Wicak Hidayat - detikinet
ilustrasi (cc/nasa)
Jakarta - Nama-nama besar seperti Google, BP, McAfee, Symantec, Shell, Microsoft, Oracle, Cisco, Apple dan Walmart tidaklah kebal terhadap aksi pencurian informasi. Hal itu terbukti saat semua perusahaan itu jadi sasaran sebuah kontes yang digelar para penggiat keamanan komputer dalam Defcon18 beberapa waktu lalu.
Dalam kontes itu, peserta berhasil mengekstrak informasi dari seluruh perusahaan yang jadi sasaran. Trik yang digunakan dalam kontes itu hanya satu: Social Engineering.
Lewat Social Engineering, pelaku cukup menggunakan panggilan telepon untuk mencuri informasi dari sasarannya. Trik yang gampang-gampang susah ini cukup populer di kalangan penggiat keamanan komputer seperti 'hacker legendaris' Kevin Mitnick.
Poin dalam kontes diberikan untuk beberapa kategori informasi yang diinginkan. Seperti dikutip detikINET dari DarkReading, Senin (9/8/2010), ini termasuk nama penyedia makanan di kafetaria, tipe browser yang digunakan dan versinya, program antivirus yang digunakan hingga siapa yang menangani tempat sampah.
Poin paling besar diberikan pada peserta yang berhasil mengarahkan korbannya untuk mengklik sebuah alamat web.
Menakutkan
Tak disebutkan perusahaan mana yang paling banyak kebobolan informasi. Namun, menurut penyelenggara, terjadi kebocoran informasi pada semua perusahaan yang jadi sasaran.
"Pada semua perusahaan, selama kami berhasil berhubungan dengan manusia, trik Social Engineering selalu bisa dilakukan," tutur Chris Hadnagy, penyelenggara kontes dan manajer operasional dari Offensive-Security.com.
"Dari sudut pandang profesional di bidang keamanan, sangat menakutkan bahwa hal ini terjadi. Perusahaan-perusahaan itu adalah sampel dari industri utama di Amerika: minyak, ritel, manufaktur, telepon dan keamanan. Ini cukup mengerikan," ujar Hadnagy.
Peserta dilarang untuk meminta informasi yang cenderung ilegal seperti mendapatkan nomor kartu kredit atau nomor jaminan sosial. Selain itu, mereka juga tak boleh menyamar sebagai petugas pemerintah, penegak hukum atau entitas legal lain.
Kebanyakan peserta disebut menyamar sebagai surveyor, wartawan atau pebisnis. Apa trik yang paling jitu? Pertama, kontestan harus benar-benar percaya bahwa dirinya adalah yang disebutkan dan kedua, banyak kontestan yang berhasil dengan mengajukan permintaan tolong.
Mencegah
Jika perusahaan sekelas Google atau Microsoft saja rentan akan serangan jenis ini, bagaimana cara mencegahnya? Menurut Dave Marcus, direktur penelitan dan komunikasi di McAfee Labs, kontes ini adalah sesuatu yang berharga bagi perusahaan.
"Aksi itu memang sulit. Anda bisa melakukannya pada siapapun selama Anda punya cukup informasi soal mereka dan cukup ngotot," ujar Marcus.
Untuk mencegahnya, Marcus mengatakan, tak bisa dengan kursus singkat dan menampilkan presentasi soal Social Engineering. "Seharusnya karyawan ditaruh dalam sebuah pelatihan dengan skenario, mereka harus duduk dan menghadapi aksi ini dan mengetahui seperti apa rasanya menjadi korban," kata Marcus.
Menurut Marcus, saat ini menjalankan Social Engineering makin mudah. Seseorang bisa membuat profil, yang akan digunakan untuk melakukan Social Engineering, dengan melihat aktivitas korban di twitter, blog dan situs jejaring sosial lainnya.
No comments:
Post a Comment
Anda punya tanggapan mengenai artikel ini?
Silakan isi komentar untuk berbagi ilmu disini :