Ping Dan Social Engineering

Pengalaman bertemu Ping merupakan pengalaman yang buruk. Apa yang dilakukannya boleh disebut sebagai social engineering atau bisa diterjemahkan sebagai “rekayasa sosial.” Ketika hacker mengalami kesulitan saat membobol sistem target, maka hacker bisa melakukan manipulasi psikologis terhadap orang-orang yang ada di dalam sistem. Sebagai informasi, sebuah sistem informasi tidak hanya terdiri dari hardware, software, dan jaringan, tetapi juga brainware alias otak manusia.

Berikut definisi Social Engineering menurut Wikipedia:

Social engineering, in the context of information security, refers to psychological manipulation of people into performing actions or divulging confidential information. A type of confidence trick for the purpose of information gathering, fraud, or system access, it differs from a traditional “con” in that it is often one of many steps in a more complex fraud scheme.

The term “social engineering” as an act of psychological manipulation is also associated with the social sciences, but its usage has caught on among computer and information security professionals.

Atau jika saya coba terjemahkan bisa diartikan sebagai:

Rekaya sosial, dalam konteks keamanan informasi, merujuk ke manipulasi psikologi dari orang-orang untuk melakukan aksi atau membocorkan informasi rahasia. Sebuah tipe dari penipuan untuk keperluan mengumpulkan informasi, penipuan, atau akses ke sistem, yang berbeda dari “con” tradisional yang mana kadangkala merupakan satu dari banyak langkah dalam skema penipuan yang kompleks.

Istilah “rekayasa sosial” sebagai sebuah tindakan manipulasi psikologis juga berhubungan dengan ilmu pengetahuan sosial, tetapi penggunaannya terjadi di antara profesional komputer dan keamananan informasi.

Lebih lanjut, jenis-jenis rekayasa sosial ini bisa dibaca di Wikipedia.

Lalu apa yang terjadi? Baiklah, saya coba kembali mengingat apa yang telah terjadi yang melibatkan Ping si Hacker Pink.

Baca selebihnya »

Menilai Keamanan Sebuah Sistem

Senin kemarin saya berkesempatan untuk menjadi pembicara di STMIK Bina Insani Bekasi. Materi yang dibawakan adalah “Peran Sistem Informasi Akademik Bagi Perguruan Tinggi”, “Pengenalan Sisfo Kampus” dan “Keamanan Sistem.” Yang menarik adalah topik ketiga, yaitu tentang Keamanan Sistem.

Sebenarnya topik yang lain juga tidak kalah menarik, cuma topik keamanan menjadi sangat menarik karena ini menjadi standar baru setiap seminar & presentasi Sisfo Kampus. Maklum, bahasan ini sangat penting dan melibatkan semua stake holder sistem, tidak terkecuali.

Sebenarnya saya bukan pakar keamanan dan saya pun baru belakangan ini mempelajarinya lebih dalam sehingga saya hanya mengulas garis besarnya saja. Tetapi yang patut digarisbawahi adalah bahwa:

“Kekuatan keamanan dari sebuah sistem informasi dinilai dari komponennya yang paling lemah.”

Supaya lebih memahami, saya akan memberikan analogi yang sederhana, yaitu misalnya keamanan rumah kita.

Katakanlah kita sudah memasang pagar besi dengan gembok rangkap enam. Demikian juga rumah dengan pintu jati dengan kunci otomatis. Tetapi ketika ternyata temboknya hanya dari batako yang dapat dengan mudah dijebol oleh maling, maka kekuatan keamanan rumah kita cuma sebatas tembok batako tersebut. Nyaris percuma memasang pagar dengan gerbang besi dengan gembok rangkap enam. Demikian juga dengan pintu rumah dari jati dengan kunci otomatis yang harganya puluhan juta. Ternyata maling bisa saja mengikis tembok batako.

Baca selebihnya »

Email Dari Citibank Atau Phising?

Pagi ini saya mendapatkan email dari Citibank. Tapi Gmail mengklaimnya sebagai spam. Bahkan Gmail menambahkan pesan berwarna merah dengan tulisan:

Peringatan: Pesan ini mungkin bukan dari yang mengklaim. Waspada, jangan sembarangan mengikuti link apa pun di dalamnya dan jangan sembarangan memberi informasi pribadi ke pengiri. Pelajari selengkapnya

Pertanyaannya adalah: benarkah email ini bukan dari Citibank? Yang jelas emailnya menunjuk ke domain citibank. Tetapi isinya memang mencurigakan karena mengajak kita mengisi data pribadi.

Tetapi saya mengacungi jempol untuk Gmail yang telah memberi peringatan. Seperti kita tahu, email semacam ini adalah salah satu teknik Phising. Apa sih phising itu? Mari kita tanyakan ke Mbak Wiki.

In computing, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic communication. Communications purporting to be from popular social web sites (Youtube, Facebook, Myspace), auction sites (eBay), online banks (PayPal), or IT Administrators (Yahoo, ISPs, corporate) are commonly used to lure the unsuspecting. Phishing is typically carried out by e-mail or instant messaging,[1] and it often directs users to enter details at a fake website whose URL and look and feel are almost identical to the legitimate one. Even when using SSL with strong cryptography for server authentication it is practically difficult to detect that the website is fake. Phishing is an example of social engineering techniques used to fool users [2], and exploits the poor usability of current web security technologies [3]. Attempts to deal with the growing number of reported phishing incidents include legislation, user training, public awareness, and technical security measures.

Jadi, kita memang harus sangat berhati-hati dengan email semacam ini. Jika perlu, telpon bank-nya secara langsung untuk mengkonfirmasikan emailnya ini.