Aplikasi Social Engineering ( ketahanan dan keamanan sistem informasi)

  Social Engineering sebagai teknik pengumpulan informasi melalui interaksi individual terhadap

tujuan, melalui hubungan personal yang baik pihak-pihak yang terlibat didalamnya, atau dapat menggunakan teknologi pendukung sebagai media penyamaran identitas, dengan menggunakan kemampuan terdasar manusia dalam membina hubungan dan kepercayaan sebagai mahluk sosial. dalam implementasinya dapat dilakukan dengan berbagai cara yang sangat bervariasi, disesuaikan dengan kebutuhan dan objek tujuan tetapi yang utama adalah memperoleh informasi secara intelektual.   Social Engineering dapat dimasukan pada kategori pertama siklus tahap-tahap penerapan informasi, yaitu reconnaissance, sebagai teknik pengumpulan informasi dari target baik secara pasif ataupun aktif. social engineering sebenarnya tanpa disadari telah menjadi bagian yang sering dilakukan ketika seseorang berusaha mencari informasi atau data dari orang lain. contoh perilakunya adalah sebagai berikut:
• menggunakan intensitas pendekatan pribadi, secara personal menimbulkan kepercayaan dan keterkaitan langsung pada pihak yang sedang membina hubungan.
• menggunakan media surat kabar, televisi, radio, ataupun buku daftar alamat (yellow pages) yang akan memudahkan subjek penyerang mengetahui banyak hal mengenai target tanpa harus melakukan survei secara langsung.
• menggunakan teknologi mesin pencari di internet (google.com, yahoo.com) yang jika dioptimalkan dengan metode pencarian khusus atau dengan mengetikan sintaks-sintaks khusus (intitle, file site) dapat menghasilkan informasi yang begitu lengkap.
  Berikut ini penjelasan mengenai beberapa sintaks yang sering digunakan untuk merinci hasil pencarian pada google. field : tujuan penggunaan inurl : menemukan URL (host, nama path, nama file) yang memiliki kata kunci yang kita masukan. filetype : menemukan tipe file tertentu site : menemukan halaman pada situs tertentu link : menemukan halaman yang memiliki hiperteks link ke URL tertentu   sebagai contoh pada pencarian : "filetype:doc site:ac.id laporan" (tanpa tanda kutip). pencarian akan menghasilkan file data dengan ekstensi ".doc" pada semua domain ac.id yang berisi informasi "laporan".
• menggunakan situs komunitas seperti frenster.com, multiply.com, blogger.com, untuk dapat mencari biodata yang kebanyakan bersifat pribadi, informasi psikologis dari target, serta dengan mudah mengetahui kehidupan sosial seseorang dari melihat informasi yang tercantum dengan detil di internet. pengalaman penulis dalam mencari informasi spesifik tentang seseorang melalui situs-situs komunitas, hanya memerlukan ketekunan dan waktu yang cukup singkat.
  Social Engineering seakan menjadi suatu ancaman yang tidak ada penagkalnya. dari hasil uji coba yang dilakukan secara pasif ataupun aktif terhadap pengguna komputer, menunjukan hasil yang cukup signifikan dalam menunjukan bahwa metode apapun yang diterapkan oleh admistrator sistem terhadap perangkat keras ataupun perangkat lunak yang dimiliki, akan menjadi begitu percuma ketika penyerang dapat mengakses informasi-informasi rahasia tersebut hanya dengan bermodalkan kesabaran dan kemampuan berbicara seperti halnya kemampuan para sales dalam menawarkan produk ke konsumen. Teknik-teknik melakukan Social Engineering sendiri juga bervariasi, dan dapat dirangkum dalam beberapa butir berikut ini :
• pretexting, penyerang menggunakan informasi sederhana (kecil) yang telah dimiliki sebagai alibi dan media untuk mendapatkan target informasi yang lebih luas. perangkat komunikasi yang dipergunakan biasanya adalah telepon, untuk meminimalisir unsur tatap muka dengan target. informasi sederhana tersebut secara umum tidak dianggap berbahaya diketahui oleh orang lain, seperti contohnya nomor telepon, NIK, NRP.
• phising, penyerang menggunakan suatu media (institusi, situs) yang diakui oleh target, sehingga target percaya untuk memberikan data-data sebenarnya seperti username dan password. institusi dan situs yang yang digunakan sebagai media biasanya telah mengalami serangan deface file atau halaman login palsu (fake page). contoh dari kasus ini adalah halaman login palsu di frendster.com dan beberapa situs penyedia email gratis.
• gimmes/trojan, memanfaatkan keingintahuan (keisengan) seseorang terhadap suatu data atau informasi. ini juga memanfaatkan titik lemah dari setingan standar di sistem operasi tertentu yang tidak memunculkan informasi secara detail pada icon yang muncul ketika mengeksplorasi media penyimpan. tentu pengguna komputer masih teringat ketika virus brontok, sebagai salah satu virus lokal indonesia yang menyamar sebagai icon direktori (folder), tetapi ketika diklik, ternyata mengaktifkan aplikasi virus, dan menyerang sistem yang aktif.
• road apple, teknik ini juga memanfaatkan rasa keingintahuan pengguna, serta ditambah keteledoran dari pemilik data atau sistem ketika meninggalkan media-media penyimpan informasi (harddisk, cd, dvd, flashdisk) pada tempat publik. tetapi cara ini juga dapat sengaja dilakukan untuk menyebarkan suatu aplikasi berbahaya yang akan secara otomatis aktif ketika media-media penyimpan tersebut diakses oleh pengguna. contohnya yang cukup sederhana adalah apa yang akan dilakukan karyawan ketika menemukan cd dengan tulisan di cover : "data keuangan tahun 2008" ?. tidak ada yang dapat meyakinkan bahwa karyawan tersebut tidak melakukan pengopian cd tersebut terlebih dahulu sebelum mengembalikan ke pihak otoritas.

  Pengguna sebagai level pertama pada sistem seharusnya mulai berfikir keras mengenai solusi terbaik untuk mengatasi tipe serangan ini. seperti yang sudah disebutkan sebelumnya, tidak ada solusi terbaik untuk mengatasi ancaman social engineering, karena selama manusia dalam berinteraksi dilengkapi dengan kecerdasan dan keterampilan yang menimbulkan kepercayaan secara personal, dimana pun juga kesempatan mendapatkan informasi itu terbuka lebar.