Social Engineering: The Bug in Human Hardware

All they need to do is to set up some website somewhere selling some bogus product at twenty percent of the normal market prices and people are going to be tricked into providing their credit card numbers.

Kevin Mitnick

Social engineering, bukan trik yang butuh skill teknis yang ‘wah’, tapi terbukti cukup ampuh. Kevin Mitnick sendiri ngaku kalo social engineering ini trik yang paling banyak dia pake buat ngedapetin username, password, & data-data penting lain dari korbannya. Fokus kali ini bukan hacker legendaris yang satu ini, tapi kalo berminat buat tau lebih banyak tentang dia bisa baca di sini.

Social engineering sendiri sering disebut “eksploitasi bug manusia”, soalnya di sini hackernya nggak perlu ngebobol jaringan atau manfaatin bug yang ada di program buat dapetin yang apa yang dia mau. Dia cukup ngibulin orang lain buat ngelakuin sesuatu yang bisa bikin si hacker ngedapetin apa yang dia mau. Kurang lebih mirip dengan penipu-penipu yang biasa di berita kriminal deh. Kalo kata gw sih sama persis cara kerjanya.

Kayak yang udah disebutin di paragraf pertama, teknik social engineering nggak butuh skill teknis tinggi-tinggi banget. Tapi skill teknis pastinya bakal nolong buat ngelakuin triknya nanti. Contohnya phishing, teknik social engineering yang dikombinasiin dengan teknik desain web & web programming buat bikin halaman login tiruan yang persis sama dengan aslinya. Ntar link ke halaman login tiruan ini disebar si pelaku ke orang-orang, lalu data username & password orang yang nyoba login lewat halaman login tiruan ini diambil di website palsu itu sebelum akhirnya halamannya diredirect ke website yang asli.

Gw sendiri pernah jadi korban trik ini waktu jaman SMA dulu. Bukan data username & password gw yang diambil sih, tapi intinya website itu bakal ngambil nama-nama orang & data-data lainnya yang gw tulis di situ lalu ngirim semuanya ke satu alamat e-mail. Gw sih cuma pernah jadi korban social engineering sekali itu aja & nggak ada kerugian apa-apa. Tapi tante gw pernah kena yang lebih parah, & gw bilang sih yang ngibulin tante gw itu levelnya lumayan tinggi.

Pas tante gw ini kena tipu sih kejadiannya lewat telepon, trik standar lah buat penipu jaman sekarang. Tante gw ini dapet telepon dari orang yang ngaku guru di sekolah sepupu gw, ceritanya guru ini nelpon tante gw buat ngasih tau kalo anaknya jatuh dari tangga & kepalanya luka parah. Penipu ini lalu minta dikirimin duit buat ongkos berobat, tapi tante gw nggak langsung percaya. Tante gw ini nyoba nelpon ke hape anaknya dulu, tapi nggak diangkat. Nggak terlalu lama habis itu ada telepon lagi, kali ini dari orang yang lain. Orang yang nelpon kali ini bilang kalo anaknya lagi dibawa ke rumah sakit naik ambulans. Kayak yang sebelumnya, orang ini juga minta dikirimin duit buat ongkos pertolongan pertama di rumah sakit. Tante gw mulai panik, anaknya nggak ngangkat-ngangkat hapenya pas ditelponin sama tante gw. Pas sekolahnya ditelponin juga teleponnya sibuk terus.

Tante gw yang udah panik akhirnya minta ke om gw buat transfer uang buat ongkos rumah sakit anaknya, tapi om gw sih masih belum percaya & nggak mau ngirim duit. Terus tante gw ditelpon lagi, kali ini yang nelpon ngaku dokter yang nanganin operasi anaknya. Dokter ini minta dikirimin duit buat ongkos obat-obatan & ongkos operasi. Tante gw nyoba nelpon ke hape anaknya lagi, tapi masih nggak diangkat-angkat juga. Akhirnya tante gw yang udah desperet minta ke om gw buat transfer duit yang diminta sama ‘dokter’ itu tadi.

Habis uangnya ditransfer, om gw buru-buru ngajak tante gw ke sekolah anaknya buat ngecek TKP. Om gw sih masih nggak percaya kalo anaknya beneran luka parah. Akhirnya pas sampe ke sekolah ternyata anaknya sehat-sehat aja, & ternyata sepupu gw itu nggak ngangkat-ngangkat telepon dari tante gw gara-gara emang aturan di sekolahnya ngelarang murid-murid bawa hape ke dalam kelas. Jadi semua murid yang bawa hape ke sekolah harus naroh hapenya di dalam loker sebelum masuk kelas. Dari sini keliatan kalo orang-orang yang nipu tante gw tadi udah cukup tau tentang sistem & peraturan di sekolah ini.

Mungkin bakal ada yang bilang begini, “Ah, mereka sih cuma penipu biasa. Nggak bisa dibilang hacker.” Iya, mereka nggak pake trik komputer yang canggih buat nipu korbannya. Tapi mereka cukup tau sistem di sekolah itu kayak apa & mereka bisa manfaatin baik-baik, & mereka tau caranya ngeksploitasi ‘bug’ tante gw. Gw rasa itu udah cukup buat masukin kasus kategori serangan social engineering. Bedanya, sarangan yang gw ceritain tadi dilakuin tanpa komputer. Lagian hacking itu luas, nggak terbatas di komputer yang sekarang ada di depan kita ini aja. Steve Wozniak, co-founder Apple, juga bisa dianggap hacker karena waktu dia muda dulu dia bisa ngutak atik jaringan telepon & manfaatin kelemahannya. Beberapa temen gw bisa dapet akses ke account Facebook pacarnya karena dia minta passwordnya & dikasih sama yang bersangkutan.

Di seminar hacking yang pernah gw ikutin waktu gw masih semester 1 dulu, pembicaranya bilang begini, “Cara apa yang paling gampang buat ngedapetin password orang? Ngebobol database? Sniffing jaringan? Salah. Cara yang paling gampang buat dapetin password orang itu ya tanya langsung ke orang yang punya. Ngapain repot-repot ngebobol database atau sniffing jaringan kalo kita bisa dapet langsung dari orangnya?”

Pembicara itu nggak salah, & emang kita harus liat efisiensi. Ngapain susah-susah kalo yang mau kita dapetin itu bisa didapet dengan gampang? Iya, nggak? Makanya kita harus hati-hati biar nggak ketipu.

One thought on “Social Engineering: The Bug in Human Hardware

  1. Pingback: Virus, Worm, & Trojan | Twisted Pair

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s