang untuk melakukan hal tersebut. Termasuk di dalamnya penyadapan (interception) atas segala bentuk komunikasi. Sehingga, manakala menilik kembali pembahasan sebelumnya berkenaan dengan audit Inspektorat Jenderal (OIG) atas United States DHS, maka temuan berupa adanya dokumen berisikan informasi terbatas yang berserakan di meja selepas jam kerja adalah sebuah celah keamanan bagi pelaku social engineering. Metode lain yang masih serumpun dengan eavesdropping adalah shoulder surfing. Yakni seseorang melakukan pengamatan dari ‘balik punggung’ maupun menggunakan perangkat seperti binokular, manakala seoraang korban tengah memasukkan password maupun informasi lainnya.

Contoh terakhir dari metode human-based social engineering yang sering luput dari perhatian dan merupakan celah keamanan yang sebetulnya cukup fatal di banyak instansi pemerintahan adalah modus tailgating atau piggybacking. Tailgating secara sederhana dapat digambarkan dalam situasi adanya seseorang dengan ID badge palsu yang memasuki secured area dengan cara mengikuti seorang pegawai melalui pintu yang memerlukan key access. Termasuk pemberian izin dengan kendali yang minim kepada pihak di luar pegawai yang berwenang, misalnya kepada kurir pengantar barang maupun ‘keluarga’ dari pejabat, sebetulnya menjadi kerentanan atas serangan yang perlu mendapat perhatian. Tailgating juga dapat dilakukan secara elektronik dalam situasi manakala penyerang memanfaatkan adanya active session yang tidak dinonaktifkan oleh pegawai yang meninggalkan workstation untuk suatu keperluan.

Sementara itu, computer-based social engineering secara umum dilakukan dengan menggunakan berbagai macam malicious program dan aplikasi perangkat lunak. Misalnya pop-up windows maupun surel spam dengan malicious attachment.

Spear phishing menjadi salah satu modus computer-based social engineering yang paling berbahaya. Berbeda dengan serangan phishing normal, spear phishng bersifat langsung kepada individu spesifik yang ada dalam organisasi. Penyerang umumnya memanfatkan media surel untuk memperoleh detil personal dan informasi rahasia. Penyerang akan mengirimkan surel yang sekilas tampak berasal dari pihak yang berwenang dan memiliki legitimasi. Penyerang juga dapat melengkapi surel jebakannya menggunakan logo, fonts, serta nomor telepon help desk. Targetnya, penyerang akan memasang tautan (hyperlinks) yang mengarah kepada situs palsu milik penyerang, dan informasi target akan dicuri dan disalahgunakan.

Bagaimana penyerang dapat menentukan targetnya secara spesifik? Maraknya penggunaan media sosial dapat mempermudah penyerang untuk melakukan profiling atas calon korbannya. Terutama, melalui platform LinkedIn. Melalui profil LinkedIn, penyerang dapat mengetahui histori pekerjaan korban, hingga jabatan spesifik korban dalam sebuah entitas.

Kelompok yang terakhir adalah mobile-based social engineering. Kelompok ini lahir sejak dimulainya era ponsel pintar yang di dalamnya terjadi pertukaran data secara masif, dengan tingkat yang hampir sama dengan komputer personal. Serangan berbasis mobile dilakukan dengan memanfaatkan aplikasi yang dipasang pada ponsel pintar pengguna. Social engineering berperan agar target korban bersedia memasang aplikasi tersebut pada perangkatnya. Misalnya, melalui repackaging legitimate app.

Bisakah Social Engineering Dibendung?

Kemungkinan cara yang dapat digunakan untuk melakukan ekstraksi informasi dari manusia lain bergantung pada kecerdikan akal penyerang. Sementara aspek ini menjadikan social engineering sebuah seni, dasar psikologikal atas beberapa teknik menjadikannya sebuah cabang ilmu (science). Yang perlu digarisbawahi adalah, bahwa tidak ada pertahanan melawan social engineering. Hanya kewaspadaan secara konsisten yang dapat mematahkan serangan social engineering.

Sebagai bagian paling dasar dari pengendalian umum (general control), sebuah entitas dapat menerapkan kebijakan (policy) dan prosedur untuk memberikan proteksi dari serangan social engineering. Hanya saja, mengembangkan kebijakan ini semata-mata tidaklah cukup. Adalah hal yang barangkali klise, bahwa entitas harus melaksanakan diseminasi, untuk memastikan bahwa seluruh pengguna memahami kebijakan tersebut. Serta yang juga penting adalah kejelasan mengenai konsekuensi atas pelanggaran kebijakan.

EC-Council menyebut bahwa dalam menangkal social engineering, kebijakan entitas utamanya berfokus pada password policies dan physical security policies. Bentuk kebijakan yang dapat diterapkan sebagaimana digambarkan pada bagan berikut.

security-policies

Selain kebijakan, usaha perlindungan dari serangan social engineering juga dapat dilakukan melalui pelatihan dan peningkatan kesadaran keamanan (security awareness) bagi pegawai. Selain itu, perlu juga disusun panduan operasional mengenai pengamanan informasi sensitif serta otorisasi akses atas sumber daya. Entitas juga perlu menetapkan pembagian hak akses dan klasifikasi informasi. Dan dari sisi pengelolaan sumber daya manusia, perlu dilakukan pengecekan latar belakang dalam penerimaan pegawai serta proses penghentian pegawai secara pantas.

Dan yang terakhir, dengan sebelumnya mempertimbangkan biaya dan manfaat, entitas dapat melaksanakan audit sistem informasi khususnya pada aspek keamanan sistem informasi. Berkaitan dengan ancaman social engineering, pada umumnya auditor sistem informasi akan melakukan penetration testing untuk menilai tingkat kesadaran keamanan (security awareness) yang dimiliki oleh pegawai.

Lucky mustard.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*