soceng … sebuah kata yang aneh bagi teman2 yang baru mendengarnya. Mungkin cuma plesetan atau lawakan ajaa, tapi ternyata soceng menjadi disiplin ilmu yang penting di dunia IT. Apa sih sebenernya .. ayo kita bahas .. ^^..

soceng adalah sebuah singkatan dari social engginering. sebuah disiplin ilmu IT dalam bidang keamanan. soceng sering dikaitkan dengan manusia. kenapa ..??

banyak yang mengklaim bahwa manusia adalah rantai terlemah dalam sebuah sistem. manusia menjadi target utama dalam teknik soceng ini, karena tidak ada jaringan komputer yang tidak melibatkan manusia. karena sehebat apapun teknologi yang diterapkan, akan tetap kebobolan dengan kendali seorang network admin yang kurang handal.

nah sampai sini, ada bayangan kan tentang apa itu soceng ..??, definisi ane ..
soceng adalah sebuah teknik memperoleh informasi dengan cara menipu korban. korban disini bisa saja user, admin, operator, member, dan lain-lain. manusia menjadi celah kelemahan yang bersifat umum atau universal. Tidak memandang server, software, hardware, sistem operasi, platform, protokol, dan lain-lain.

dewasa ini model soceng kian beragam, pada awalnya hanya sebuah teknik yang menggunakan telepon atau handphone saja. Namun seiring berjalannya waktu teknik ini semakin berkembang. Internet adalah salah satu sarananya.

teknik soceng biasa digunakan attacker untuk mendapatkan informasi yang ia butuhkan dari sebuah perusahaan. hal ini menjadi lumrah ketika sebuah perusahaan yakin dengan infrasktruktu teknologi yang hebat akan melindungi data rahasia perusahaan. banyak metode yang digunakan, antara lain :

1. datang langsung ke perusahaan.
banyak yang menggunakan teknik ini dengan kepercayaan diri yang tinggi. dengan meyakinkan bahwa ia adalah rekanan, konsultan, atau audit maka dengan mudah seorang attacker bisa masuk kedalam sistem perusahaan dan mengambil informasi yang ia butuhkan. sebuah kisah nyata dari Kapil Raina, seorang ahli keamanan di VerySign.

Suatu pagi di beberapa tahun yang lalu, sekelompok orang berjalan memasui sebuah perusahaan jasa pengiriman yang tergolong besar. Beberapa saat kemudian mereka berjalan keluar dari gedung itu dan telah berhasil mendapatkan ak akses ke sistem jaringan perusahaan. bagaimana mereka melakukannya ..?

Pertama, mereka telah melakukan riset mengenai perusahaan itu selama 2 hari sebelumnya. Sebagai contohnya, mereka telah mempelajari nama-nama pejabat berpengaruh di perusahaan itu dengan cara menghubungi pihak HRD. Selanjutnya mereka berpura-pura kehilangan kunci ketika berada di pintu depan perusahaan, dan ternyata seorang pria di perusahaan tadi membukakan pintu untuk mereka tanpa curiga. Untuk saat itu mereka telah berhasil memasuki gedung sasaran. Sampai di lantai 3 yang merupakan secure area, mereka berpura-pura kehilangan tanda identitas. Cukup melakukan akting kehilangan dengan bagus, senyum ke pekerja-pekerja yang ada, dan salah satu dari mereka membukakan pintu dengan ramah.

Mereka sudah tahu bahwa saat itu pemimpin perusahaan sedang bertugas keluar kota, jadi mereka bisa dengan bebas memasuki ruang kantornya dan mendapatkan data finansial dari komputernya yang ternaya tidak dipassword. Mereka kemudian memanggila petugas kebersihan dan meminta untuk meletakan semua sampah perusahaan di suatu tempat dimana mereka nantinya bisa memeriksa karena beberapa karyawan ternyata suka menuliskna informasi rahasia atau passwod ke kertas lembar kerja yang tidak terpakai dan ekmudian membuang begitu saja.

Selain hal-hal diatas, mereka pun telah mempelajari bagaimana cara dan gaya sang pemimpin berbicara, sehingga mereka mampu menelpon dan mengaku sebagai pemimpin perusahaan, yang sebenanrnya sedang bertugas keluar kota, lalu mengatakan sedang dalam keadaan terburu-buru dan lupa akan passwordnya. Sang admin pun tanpa rasa curiga dan tanpa merasa perlu memverifikasi, segera memberikan apa yang dibutuhkan. Denga mamakai teknik standar, mereka akhirnya mendapatkan akses super-user di sistem jaringan perusahaan tersebut.

2. Dumpter Diving
Dumpter Diving Atau disebut trashing adalah metode populer, yaitu attacker mengumpulkan informasi dengan memeriksa sampah perusahaan sasaran. Ada banyak informasi yang bisa didapatkan seorang attacker dari sampah perusahaan selama sampah itu bukan sampah makanan ^^/. Buku telepon, kalender, dan catatan kerja merupakan salah satu informasi penting.

3. Telepon (membuat situasi palsu)
Cara ini adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

4. Koneksi Internet
ketika seorang pekerja sedang melakukan koneksi internet, tiba-tiba sebuah pop-up windows muncul dan mengatakan bahwa koneksinya terputus dan harus kembali melakukan login. Tanpa curiga, pekerja tadi akan melakukannya. Semudah itu attacker mendapatkan informasi.

Pengiriman email juga sering dilakukan karena email menjadi sarana yang dapat dipercaya korban. Misalnya dengan memberitahukan bahwa attachment file yang disertakan merupakan patch sistem operasi yang harus segera dijalankan. User mungkin tidak curiga dan tidak perlu melakukan verifikasi karena merasa email itu berasal dari vendor sistem operasi yang digunakan. Atau mungkin emial dengan attachment yang disisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

5. Pendekatan psikologis

Selain cara-cara diatas, seorang attacker menggunakan langkah-langkah psikologis untuk mendapatkan informasi, yaitu dengan mengadakan sebuah ikatan emosional dalam tujuan mendapatkan kepercayaan, atau seperti yang pernah kevin Mitnick katakan, “That is the whole idea, to create a sense of trust and then exploiting it“, misalnya dengan menjalin suatu hubungan dengan memacari sekretaris pemimpin dari perusahaan. Dia lalu akan memberikan kesan sebagai orang yang bisa dipercaya dan lambat laun bukan hanya rahasa sekretaris, namun rahasia perusahaan ia dapatkan.

Attacker bisa melakukan berbagai hal untuk sekedar menarik simpati atau menjalin hubungan dengan orang-orang yang dianggap bisa menjadi jalan untuk mencapai tujuannya.

salah satu contoh bentuk Social Engginering dengan metode Pendekatan psikologis bisa teman-yeman lihat disini, Contoh Pendekatan Psikologis.

Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain.

Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik. kopral garenx seorang penguasa hacker.

Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Referensi :
ilmukomputer.org
id.wikipedia.org/wiki/Social_engineering_(keamanan)