Sunday, 17 May 2015

SOCIAL ENGGINERING

09:13    No comments
Nama : Agung Susanto
Nim : 310112022170
Judul : SOCENG(Social engineer)


TEKNIK PRESENTASI
SOCIAL ENGGINERING


Logo_stmik-new.JPG


OLEH :
AGUNG SUSANTO
3101 1202 2170






TEKNIK INFORMATIKA
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
(STMIK BANJARBARU)
BANJARMASIN
2015
A.Pengertian social engginering
Hasil gambar untuk Social engineer
     Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Social enggonering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. 
    Keamanan terlemah sistem jaringan komputer bukan pada software maupun hardware, melainkan manusia(user). Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri. Kelemahan inilah yang di manfaatkan untuk melakukan  teknik social engginering ini. 
B.Faktor  Utama Teknik Social Engginering
Hasil gambar untuk Social engineerDi balik semua sistem keaman dan prosedur-prosedur pengamanan yang ada, masih terdapat faktor lain yang sangat penting, yaitu manusia. Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan. Membuang sampah yang bagi kita tidak berguna, dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi didalamnya yang bisa dimanfaatkan orang lain.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
C.Metode Social Engginering
  1. Social Engineering yang didasarkan pada sisi manusianya (human based social engineering), yaitu dengan melibatkan interaksi antara manusia yang satu dengan yang lainnya.
             Human based social engineering dikategorikan menjadi lima jenis :
  • Impersonation (pemalsuan)
  • Important User (menyamar sebagai orang penting)
  • Third Party Authorization (pemalsuan otorisasi)
  • Technical Support (menyamar sebagai bagian technical support)
  • In Person (mendatangi langsung ke tempat korban)


  1. Social Engineering yang didasarkan pada sisi teknis atau komputernya (computer based social engineering), dengan bergantung pada software yang digunakan untuk mengumpulkan data atau informasi yang diperlukan.
              Computer based social engineering datap dikategorikan menjadi empat jenis :
  • Mail/IM (Instant Messenger Attachment). Seseorang yang melakukan chatting melalui Instant Messenger lalu lawan bicaranya mengirimkan sebuah file attachment berisi Trojan, virus,  atau worm dengan tujuan untuk mengumpulkan data atau informasi dari computer korban.
  • Pop-Up WindowsHacker membuat suatu software untuk menipu user agar memasukkan username dan password miliknya dengan menggunakan pop-up window pada saat user sedang menggunakan computer.
  • WebsiteHacker membuat suatu website tipuan untuk menarik user agar memasukkan alamat email dan password pada saat mendaftar (register) untuk memperoleh sesuatu, misalnya hadiah.
  • Spam EmailHacker mengirimkan email berisi attachment yang mengandung virus atau Trojan.
 

D. Cara menghindari social engineering

  • Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
  • Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk mengurangi insiden-insiden yang tidak diinginkan;
  • Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
  • Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
  • Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari – misalnya “clear table and monitor policy” – untuk memastikan semua pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan perlu pula melakukan sejumlah usaha, seperti:

  • Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya (baca: vulnerability analysis);
  • Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”;
  • Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi;
  • Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi, institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan informasi;
  • Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya;
  • Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.

0 comments:

Post a Comment