Social Engineering

Dewasa ini marak terjadi penipuan yang ditujukan kepada kita seiring perkembangan teknologi, seolah-olah itu berasal dari suatu instansi terkemuka yang lazim digunakan masyarakat. Baik berupa pesan singkat--ini yang paling sering dan mudah--maupun melalui email. Banyak orang yang terperdaya oleh hal ini, dan kerugian dapat mencapai ratusan ribu hingga milyaran. Jenis penipuan seperti ini disebut social engineering. Maka dari itu kali ini kita akan membahas sedikit mengenai social engineering.

Social engineering adalah sebuah istilah yang berasal dari Bahasa Inggris, yang secara harfiah berarti rekayasa sosial. Maksudnya di sini adalah suatu teknik yang mempelajari aspek-aspek sosial dan merekayasa hal-hal yang berhubungan dengan seseorang untuk memperoleh informasi penting dari orang tersebut. Teknik ini biasanya dilakukan oleh seseorang yang membutuhkan informasi orang lain untuk kepentingan tertentu, atau hanya ingin mengerjainya. Pelaku social engineering disebut social engineer.  Social engineer tersebut mengumpulkan informasi tentang targetnya langsung dari target atau dari seseorang yang kenal dengan target tersebut bisa dengan cara mendatangi sambil menyamar sebagai orang yang dikenal atau dibutuhkan target. Namun pada umumnya dilakukan melalui saluran telepon atau melalui internet ketimbang mendatangi langsung, karena melalui cara ini, terutama jaringan komputer, keberadaan pelaku akan lebih sulit terlacak dan lebih mudah diterima oleh orang yang tidak mengerti tentang keamanan komputer (baca: gaptek). Pelaku yang menggunakan cara yang terakhir ini dapat disebut hacker atau lebih pantas disebut cracker.

Sesuai dengan namanya, yaitu social engineering, maka social engineer menyerang titik terlemah dari suatu sistem komputer, yaitu user komputer tersebut, yang merupakan makhluk sosial (baca: manusia). Meskipun sebuah sistem komputer memiliki software maupun hardware tercanggih dengan tingkat keamanan tertinggi, namun administratornya tidak mengerti atau kurang berpengalaman, maka hal tersebut menjadi titik lemah sistem komputer tersebut. Sebuah sistem suatu perusahaan yang dikelola oleh seorang administrator yang mengerti keamanan komputer dengan baik, namun dengan user yang tidak mengerti atau tidak mau mengerti keamanan komputer, dapat menjadi celah bagi seorang social engineer untuk mencuri maupun merusak data penting perusahaan tersebut.

Ada beberapa cara bagi para social engineer untuk mengelabui korbannya, antara lain :

• Cara yang paling dasar, yakni meminta secara langsung informasi yang dibutuhkan kepada korbannya, seperti akses untuk memasuki jaringan, password, dan lain-lain. Walaupun jarang berhasil, cara ini sangat efektif bila korban termakan oleh tipu daya pelaku. Biasanya dilakukan oleh orang yang dekat dengan korban.
• Membuat suatu keadaan yang palsu dengan social engineer tersebut sebagai salah seorang bagian dari keadaan tersebut. Sebelumnya seorang social engineer harus mencari informasi mengenai latar belakang, sifat, maupun hal-hal yang dibutuhkan korban. Dengan informasi tersebut dapat pelaku dapat membuat suatu kondisi yang logis untuk diterima korban sehingga tujuan lebih mudah tercapai. Misalnya bila diketahui komputer korban sedang mengalami masalah, maka pelaku dapat menyamar sebagai seorang teknisi komputer, yang memiliki akses bebas terhadap komputer korban.
• Cara yang cukup populer, yaitu melalui email atau pesan singkat. Dengan melalui pesan singkat yang mencantumkan nama, jabatan, bahkan alamat dengan benar dan lengkap serta diiringi rangkaian kata-kata yang menarik perhatian, korban bisa saja langsung percaya dan mengikuti apa yang diperintahkan pada pesan tersebut. Dengan melaui email tidak jauh berbeda dengan pesan singkat, namun kelebihannya pelaku dapat menyisipkan file-file trojan backdoor pada lampiran (attachment) email tersebut untuk mencuri data-data dari komputer korban melalui internet apabila korban membukanya.

Para social engineer profesional biasanya mempelajari psikologi manusia sehingga mereka mengetahui di mana titik terlemah seorang manusia untuk bisa menerima sugesti yang diberikannya.

Nah, sekarang hal yang paling penting adalah bagaimana cara agar terhindar dari serangan social engineering. Cara yang paling agar terhindar dari ancaman manusia (dalam hal social engineering) adalah melatih kesadaran diri akan bahaya hal tersebut. Mungkin banyak orang yang lebih menggantungkan keamanan komputernya kepada aplikasi-aplikasi keamanan komputer tertentu dan merasa cukup akan hal itu. Namun tidak ada suatu sistem keamanan ciptaan manusia yang lebih efektif daripada sistem keamanan yang telah diciptakan Allah swt., yaitu diri kita sendiri.

Maka dari itu, mulailah memperdalam ilmu kita mengenai keamanan komputer, dengan mencari, membaca, maupun bertanya kepada yang lebih mengerti, agar keamanan data-data kita lebih terjamin nantinya.