Social Engineering, Sebuah Teknik Menyerang Sistem Keamanan Komputer

Social engineering dipopulerkan oleh seorang hacker terkenal bernama Kevin Mitnick pada era tahun 1990-an. Social engineering merupakan sebuah teknik mendapatlan informasi penting dari korban dengan cara memperdaya korban dengan memanfaatkan kelemahan interaksi sosial korban. Menurut Bernz, social enginering adalah seni dan ilmu bagaimana mendapatkan orang untuk memenuhi apa yang kita inginkan. Menurut Palumbo, social engineering adalah sebuah trik psikologi yang digunakan oleh hacker dari luar pada pengguna sah dari sebuah sistem komputer untuk mendapatkan informasi yang dibutuhkan agar mendapatkan akses ke sistem komputer.

Pada dasarnya, tujuan dari social engineering sama dengan hacking pada umumnya:mendapatkan akses yang tidak diotorisasi ke dalam sistem atau informasi untuk melakukan tindakan ilegal, penyerangan jaringan, mata-mata industri, pencurian identitas, atau menyerang sistem atau jaringan komputer. Umumnya, perusahaan yang menjadi target adalah perusahaan-perusahaan besar seperti perusahaan telekomunikasi, militer, lembaga pemerintah, lembaga finansial, rumah sakit, dan sebagainya.

Menurut Sarah Granger, serangan melalui social engineering mempunyai dua level: secara fisik dan secara psikologi. Serangan secara fisik dilakukan dengan berbagai macam, seperti datang langsung ke tempat kerja, menggunakan telepon, sampah-sampah,dan bahkan secara online. Pelaku dapat saja berpura-pura sebagai pegawai maintenance gedung, konsultan, dan bahkan pegawai perusahaan itu sendiri yang mempunyai akses ke dalam organisasi. Pelaku kemudian mencari password, memasang perangkat penyadap di jaringan, dan sebagainya, dan kemudian menyerang sistem atau jaringan dari luar. Cara lain adalah dengan cara memperhatikan pekerja yang sedang memasukkan password kemudian mencuri password tersebut.

Menurut Joan Goodchild, ada berbagai trik yang digunakan oleh penyerang dengan memanfaatkan kelemahan sosial korban. Beberapa di antaranya adalah berikut ini.

1. Sepuluh derajat pemisahSalah satu cara untuk mendapatkan informasi dengan memanfaatkan

social engineering adalah dengan menggunakan telepon. Namun sebelum mendapatkan informasi penting dari korban, pelaku akan terlebih dahulu mendapatkan informasi sepotong demi sepotong sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu per satu dari orang-orang di sekeliling korban. Pelaku bisa saja bertanya terlebih dahulu kepada petugas keamanan, petugas kebersihan, supir, bawahan, rekan kerja, dan seterusnya hingga sampai kepada korban. Menurut Sal Lifrieri, seorang pensiunan New York City Police Department, kemungkinan ada sepuluh tahap yang dilakukan oleh pelaku sebelum akhirnya sampai ke korban. Korban mungkin saja orang yang kesepuluh yang didekati oleh pelaku.

2. Mempelajari bahasa perusahaan targetSetiap organisasi memiliki budaya dan bahasa sendiri dalam

berkomunikasi dan memiliki istilah-istilah atau singkatan-singkatan yang digunakan ketika berkomunikasi satu dengan yang lainnya. Misalnya, perusahaan kimia akan terbiasa berbicara dengan istilah-istilah kimia, perusahaan obat-obatan akan terbiasa berbicara dedalam istilah-istilah obat-obatan, dan sebagainya. Karena itu sebelum melakukan penyerangan, pelaku akan mempelajari terlebih dahulu bahasa organisasi. Sehingga pada saat melakukan penyerangan, korban akan mudah percaya karena pelaku berbicara dalam bahasa organiasi yang dikenal akrab oleh korban.

3. Meminjam musik "nada tunggu" perusahaanTeknik ini dilakukan dengan memanfaatkan musik "nada tunggu

telepon" yang digunakan organisasi. Sebelum melakukan aksinya, pelaku terlebih dahulu menelpon organisasi, tujuannya agar