‎The Hacker News Magazine - Social Engineering Edition - Issue 02

‎'The Hacker News' Magazine - Social Engineering Edition - Issue 02

Download Now

Computer-based Social Engineering

Computer-based Social Engineering merupakan salah satu teknik Social Engineering yang mengunakan media komputer sebagai sarana kegiatannya. Teknik ini seringkali tidak membutuhkan interaksi langsung dengan target sasaran. Efektif atau tidaknya teknik ini, tergantung kecerdasan pelaku yang mampu memanfaatkan celah keamanan dari manusia yang menjadi targetnya tersebut (Hacking the Human Side) dan tentunya kecerobohan dari sang target itu sendiri. 

Tidak heran, kita sering mendengar jargon utama dari Social Engineering yang berkata, 

"There is No Patch For Human Stupidity".  

Dalam postingan ini, saya akan memaparkan ragam dari Computer-based Social Engineering itu sendiri. Dengan harapan agar kita lebih berhati" terhadap siapapun yang mengunakan Social Engineering untuk kejahatan.

1. Instant Chat Messenger

Populernya media chatting dalam menjalin pertemanan, membuat media ini juga menjadi tempat yang disukai untuk melakukan Social Engineering. Melalui media ini, pelaku bisa berinteraksi dan menjalin pertemanan dengan calon korbannya. Pertemanan yang walaupun dilakukan secara virtual, mempunyai efek yang sama dengan pertemanan pada dunia nyata. Setelah mendapatkan kepercayaan dari calon korbannya, pelaku Social Engineering bisa melakukan serangan secara halus kepada korbannya.

2. Pop-up Windows

Jika Anda sedang melihat-lihat halaman Microsoft.com kemudian tiba-tiba muncul sebuah windows pop-up yang meminta Anda untuk memasukkan alamat email untuk mendapatkan hadiah software Microsoft Office tanpa diundi, apakah Anda akan percaya? Melihat reputasi dari Microsoft, kemungkinan hal ini akan terjadi. 

Banyak pelaku Social Engineering yang memanfaatkan pop-up windows ini untuk mengelabui pengguna. Umumnya, situs-situs tersebut telah di-hack sehingga pop-up windows yang muncul sebenarnya merupakan halaman yang berbeda sama sekali dengan situs yang sedang Anda kunjungi. Cara ini akan sangat efektif pada situs-situs yang memang membutuhkan hak akses sebelum digunakan. 

Bila Anda menggunakan situs bank yang tiba-tiba memunculkan sebuah pop-up windows meminta untuk memasukkan username dan password sebelum bisa melanjutkan, apakah Anda akan melakukannya? Yang mengkhawatirkan adalah bahwa sebagian pengguna akan melakukannya.

3. Surat Berantai (Chain Letter) dan Hoaxes

Surat berantai mungkin sudah sangat tua namun sampai detik ini, metode ini masih saja terus memakan korban. Chain letter atau surat berantai biasanya menawarkan hadiah atau baranggratis asalkan korbannya bersedia mengirimkan email yang sama ke teman-temannya. Tentunya, hadiah yang dijanjikan palsu.

Terkadang, surat berantai juga disertai dengan ancaman bagi yang tidak mem-forward email tersebut seperti kecelakaan yang mengerikan, musibah, bangkrut, bahkan meninggal dunia yang biasanya membawa nama agama. Saya mendapatkan email semacam ini sudah puluhan kali dan tidak pernah melakukannya sekalipun.

4. Email Spam

Email spam adalah email yang dikirimkan kepada penerima tanpa ijin dari penerima dan biasanya bertujuan komersil. Email spam dikirimkan dalam jumlah banyak kepada penerima sekaligus. Pengiriman spam ini mendapatkan daftar alamat email tanpa sepengetahuan dan seijin pemilik email. Biasanya, aktifitas mendapatkan email ini melalui aksi pencurian dengan hacking, dan terkadang melalui pembelian dari black-market. Email-email spam berisi informasi yang sebagianbesar tidak berguna bagi penerimanya. Informasi-informasi ini biasanya seputar bisnis dan penipuan.

Saat ini email spam ada lah masalah dunia karena sebagian besar email yang beredar di dunia ini ternyata adalah email sampah. Murahnya email menjadi salah satu sebab pengiriman email spam begitu merajalela dan sebagian besar spam dikirim dengan membajak komputer yang pengamanannya lemah. Artinya, pengirim spam bahkan tidak mengeluarkan biaya sedikitpun untuk semua bandwith yang dihabiskan untuk mengirimkan email.

5. Phising

Phiising merupakan bentuk penipuan account(username dan password) pengguna pada suatu website. Pelaku penipuan seperti ini biasanya aakan membuat sebuah aplikasi atau tampilan yang menyerupai website yang sebenarnya. Sehingga pengguna yang kurang cermat akan tertipu dengan memasukkan username dan password pada tempat yang tidak semestinya. Website yang menyerupai website yang sebenarnya tersebut akan menyimpan username dan password pengguna, dan dapat masuk ke website aslinya, dan melakukan tindakan kriminal lainnya.

Waspadalah 

Politik SoCenk Dalam Negeri (Part 2)

Rasanya mungkin cuma orang edan semacam saya yang tega mengkaitkan teknik Social Engineering ala hacker dengan teknik Social Engineering ala koruptor di negara kita.

Persamaan paling kentara seperti yang telah saya bahas pada "Politik SoCenk Dalam Negeri Part1" yakni teknik yang dipakai sama-sama menggunakan teknik manipulasi informasi (Deception) dan memahami bahwa manusia merupakan mata rantai keamanan paling lemah (The Weakest Link) dalam sebuah sistem keamanan.

Persamaan kedua,
Kecerdasan Mitnick dalam menggunakan teknik Social Engineering menjadikan cerita dia bagaikan Legenda Rakyat (Urban Legend) di dunia maya. Sementara para koruptor di negeri kita secara sukses menjadikan negara Indonesia menjadi buah bibir negara" lain sebagai negara paling korup sedunia. Hebat bukan buatan ! Miris.. Tragis.. !!

Oh iya.. teknik SoCenk lain yang sering dipakai politikus adalah teknik "Blow Up Case" alias mem-blow-up suatu kasus untuk menyamarkan/ mengalihkan kasus lainnya.. agar media maupun masyarakat teralihkan fokusnya. Teknik ini sekalipun telah tercium kebusukannya oleh media maupun para pakar politik, tapi tak ada satupun yang bisa mencegahnya. Baik media maupun pengamat politik serta rakyat hanya bisa menghujat   selama beberapa waktu setelah itu mereda sendiri setelah bosan. "Badai Pasti Berlalu" - ujar seorang filsuf di bidang koruptor yang juga koruptor mencoba berkata bijak.

.. dan hati para koruptor pun kembali tenang.. setenang air laut di sore hari :))

Mungkin "angin surga" yang dihembuskan setan-setan berdasi kepada rekan' koruptor yth, yang membuat para koruptor senantiasa tidur nyenyak di malam hari sambil bermimpi main golf bersama rekan pejabat lainnya yang juga seorang koruptor.

Sementara rakyat? jangan tanya dah... buat ngusir nyamuk di kamar 2x2 meter aja musti utang obat nyamuk dulu ke warung sebelah :))

Tragis..!! tapi inilah kenyataan kawan :D

Politik SoCenk Dalam Negeri (Part 1)

Dalam artian yang gak paling ribet, Social Engineering merupakan trik/ tipu muslihat yang dilakukan seseorang dalam usahanya memperoleh sesuatu. Yup.. sekarang ini tidak hanya "informasi tertentu" yang menjadi tujuan akhir para pelaku Social Engineering. Seringkali pelaku kejahatan yang menggunakan SoCenk sebagai 'senjata', menjadikan harta-benda sebagai tujuannya. Sementara politikus yang gendut" seringpula menggunakan SoCenk ketika musim kampanye tiba :)) Janji Sana.. janji sini.. mau mensejahtarakan rakyat lah kalo terpilih nanti.. sekolah gratis lah.. dll yang seringkali kata"nya menjadi JAMBU (Janji Busuk) ketika terpilih nanti. :))

Sementara untuk kasus SoCenk tingkat tinggi level politikus disebut konspirasi. 

Contoh lain trik Social Engineering yang sering dilakukan para politikus adalah jurus "ngeles tingkat tinggi" ketika wartawan mencoba mengkonfirmasi berita dugaan kasus korupsi si pejabat gendut. Sementara ini yang sedang populer adalah dengan berpura" tidak tahu/ tidak mengenal seseorang yang mengaku pernah 'Bancakan Duit Rakyat". Ndak usah jauh-jauh deh.. tuh liat aja om Nazarrudin Petot yang pura" lupa. Bisa jadi doi terinspirasi lagunya Kuburan Band yang "Lupa-Lupa Ingat" =))

Bersambung... mo ngojek dolo =))

Social engineering: A case study

 

 - Difficulty level: Neophyte -

Code :

Opening Note

This tutorial was written by InFeSt, In hope that it will provide some of you information and basic knowledge on the subject of Social Engineering. This tutorial has been written for educational purposes.

Code:

So what is Social Engineering Anyway?

Social Engineering is the art of getting information that you usually wouldn't get from a stranger by using personal skills. Most commonly used for compromising businesses and obtaining corporate information.

You've all seen the movies when there is a con going on and the whole time through the film the con artist has you watching his right leg but he's kicking you in the nuts with his left, Social Engineering is the same your ultimate goal is getting the information you need by asking the right questions in the right manner keeping your target unaware you are taking all this information in to use it against them or associated businesses.

Code:

Does Social Engineering Actually Work?

Well think about this for a second, Look at how far technology has advanced since the earlier days with computers.

Quoted from Kevin Mitnick: The Art Of Intrusion

    People are Either too Stupid or too Ignorant with Technology Today.

This meaning with the advance in technology people either concentrate too much on the security they have on PC's, Networks etc. These people think they are secure because of these high tech systems, They are wrong.

The second "stupid people" comment is aimed at people who don't understand the new technology put in place so usually fall targets to Social engineers.

Code:

The Human Nature?

Humans are what most commonly fail technology, believe it or not. You say passwords are hard to crack? what if it was just as easy as having the skills to basically ask for the password from your target?

Us humans are taught that we should trust eachother, I mean come on what the fuck? humans will always be focused on 4 things, Life, Curiosity, Money and Death. We too often find ourself people are being conned all over the world out of Millions (£$) yet we still ignore it and act like everyone we come across is genuine.

Code:

Case Study Keypoints:

1. Social Engineering is the art of obtaining information that would not normally be given to you by a stranger.

2. It is people that fail technology

3. Is there space for trust?

--End--

The Unofficial Story of Kevin Mitnick (Hacking the Human Side)

Sebuah ketukan terdengar dari pintu apartemennya, Kevin Mitnick membuka pintu dan mendapati lusinan agen FBI dan penegak hukum lain sudah bersiap untuk menangkapnya. Ini adalah akhir perjalanan seorang hacker yang terpaksa buron demi menghindari hukuman penjara. Hacker yang selama masa buronannya itu telah mendapatkan status legendaris, bahkan telah tumbuh menjadi sebuah mitos yang lebih besar dari dirinya sendiri


Penangkapan yang terjadi pada 1995 itu menandai awal dari kasus penahanan yang paling kontroversial terhadap seorang pelaku kejahatan cyber. Mitnick adalah seorang penyusup pada sistem komputer menjelma sebagai America’s Most Wanted Hacker.

Satu alasan yang tak terbantahkan kenapa Kevin Mitnick (The Condor) menjadi seorang hacker legendaris adalah kemampuan dia dalam memaksimalkan teknik rekayasa sosial nya yang lebih dikenal dengan teknik Social Engineering.

Dia paham betul bahwa dengan mengetahui cara pikir atau pola pikir seseorang, dia bisa mengekploitasi kelemahan tsb untuk mendapatkan banyak informasi sebanyak-banyaknya.

Keahlian Mitnick sebagai hacker tidak terbatas pada kemampuan teknis belaka. Ia merupakan seorang yang memahami betul bahwa keamanan sistem komputer terdiri dari aspek kebijakan organisasi, sumber daya manusia, serta proses yang terlibat serta teknologi yang digunakan. 

Seandainya ia seorang pahlawan super maka kekuatan supernya adalah Social Engineering alias rekayasa sosial. Misalnya jika ia bermusuhan dengan batman dan superman, maka saya yakin yang dia lakukan adalah mencari cara agar si batman dan superman menjadi saling bermusuhan, dan saling menghancurkan antara satu sama lain (rekayasa sosial) sementara dia duduk santai melihat pertarungan tersebut sambil ngopi. :P 

Social Engineering pada umumnya merupakan sebuah teknik untuk  mendapatkan informasi penting, semisal password, dengan memanfaatkan kelemahan manusiawi. Hebatnya lagi, kemampuan ini bisa dilakukan sama baiknya dengan atau tanpa teknologi sekalipun karena sifatnya yang elastis dan bahkan bisa dipadukan secara indah dengan ilmu sosiologi, psikologi dan cabang2 ilmu lainnya yang berhubungan dengan manusia.

Kemampuan Mitnick paling baik diilustrasikan dalam cerita berikut, cerita yang dikisahkan Mitnick sendiri pada sebuah forum online Slasdot.org "Pada satu kesempatan, saya ditantang oleh seorang teman untuk mendapatkan nomor (telepon) Sprint Foncard-nya. Ia mengatakan akan membelikan makan malam jika saya bisa mendapatkan nomor itu. Saya tidak akan menolak makan enak, jadi saya berusahan dengan menghubungi Customer Service dan perpura-pura sebagai seorang dari bagian teknologi informasi. Saya tanyakan pada petugas yang menjawab apakah ia mengalami kesulitan pada sitem yang digunakan. Ia bilang tidak, saya tanyakan sistem yang digunakan untuk mengakses data pelanggan, saya berpura-pura ingin memverifikasi. Ia menyebutkan nama sistemnya."

"Setelah itu saya kembali menelepon Costumer Service dan dihubungkan dengan petugas yang berbeda. Saya bilang bahwa komputer saya rusak dan saya ingin melihat data seorang pelanggan. Ia mengatakan data itu sudah berjibun pertanyaan. Siapa nama anda? Anda kerja buat siapa? Alamat anda dimana? Yah, seperti itulah. Karena saya kurang riset, saya mengarang nama dan tempat saja. Gagal. Ia bilang akan melaporkan telepon telepon ini pada keamanan."

"Karena saya mencatat namanya, saya membawa sorang teman dan memberitahukannya tentang situasi yang terjadi. Saya meminta teman itu untuk menyamar sebagai 'penyelidik keamaman' untuk mencatat laporan dari petugas Customer Service dan berbicara dengan petugas tadi. Sebagai 'penyelidik' ia mengatakan menerima laporan adanya orang berusaha mendapatkan informasi pribadinya pelanggan. Setelah tanya jawab soal telepon tadi, 'penyelidik menyakan apa informasi yang diminta penelepon tadi. Petugas itu bilang nomor Foncard. 'penyelidik' bertanya, memang berapa nomornya? Dan petugas itu memberikan nomornya. Oops. Kasus selesai" :P

Masa Buron :

Saat Mitnick masih menjadi buronan nomor satu di Amerika (The Most Wanted Computer Criminal in United States), sebisa mungkin dia melakukan berbagai cara agar tidak tertangkap. Dia sering berpindah-pindah tempat tinggal dan bahkan menggunakan keahliannya di bidang Social Engineering untuk mendapatkan identitas-identitas baru yang digunakan sebagai penyamaran diri agar tidak terlacak oleh para pengejarnya.

Legenda Mitnick selama buron dalam kurang lebih dua tahun, semakin menjadi-jadi ia menjelma sebagai ‘Ninja Cyber’ yang konon bisa membobol komputer Pentagon hanya dengan remote televisi, sebuah rumor yang melebihi cerita fiksi apapun. :P

Mengapa Mitnick, seorang buron dalam kasus pembobolan komputer, bisa menjadi penjahat yang paling dicari? Ini tak lepas dari peran media massa. Secara khusus adalah serangkaian artikel sensasional dari John Markoff yang dimuat di New York Times. (secara tidak sadar, John Markoff juga merupakan seorang Social Engineering atas artikel sensasional tentang Mitnick yang terkesan sangat berlebihan -Red).

 

Markoff mengutuk Mitnick bagaikan seorang teroris. Dalam sebuah pernyataan setelah lama dibebaskan, Mitnick menyebut citra dirinya yang ditampilkan Markoff bagaikan seorang teroris yang berusaha mengendalikan nuklir dunia. “saya seakan-akan seorang Osama bin Mitnick,” ujarnya bercanda.

Markoff menggambarkan Mitnick sebagai seorang yang mematikan, tak bisa dihentikan dan layak menjadi buronan sepuluh besar FBI maupun penegak hukum lainnya. Artikel Mafkoff, yang kadang muncul di halaman depan, menjadikan Mitnick kandidat terkuat proyek percontohan atas kejahatan cyber. Maka masa depan Mitnick dalam penjara boleh dibilang sudah dituliskan saat itu juga.

Selama menjadi buron Mitnick juga terus menjalankan aksinya. Ia membobol berbagai komputer perusahaan besar. Termasuk Sun Microsystem. Ia menggunakan, dan maksudnya disini adalah membobol rekening seorang pada layanan penyimpanan online untuk menyimpan backup dari hasil aksinya. Sebenarnya Mitnick tidak bekerja sendirian namun saat tertangkap ia tak pernah mengungkapkan siapa saja rekannya.

Salah satu korban Mitnick adalah T. Shimomura, seorang ahli komputer yang dalam beberapa tulisan di Internet diragukan kebersihannya. Ada dugaan bahwa Shimomura juga seorang hacker yang kerap melakukan perbuatan ilegal. Satu hal yang banyak disetujui adalah Shimomura memiliki sikap yang arogan dan nampaknya ingin muncul sebagai pahlawan dalam kisah perburuan Mintick. (yap, saya sependapat dengan kemungkinan tersebut).

Shimomura, Markoff dan FBI bahu membahu untuk menangkap sang buronan. Panduan dari berita sensasionalnya Mafkoff, kemampuannya hacking Shimomura dan kekuatan hukum FBI pada akhirnya melacak kediaman Mitnick.

Seperti biasanya kisah tertangkapnya seoarang buron, Mitnick melakukan keteledoran. Layanan penyimpanan yang ia gunakan rupanya memiliki program otomatis untuk mencek isi file yang disimpan. Pemilik rekening yang digunakan Mitnick mendapatkan peringatan dari sistem mengenai kapasitas berlebih. Ini adalah awal tertangkapnya Mitnick.

Mitnick mengakui bahwa dirinya ceroboh karena tidak menduga bahwa FBI, Shimomura, Markoff, dan penyedia layanan telepon selular melakukan kerja sama yang begitu erat dan terpadu.

“Operator seluler melakukan pencarian dalam database penagihan mereka terhadap dial-up ke layanan Internet Netcom POP. Ini, seperti bisa diduga, membuat mereka bisa mengidentifikasi area panggilan dan nomor MIN (mobile identification number) yang saya gunakan saat itu. Karena saya kerap berganti nomor, mereka mengawasi panggilan data apapun yang terjadi di lokasi tersebut. Lalu, dengan alat Cellscope 2000 Shimomura, melacak sinyal telepon saya hingga ke lokasi yang tepat,” Mitnick menuturkan.

Dua minggu sebelum tertangkapnya Mitnick baru pindah ke Raleigh. Lokasi baru membuat kurang waspada dan ia lupa melacak jalur dial-up yang digunakannnya. Beberapa jam sebelum tertangkapnya Mitnick baru ada sesuatu yang terjadi, pelacakan dan pengawasan sedang dilakukan terhadap jalur yang ia gunakan. Saat ia sedang berusaha melacak sejauh mana pengawasan telah dilakukan hingga siapa dilbalik pelacakan tersebut, ia mendengar ketukan pintu. Mitnick membuka pintu dan berhadapan dengan lusinan U.S Marshall dan FBI. :P

Setelah tertangkap Mitnick ditahan tanpa kemungkinan jaminan. Ia juga tak diajukan untuk pengadilan. Kurang lebih empat tahun ia habiskan tanpa kepastian. Hal ini benar-benar membuat Mitnick frustasi.

Selama dalam penjara FBI ia tak mendapatkan kesempatan dalam kasusnya. Bahkan Mitnick dan pengacaranya tak bisa melihat data kasus tersebut karena terdapat di laptop dan akses laptop bagi Mitnick dianggap membahayakan. Mitnick dituding bisa membuat misil meluncur hanya berbekal laptop atau telepon. Larangan itu tetap berlaku meskipun pengacaranya menggunakan laptop tanpa modem dan kemampuan jaringan apapun.

Mitnick pada akhirnya dituding menyebabkan kerugian hingga ratusan juta dollar kerugian yang menurut Mitnick tidak benar, karena perusahaan yang konon dirugikan bahkan tidak melaporkan kerugian tersebut dalam laporan tahunan mereka.

Kesepakatan akhir bagi Mitnick adalah pengakuan bersalah. Bersalah dalam kasus pembobolan komputer dan penyadapan jalur telepon. Mitnick menyerah dan mengikuti itu, dengan imbalan 4 tahun tahun lebih waktunya dalam penjara diperhitungkan sebagai masa tahanan. Total Mitnick dihukum adalah 5 tahun dipenjara , 4 tahun dalam tahanan yang terkatung-katung dan 1 tahun lagi sisanya.

Ia dibebaskan pada tahun 2000 dengan syarat tak boleh menyentuh komputer atau telepon. Pada tahun 2002 baru ia boleh menggunakan komputer tapi tidak yang tersambung ke Internet. Baru tahun 2003 ia menggunakan Internet lagi untuk pertama kalinya.

Sejak dibebaskan Mitnick berusaha untuk memperbaiki hidupnya. Ia menuliskan dua buku mengenai hacking, selain itu ia juga mendirikan perusahaan konsultan keamanan sendiri. “Hacker adalah satu-satunya kejahatan yang keahliannya bisa digunakan lagi untuk sesuatu yang etis. Saya tidak pernah melihat itu dibidang lain, misal perampokan etis,” tutur Mitnick.

Sumber : Artikel Underground Activity yang telah mengalami revisi kembali