Social Engineering Attack
Kita dapat belajar dan mengetahui beberapa jenis serangan yang menggunakan keahlian teknis untuk menyusup sistem komputer yang telah dilindungi oleh peralatan canggih. Untuk mempertahankan system network di perusahaan kita dengan peralatan canggih, memerlukan biaya yang tidak sedikit. Tetapi tetap saja, dengan menerapkan teknologi terbaru dan tercanggih bukan menjadi jaminan jaringan kita terbebas dari serangan atau penyusupan.
Ada jenis lain dari penyerang yang bisa menggunakan taktik untuk menggunakan kelemahan manusia. Mereka adalah ahli ahli sosial yang mengeksploitasi kelemahan psikologi manusia. Mereka menggunakan berbagai media, termasuk panggilan telepon dan media social. Penyerang langsung menanyakan user name dan password. Ada beberapa jenis serangan dengan menggunakan social engineering ini, yang paling adalah phishing, dalih, umpan, quid pro quo dan Tailgating.
Penipuan phishing mungkin jenis yang paling umum dari serangan social engineering yang digunakan saat ini. Kebanyakan penipuan phishing menunjukkan karakteristik sebagai berikut: Mencoba untuk mendapatkan informasi pribadi, seperti nama, alamat dan nomor kartu kredit atau informasi rahasia lainnya. Biasanya mereka menggunakan tautan atau embed link yang mengarahkan pengguna ke situs web yang terlihat tampak sah, tetapi sebenarnya web buatan si penyerang.
Pretexting adalah bentuk lain dari social engineering dimana penyerang membuat scenario yang kelihatannya baik bagi taget, dengan cara ini mereka mencoba untuk mendapatkan informasi pribadi korban atau target. Hal ini bisa terjadi melalui telepon atau email. Jenis-jenis serangan yang umum adalah mengambil bentuk dari scammer yang berpura-pura bahwa mereka membutuhkan informasi tambahan dari target untuk mengkonfirmasi identitas mereka.
Baiting atau umpan adalah mirip dengan serangan phishing. Namun, yang membedakan dari social engineering yang lainnya adalah janji memberikan hadiah baik berupa barang atau uang untuk memikat korban. Baiters mungkin akan menawarkan
pengguna atau target berupa musik gratis atau film yang dapat di download, jika korban mau memberitahukan informasi rahasia ke situs tertentu. Informasi rahasia dapat berupa user name, password atau nomor kartu kredit. Serangan semacam ini tidak terbatas pada skema online, penyerang juga dapat memanfaatan keingintahuan manusia melalui penggunaan media fisik. Salah satu bentuk serangan ini bisa dalam bentuk pembagian flash disk gratis, begitu flash disk ini di colokan ke usb di computer maka akan menginstall keylogger.
Personal Security Defenses
Untuk mencegah serangan terhadap system computer atau system network selain password dan antivirus, yang harus diperhatikan lagi adalah semua aplikasi atau software yang terinstall pada computer kita, termasuk operating sistemnya.
Update software adalah hal yang paling penting untuk dilakukan termasuk update operating system. Microsoft window mempunyai beberapa option untuk update, yaitu: automatic, download, notify dan turnoff. Untuk alasan keamanan sebaiknya kita dapat memilih automatic. Patch pada operating dan software yang lainnya sangatlah penting untuk memperbaiki vulnerability yang ada pada software tersebut. \
Demikian juga untuk antivirus sebaiknya di set automatic update. Update antivirus umumnya adalah untuk mengupdate database ciri ciri unik dari virus virus. Antivirus bekerja berdasarkan mencari ciri ciri unik virus yang ada di file atau data yang masuk ataupun keluar dari system computer.
Selain melakukan pencegahan untuk perangkat lunak, pencegahan dalam hal perangkat keras juga sangat penting. Misalnya gunakanlah kunci laptop apabila laptop ditinggal untuk suatu waktu tertentu. Untuk area server, gunakan kunci yang tidak mudah dibuka dengan teknik umum, dan gunakan akses list sehingga hanya orang orang tertentu saja yang mendapatkan akses ke ruang server.
Untuk serangan dengan menggunakan teknik social engineering dapat di antisipasi hanya dengan training atau pelatihan. Pada saat sekarang pelatihan ini menjadi sangat mutlak harus dilakukan karena dengan semakin banyak cara phishing yang dilakukan oleh orang
jahat. Secanggih apapun peralatan system keamanan yang ada, tetap saja akan percuma jika tidak diimbangi dengan pelatihan user nya atau seluruh stack holder yang terlibat dalam bisnis atau perusahaan. Sering kali sifat dari manusia yang sering lupa bila tidak diingatkan, misalnya kita sudah sering dingatkan untuk tidak membuka lampiran dalam email apabila tidak jelas siapa pengirim email tersebut. Tetapi sering kali kita lupa apabila tidak diingatkan oleh karena itu training secara periodic sangatlah penting, apalagi email phising saat ini sangat beragam seperti contoh dibawah ini.