kembali lagi dengan saya Yukinoshita 47 kali ini saya mau ngisi materi kuliah GSH lagi ya di portal belajar otodidak wkwkwkwkwk ya maklum kalimatnya jadi sopan gini biar berwibawa sedikit :*
Apa Itu Social Engineering ?
Pengertian Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metode hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Apa Saja Metode Social Engineering ?
Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.
seperti kata DarkTerrorizt "berikan yang ia mau maka ia akan memberikan yang kamu mau"
Dini saya jelaskan seperti apa model Social Engineering yang menurut pengalaman saya pribadi yang pernah melakukan nya
- Dumpster Diving
Dari gambar diatas salah satu contoh dumpster diving pernah gak kalian tiba-tiba dapat telepon dari operator telk*m, bank, dan lainnya bahkan dia tau nomor register, nama dan lainnya terus modus nya promosi dan lain-lain ternyata penipuan ya bisa jadi karena kesalahan kalian sendiri membuang struk, surat dari bank, hipotik dan lainnya di tong sampang tanpa membakar nya.
pernah kah kalian dapat telpon misal dari operator seluler dan lainnya si penelpon bilang "selamat anda memenangkan undian ********** dan mendapatkan hadiah mobil" pasti kalian yang bermental miskin senang nya kebangetan sampe salto 7 kali dan kemudian saking senang sampe lupa berpikir jernih kemudian si penelpon minta transfer sejumlah yang kata nya untuk pembayaran pajak dan BPKB mobil dan eng ing eng uang ditransfer mobil pun tak kunjung datang malah brosur nya pun gak dapat :v
jadi cara penanganan model social engineering kayak gini jangan gampang percaya udah lah rejeki gak kemana kalo ditelpon dapat mobil udah lu bilang aja kek garasi penuh.
bagi yang emang hobi ikut undian tolong dibaca dengan teliti syarat dan ketentuan nya.
ada beberapa tujuan terkait peretas atau hacker yang sering menggunakan social engineering dengan metode ini
- Untuk penyerbaran Malware : biasanya para hacker menggunakan metode hacking stegosploit atau penyisipan malware ke dalam dokumen dan disebarkan via email secara acak tergantung motif hackernya ada yang ingin menebar ransomware, RAT, dan worm
- Untuk mencuri akun via phising atau login palsu
- Untuk information gathering biasanya hacker akan berpura-pura nyamar sebagai Technical Support menggunakan identitas atau atribut vendor dan mengontak administrator untuk mendapatkan akses ataupun data sensitif seperti username dan password
- Hacker biasanya melakukan pendekatan langsung dengan target seperti nongkrong bareng target, atau kerja dengan target secara freelance kemudian mengambil celah dengan cara mengontak target untuk dimintai username dan password dengan alasan yang dibuat-dibuat namun masuk akal bagi target.
saya sendiri juga pernah menggunakan metode ini pada saat itu saya bekerja freelance dengan si target ini dengan moment yang pas saya kontak target minta akun nya username dan password gmailnya untuk kepentingan verifikasi data :v
no pic hoax kan ? ne gambar nya gw sensor ya demi keamanan
Metode ini cukup berbahaya dan bahkan di dunia per-hacker-an ini kalo ada hacker yang bisa menyusup langsung ke target untuk hacking ataupun social engineering ini pasti ia dipuji dan dianggap sangat hebat karena bernyali besar.
Hacker biasanya datang ke Gedung atau bangunan target untuk menanam alat sadap, sniffing, atau mencari sticky notes yang berisi data sensitif
saya sendiri juga pernah melakukan nya ya dipengalaman saya waktu itu dikantor kondisi kantor sepi ya saya lihat diatas dompet rekan kerja ada sebuat sticky note / memo isinya akun akun dia dan isinya username dan password nya jadi tanpa mengulur waktu langsung saya foto aja.
ini foto nya sengaja saya sensor
saya juga pernah dapat kartu kredit dan discan langsung malah :v
walaupun dapat saya tidak pernah sepeserpun mengambil uang nya karena waktu itu saya hanya mencoba aja dan ternyata bisa.
jujur aja waktu melakukan social engineering ini adrenaline saya terpacu
baiklah kurang lebih seperti itulah social engineering sebaiknya jangan pernah menyalahgunakan ilmu social engineering ini karena dampak negatif nya sangat besar baik terhadap diri kalian sendiri maupun orang lain ingatlah memang social engineering ini metode yg gak semua orang bisa ibarat nya seperti bakat khusus namun ingat ilmu social engineering ini seperti pisau bermata dua.
jika saya menyalahgunakan ilmu yang saya miliki tentu saja sekarang saya tidak bisa posting di blog ini karena dilanda kasus dan masalah.
artikel ini hanya untuk educational purpose only / hanya ilmu edukasi semata semua tergantung pada diri masing-masing aja mau jadi jahat atau jadi baik ?
sekian dan terimakasih
daftar pustaka
https://id.wikipedia.org/wiki/Social_engineering_%28keamanan%29