Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif
dengan cara menipu pemilik informasi tersebut. Social engineering
umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan
salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang
targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak
lain yang mempunyai informasi itu.
Social
engineering adalah cara bagi penjahat untuk mendapatkan akses ke komputer Anda.
Tujuan dari rekayasa sosial biasanya diam-diam menginstal spyware atau
perangkat lunak berbahaya atau untuk menipu Anda agar menyerahkan password atau
informasi keuangan atau pribadi sensitif lainnya.
Social
engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan
komputer, yaitu manusia. Setiap orang yang mempunyai akses kedalam sistem
secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam
kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social
engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi
persiapan itu sendiri.
Misalnya user menggunakan password yang mudah
ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses
kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat
menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau
merusak datadata penting perusahaan. Membuang sampah yang bagi kita tidak
berguna, dapat dijadikan orang yang berkepentingan lain. Misal: slip gaji, slip
atm. Barang tersebut kita buang karena tidak kita perlukan, namun ada informasi
didalamnya yang bisa dimanfaatkan orang lain.
Atau pada kasus di atas, seorang penyerang bisa
berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah
satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social
Engineering.
Metode pertama adalah metode yang paling dasar
dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung
yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke
jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara
ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan
tugas penyerang.
Cara kedua adalah dengan menciptakan situasi
palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa
membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari
perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk
mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi
tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong
untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima
oleh target.
Sebagai contoh seperti ini: seorang berpura-pura
sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk
konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan
dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu
mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket,
dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi
ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan
tersebut dengan account target. Contoh lain, bisa berpura-pura sedang
mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh
informasi tentang peta jaringan, router, firewall atau komponen jaringan
lainnya.
Cara yang populer sekarang adalah melalui e-mail,
dengan mengirim e-mail yang meminta target untuk membuka attachment yang
tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di
sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan
“tak berdosa” sekalipun.
Tindakan
ini juga disebut dengan Phising. Phising
adalah tindakan mengirim e-mail palsu ke
pengguna yang mengaku sebagai perusahaan yang sah didirikan dalam upaya untuk
scam pengguna untuk menyerahkan informasi pribadi yang akan digunakan untuk
pencurian identitas. Email tersebut mengarahkan pengguna untuk mengunjungi
situs web di mana mereka diminta untuk memperbarui informasi pribadi, seperti
password dan kartu kredit, jaminan sosial, dan nomor rekening bank, bahwa
organisasi yang sah telah memiliki. Situs Web, bagaimanapun, adalah palsu
diatur hanya untuk mencuri informasi pengguna.
Phishing,
juga disebut sebagai merek spoofing atau carding, adalah variasi pada
"memancing," gagasan menjadi umpan yang dilemparkan keluar dengan
harapan bahwa sementara sebagian besar akan mengabaikan umpan, beberapa akan
tergoda untuk mengikutinya.
Riset psikologi juga menunjukkan bahwa seorang
akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan,
sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil
terlebih dahulu.