Social Engineering, Ancaman Keamanan Sistem Informasi

Social engineering adalah sebuah metode untuk masuk ke sebuah sistem tanpa menerobosnya secara langsung atau mengeksploitasi kerentanannya (vulnerability). Akan tetapi, metode ini mengeksploitasi kerentanan pada manusia yang berada di sekitar sistem. Cara ini banyak digunakan karena lebih mudah dan efektif. Penyerang tidak perlu bersusah payah menembus keamanan sistem untuk menanamkan malware. Cukup memanfaatkan kelemahan manusia seperti kelalaian, keingintahuan, kecerobohan, ketidaktahuan, ketidakwaspadaan, dan sebagainya. Jika diibaratkan 1 manusia 1 celah, maka dengan metode social engineering jumlah celah keamanan sistem sama dengan jumlah manusia yang ada dalam organisasi tersebut.



Social engineering selalu dimulai dengan mengumpulkan informasi awal terkait target serangan. Informasi dapat berupa data pejabat eksekutif, struktur organisasi, nomor telepon, laporan organisasi, dan sebagainya. Berbagai informasi ini bisa didapatkan melalui internet. Selain itu, penyerang dapat mengumpulkan latar belakang, aktivitas, dan kebiasaan orang tertentu yang berada di dalam organisasi tersebut dengan memanfaatkan media sosial dan jejaring lainnya.
Selanjutnya, penyerang dapat melakukan impersonate terhadap karyawan sistem informasi untuk mendapatkan berbagai informasi dari karyawan lainnya.

Beberapa alasan yang biasa digunakan adalah hendak memberikan penjelasan singkat tentang security awareness.  Pada saat proses ini berjalan, penyerang mengumpulkan berbagai informasi seperti sistem komputer dan aplikasi yang digunakan, ID karyawan dan ID komputer, bahkan password karyawan tersebut. Cara lain yaitu dengan mengirimkan email ke beberapa karyawan berisi lampiran yang telah disisipi malware. Penyerang bisa menggunakan layanan surel palsu yang banyak tersedia. Surel dengan judul yang menarik (misalnya data gaji karyawan) akan menimbulkan rasa ingin tahu target untuk membuka lampiran surel tersebut. Malware pun akan aktif dan menginfeksi sistem.
Melihat besarnya celah di sisi manusia maka dibutuhkan langkah pencegahan terhadap vulnerability ini di antaranya
– Jangan bergantung pada pengenal identitas yang umum.
– Buat pengenal yang berbeda untuk fungsi yang berbeda (aktivitas personal dan komputer).
– Penerapan prosedur call-back apabila hendak mengungkapkan sebuah informasi yang dilindungi.
– Organisasi harus menjalankan program security awareness kepada seluruh pihak dalam organisasi sehingga ada pengetahuan dasar keamanan untuk mengurangi vulnerability di sisi pengguna.
– Organisasi mengatur pembagian analis komputer sehingga setiap divisi mengenal analis masing-masing. Dengan demikian, karyawan dapat menghubungi analis komputernya setiap kali ada yang menghubungi mereka atas nama computer support.
– Organisasi menerapkan privacy and security policy
Sebagai penutup, keamanan adalah tentang mengetahui siapa yang dan apa yang harus dipercaya, kapan harus percaya, dan memberikan informasi pada kondisi yang tepat. Keamanan suatu sistem tidak hanya memperhatikan aspek teknis namun juga aspek non-teknis yang berhubungan dengan sistem secara langsung seperti manusia. Tantangannya adalah menciptakan sebuah privacy and security policy yang tetap memberi kenyamanan kerja kepada para karyawan tanpa harus memperlakukan manusia seperti mesin
email : saifulrizal013@gmail.com fb : saiful rizal Ig : saiful rizal blog saifulrizal10.blogspot.com