Sabtu, 16 Agustus 2008

Social engineering

Pagi ini saya diminta memperbaiki komputer klien saya yang terkena virus. Saat dinyalakan, ternyata komputer itu sudah 'dikuasai' virus sedemikian rupa sehingga sukar sekali bekerja disitu. Tak hanya semua proses berjalan super lambat, tapi juga Control Panel sudah disembunyikan, search dan command-prompt tak kelihatan batang hidungnya, semua program anti-virus diblok, bahkan drive C: dan D: juga tak terlihat. Tak ada jalan lain selain install ulang seluruh sistem.
Meskipun sudah ada anti-virus, ternyata virus masih mampu menyusup kedalam komputer itu dengan menggunakan metode social engineering.



Social engineering adalah metoda yang memanfaatkan kelengahan atau menyalah-gunakan kepercayaan pengguna. Atau singkatnya: tipu-tipu.
Metode ini tak akan lekang oleh waktu, dan akan selalu menjadi celah keamanan yang signifikan, karena ia tidak terlalu bergantung pada teknologi, melainkan pada psikologi.

Contoh klasik adalah saat seorang hacker hendak membobol komputer sebuah perusahaan, ia bisa saja menggunakan program untuk mencari username dan password untuk masuk. Tapi akan lebih mudah baginya untuk mengirim email atau menelepon para karyawan dan mengaku dari departemen IT lalu menanyakan password orang itu dengan berbagai alasan. Dari sekian puluh orang korban, selalu ada yang menjawab dengan jujur.
Cara ini juga sering dipakai untuk 'memancing' username dan password para pengguna internet banking.
Yang lebih canggih adalah website 'Phising' (dari kata 'fishing') dimana hacker dengan berbagai cara membelokkan traffic dari pengguna ke website login dari institusi keuangan (misal: bank atau PayPal) yang ternyata palsu. Saat pengguna memasukkan username dan password, tanpa disadari mereka menyerahkan kunci dari rekening mereka ke hacker.

Contoh lain adalah email dengan subject atau isi yang kontroversial atau mengejutkan. Baru-baru ini rekan saya mendapat email dengan judul "Barack Obama tewas ditembak!" dan berisi link website 'berita selengkapnya'. Seandainya link tadi diklik, saya berani bertaruh isinya bukan berita itu, tapi segudang virus yang siap menerkam komputer Anda.

Pada kasus klien saya diatas, waktu browsing di internet, si pemakai komputer pernah mendapat peringatan bahwa komputernya tertular virus, dan dianjurkan untuk menginstall anti-virus tertentu.
Tanpa diketahuinya, ternyata peringatan itu palsu dan yang disebut anti-virus itu sendiri sebenarnya virus trojan. Akibatnya saat menginstall 'anti-virus' itu, sebenarnya si pemakai sudah memasukkan virus kedalam komputernya sendiri. Cara ini tak bisa dicegah oleh anti-virus asli yang terinstall dalam komputer. Sama saja dengan rampok yang mengaku polisi dan hendak memeriksa rumah Anda, lengkap dengan surat tugas. Tak perduli setinggi apa pagar rumah, rampok model ini tetap bisa masuk. Anda baru sadar saat mereka mengeluarkan golok dan mengambil harta Anda. :-o

Selama ini saya selalu berkoar-koar pada klien-klien saya, agar tidak mudah percaya segala sesuatu di internet terutama kalau tidak jelas asal-usulnya (sampai mungkin sebagian dari mereka juga sudah bosan mendengarnya). Social engineering adalah salah satu alasan saya berbuat seperti itu.
Komputer dan internet adalah alat canggih dengan banyak potensi dan kemampuan. Namun sayangnya, seperti alat apapun juga, internet juga telah disalah-gunakan untuk tujuan yang jauh dari mulia.

Tidak ada komentar:

Poskan Komentar