Social Engineering yang merupakan salah satu teknik untuk menyusup atau mengakses ke dalam sistem keamanan, baik email, jejaring sosial atau website, dan tentunya dengan jalan mengelabui target.
Anda pasti sudah mendengar nama Kevin Mitnick yang merupakan salah satu legenda dunia hacking dan terkenal dengan teknik sosial engineeringnya. Dia pun tidak segan menggunakan teknik ini untuk mendapatkan sebuah hak akses ke subuah jaringan komputer dunia.
Penggabungan pengetahuan sistem komputer dengan social engineering membuat seorang Kevin Mitnick menjadi orang paling terkenal di dunia hacking, karena mampu membobol sistem komputer di beberapa bank.
Social engineering adalah sebuah teknik untuk memperoleh informasi yang bersifat sangat rahasia dan sensitif (biasanya sebuah password atau kode akses) dengan cara menipu pemilik informasi tersebut.
Social engineering sendiri bisa dilakukan melalui internet atau telepon, tetapi sekarang banyak hacker internet sebagai media untuk menjaring korbannya untuk mendapatkan password.
Memang social engineering merupakan salah satu metode untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau memanfaatkan media lain yang mempunyai informasi itu.
Jadi intinya dari social engineering ini berpedoman melakukan pembobolan sistem keamanan yang cukup rentan, yaitu sisi manusianya. Seperti kita ketahui, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Jadi celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware.
Ini berarti setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan keamanan yang telah disusun. Jadi tidak ada satupun sistem keamanan yang mampu menutup celah yang satu ini. Seperti metode hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Memang faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten.
Teknik
Teknik pertama dan yang paling dasar dalam social engineering, untuk bisa langsung melakukan pembobolan adalah, si hacker tinggal meminta apa yang diinginkannya: password, akses ke jaringan, langsung pada administrator dengan berpura-pura untuk melakukan pengecekan rutin. Memang cara ini paling sedikit berhasil, tapi sangat cepat dalam menyelesaikan pembobolan.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Hacker bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu.
Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang target. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tersebut, terkadang fakta-fakta lebih bisa diterima oleh target.
Cara yang paling populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Ada juga yang melakukan penipuan alamat e-mail untuk bisa mendapatkan ID dan Password.
TEKNIK SPOOFING
Bisa Untuk Mengetahui Password Email
Spoofing email merupakan salah satu cara untuk mengelabui target agar mengirimkan balasan berupa username dan password. Jadi Anda mengirim email ke target dari alamat email lain yang mungkin akan membuat target 99% akan percaya.
Misalnya dari bill_gates@microsoft.com. Untuk membuat mereka bodoh dan berpikir bahwa dia mendapatkan pekerjaan yang ditawarkan dari bill_gates dan ketika dia membalas bill_gates ke depan alamat email kepada Anda dan Anda dapat dengan mudah membuat menipu orang kadang-kadang Anda dapat mengirim email seperti “Karena keamanan account Anda, Anda harus menverifikasi email ini dengan password Anda dan ini adalah rekayasa social engineering, hacking password, email hacking”
Bagaimana cara kerjanya: Nah, dalam proses ini, SMTP (Simple Mail Transfer Protocol) server dan Php file yang berisi beberapa perintah yang bertanggung jawab. Jika buddy jejak header email maka dia akan tahu bahwa mereka mendapat email dari server SMTP tertentu.
Anda bisa melakukan ini:
Peringatan! Cara ini bukan untuk mengajarkan Anda melakukan social engineering spoofing. Tapi lebih menitik beratkan Anda agar berhati-hati bila menerima email yang terkirim dari alamat yang terkenal, seperti dari Microsoft, Facebook atau perusahaan-perusahaan besar.
Untuk melakukan proses spoofing biasanya user melakukan beberapa langkah seperti dibawah.
Langkah 1: Buka link ini fake mailer, sebagai contoh http://emkei.cz
Langkah 2: Isi semua kolom,
From Name : <letakkan nama Fake ingin Anda tampilkan ke alamat email misalnya Bill Gates>
From E-mail : <letakkan E-mail Fake Anda, ini bertujuan agar target bisa percaya dengan membaca field alamat email misalnya bill_gates@microsoft.com>
To : <masukkan alamat E-mail dari target yang diinginkan misalnya receiver@live.com>
Subject : <menempatkan subjek tentang alamat E-mail Anda misalnya propasal Pekerjaan>
Reply-To : <masukkan alamat email Anda dimana Anda bisa mendapatkan replay korban Anda misalnya sender@ymail.com>
Errors-To : <masukkan alamat email Anda untuk mendapatkan kiriman laporan bila terjadi kegagalan dikirimkan misalnya errors@ymail.com>
BCC : <Anda bisa menempatkan beberapa alamat email lainnya agar bisa langsung mendapat target lebih banyak>
Lampiran : <Anda dapat melampirkan semua jenis data misalnya melampirkan>
Prioritas : <menyerahkan kepada pilihan default Normal atau pilih Tinggi tetapi email Anda akan memperlakukan sebagai spam>
X-Mailer : <The Mailer mail header X digunakan dalam mengirimkan email misalnya Microsoft Office Outlook, jika korban melacak alamat email Anda dia akan tahu bahwa Anda menggunakan Microsoft Office Outlook untuk mengirim E-mail ini (terdapat beberapa opsi pilihan)>
Add Header : <Anda bisa meninggalkan opsional ini, jika Anda ingin lebih dipercaya korban. Biasanya target yang hati-hati akan melakukan pengecekan header ini. Tentu saja Anda harus paham tentang Header email>
Date : <set saat ini atau batalkan pilihan & custom Anda menambahkan tanggal & waktu yang sesuai kebutuhan>
Charset : <biarkan default ke UTF-8>
Content-Type : <jika Anda ingin mengirim E-mail professional atau dalam Kode HTML jadi pilih editor & Anda dapat mengatur beberapa format untuk email Anda berisi lain biarkan default untuk text / plain>
Text : <isilah dengan kata-kata yang bisa meyakinkan korban. Misalnya, Hello, I’m Bill Gates from Microsoft corporation, yesterday my Secretary forward your resume to me, we saw it was fullfil our requirement on company bla...bla...bla...bla.........
Awaiting reply
Thanks and Regard
Bill Gates.
Captcha : <mengisi captcha>
Klik Send.
Itu adalah contoh agar memancing target untuk membalas email dari Bill Gates. Bagaimana jika email itu dari administrator@facebook.com yang meminta Anda memperbarui password dengan memberikan beberapa tabel pengisian di form yang dikirimkan, atau target disarankan untuk mengklik alamat facebook palsu. Semua bisa terjadi dengan teknik social engineering yang lebih melakukan dari sisi manusiananya.