Internet sekarang sudah menjadi hal yang umum bagi hampir semua orang. Sejak ditemukannya World Wide Web di CERN, Jenewa, Swiss, internet terus berkembang dan menjadi media komunikasi yang sangat efektif sekarang ini. Email, social networking, dan sebagainya sudah sangat dikenal baik serta digunakan oleh banyak orang. Namun, dibalik kemudahan-kemudahan yang ditawarkan, ada banyak masalah yang timbul, dan yang paling mendasar adalah masalah keamanan. Bagaimana kita dapat menjamin data-data kita yang ada di web ini benar-benar aman?Pada kenyataannya, ancaman terhadap keamanan data di jaringan sering terjadi, dan banyak di antaranya disebabkan oleh kelalaian pengguna. Hal inilah yang dimanfaatkan dalam metode social engineering, dan lebih jauh lagi dimanfaatkan pada Cross-Site Scripting.
Social engineering adalah suatu metode untuk memperoleh informasi pribadi atau rahasia dari seseorang dengan cara menipu orang tersebut. Metode ini pada dasarnya memanfaatkan bagian paling lemah dalam rantai jaringan keamanan komputer, yaitu manusia sebagai user. Sistem yang sangat canggih sekalipun tentunya tetap perlu seorang user untuk mengoperasikannya, dan inilah yang menjadi target dari social engineering. Dengan cara yang persuasif, seorang hacker dapat memperoleh informasi login seseorang yang diberikan secara langsung oleh orang itu tanpa harus bersusah payah membobol account miliknya. Social engineering juga digunakan untuk mendapatkan informasi tentang kelemahan suatu sistem, tidak lain tujuannya adalah untuk mengambil alih suatu system.
Salah satu media yang cukup umum untuk digunakan untuk hal ini adalah telepon. Melalui telepon, seseorang bisa saja berpura-pura menjadi bagian IT suatu perusahaan yang menelepon salah satu karyawan dengan alasan uji coba suatu sistem keamanan yang baru, dimana ia memerlukan username serta password dari karyawan tersebut untuk mengujinya. Mungkin contoh tersebut terdengar< tidak mungkin berhasil, tapi kenyataannya banyak sekali orang yang jatuh pada perangkap seperti itu.
Internet juga dapat digunakan sebagai media dalam melakukan social engineering. Salah satu cara yang paling umum adalah Cross-Site Scripting atau XSS. Serangan XSS sampai sekarang masih sering digunakan dalam usaha perolehan data-data yang bersifat sensitif melalui internet. XSS biasanya digunakan pada situs-situs yang menggunakan informasi yang bersifat personal atau pribadi. Dengan kata lain, website yang membutuhkan login user untuk aksesnya. Email, jejaring sosial, internet banking, dan sebagainya sering menjadi target dari cross-site scripting. Pada dasarnya, XSS memanfaatkan phising sebagai bagian paling utama dalam prosesnya. Phising dijalankan dengan melakukan script injection pada suatu website palsu. URL yang menuju ke situs tersebut kemudian “diberikan” ke user, dimana bila URL tersebu dibuka maka script yang ada pada website tersebut akan mengirimkan informasi login user itu ke hacker yang membuatnya. User tersebut tidak menyadari kenyataan bahwa ia sendiri yang mengirimkan data-data tersebut. Phising seperti ini sangat sering terjadi, dan seringkali berhasil, seringkali karena banyak user yang tidak berhati-hati ketika membuka link yang mereka terima. Email, terutama spam, sering menjadi tempat bersarangnya link-link yang digunakan untuk phising, dan berpotensi untuk dibuka oleh user yang lalai dalam hal keamanan.
Kedua cara social engineering di atas sangat membutuhkan kemampuan mengelabui seseorang. Seorang hacker harus sangat meyakinkan ketika berusaha membohongi user melalui percakapan telepon. URL yang dibuat dalam melakukan XSS attack juga harus sangat mirip dengan URL asli web tersebut agar user terkecoh. Jadi, jika seseorang menjadi korban dari social engineering, sebenarnya belum tentu karena kelalaian semata. Bisa jadi hacker yang bersangkutan memang sudah sangat ahli dalam hal-hal tersebut.
Mengingat social engineering memanfaatkan kelemahan kita sebagai manusia, saya berharap kita semua dapat lebih berhati-hati ketika kita menjelajahi dunia maya ini. Kita mungkin tidak menyadarinya, tapi bisa jadi ada banyak "hiu" hacker di luar sana, menunggu kesempatan untuk menerkam kita. Jadi, waspadalah!
referensi:
http://netsains.com/2010/03/social-engineering-dalam-teknologi-informasi/
http://www.sans.org/top-cyber-security-risks/summary.php
http://www.securitybay.co.uk/articles/what-is-a-cross-site-scripting-attack
memang sebagian besar yang sudah “terbiasa” melakukan hal ini, membuat suatu URL yang sangat mirip dengan URL asli web. khususnya URL yang dikirimkan melalui email, dengan sedikit teknik HTML, memang URL yang tertulis di email sekilas terlihat sama dengan URL asli web yang dituju. Jadi pastikan pada address bar sebelum mengisi suatu form dari suatu alamat web tertentu
Saya sependapat dengan tulisan anda ini.. Dalam berinteraksi di media sosial (dunia maya) memang kita harus tetap berhati-hati. Karena sekarang ini kejahatan online sudah semakin marak dilakukan.
Selain kehati-hatian, informasi/pengetahuan mengenai modus-modus kejahatan serta cara mengantisipasi juga perlu kita ketahui untuk “bekal” kita menghindar dari kejahatan tersebut..
Dengan semakin banyaknya blogger yang menulis tentang kejahatan online, social engineering dan semacamnya, semakin bertambah pula pengetahuan kita sebagai “bekal” tersebut tadi.
Memang social engineering sendiri adalah salah satu cara paling efektif yang digunakan oleh beberapa orang untuk mendapatkan data pribadi yang diperlukan. Solusi untuk masalah ini sendiri yakni kesadaran diri untuk melindungi data pribadi yang ada, yang saat ini masih kurang disadari oleh masyarakat kita.
saya sepakat terhadap anda. bahwa kewaspadaan dan sifat selektif menjadi harga mati dalam menyikapi perkembangan dimana kejahatanpun akan semakin kreatif.
khususnya untuk indonesia saya rasa peluang untuk berhasil melakukan tindak kejahatan dengan social engineering relatif cukup besar ya, karena pribadi orang Indonesia yang biasanya mudah untuk percaya dan terkadang kurang menjaga hal-hal yang seharusnya menjadi privasi dirinya sendiri juga.
Menurut saya, yang paling penting, Jangan terlalu mengumbar hal pribadi dalam jejaring sosial.