Social Enginerring

289 views

Published on

Keamanan Informasi

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
289
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Social Enginerring

  1. 1. Pada dasarnya teknik social engineering dapat dibagi menjadi dua jenis, yaitu:a. berbasis interaksi sosial ( sosial enginering yang didasarkan pada sisi manusianya atau human based) , seperti:  Skenario 1 (Kedok sebagai User Penting)  Skenario 2 (Kedok sebagai User yang Sah)  Skenario 3 (Kedok sebagai Mitra Vendor)  Skenario 4 (Kedok sebagai Konsultan Audit)  Skenario 5 (Kedok sebagai Penegak Hukum)
  2. 2. Lanjutan….b. berbasis interaksi komputer (Sosial Engineering yang didasarkan sisi teknis atau komputernya), seperti berikut: Skenario 1 (Teknik Phishing – melalui Email) Skenario 2 (Teknik Phishing – melalui SMS) Skenario 3 (Teknik Phishing – melalui Pop Up Windows)
  3. 3. Tipe Social Enginaring Berbasis Interaksi SosialSeorang penipu menelpon Dalam hal ini penjahat help desk bagian divisi yang mengaku sebagai teknologi informasi mitra vendor menelepon bagian operasional teknologi informasi dengan mengajak berbicara hal-hal yang bersifat teknis
  4. 4. Skenario 3 (Kedok sebagai Mitra Skenario 4 (Kedok sebagaiVendor) Konsultan Audit)Dalam hal ini penjahat Kali ini seorang penipu yang mengaku sebagai menelpon Manajer mitra vendor menelepon Teknologi Informasi bagian operasional dengan menggunakan teknologi informasi pendekatan dengan mengajak berbicara hal-hal yang bersifat teknis Lanjutan…
  5. 5. LANJUTAN…SKENARIO 5 (KEDOK SEBAGAI PENEGAK HUKUM)Contoh terakhir ini adalah peristiwa klasikyang sering terjadi dan dipergunakan sebagaipendekatan penjahat kepada calon korbannya
  6. 6. Teknik Social Engineringberbasis interaksi komputerSkenario 1 (Teknik Phishing – melalui Skenario 2 (Teknik Phishing – melalui Email) SMS)Biasanya si penjahat menyamar sebagai Pelaku kriminal kerap memanfaatkan fitur-fitur yang ada pada telepon genggam atau pegawai atau karyawan sah yang sejenisnya untuk melakukan social merepresentasikan bank engineering seperti yang terlihat pada contohBanyak cara yang dapat diambil, seperti: SMS berikut ini: melakukan searching di internet, mendapatkan keterangan dari “Selamat. Anda baru saja memenangkan hadiah kartu nama, melihatnya dari anggota sebesar Rp 25,000,000 dari Bank X yang mailing list, dan lain sebagainya. bekerjasama dengan provider telekomunikasi Y. Agar kami dapat segera mentransfer uang tunai kemenangan ke rekening bank anda, mohon diinformasikan user name dan passoword internet bank anda kepada kami. Sekali lagi kami atas nama Manajemen Bank X mengucapkan selamat atas kemenangan anda…”
  7. 7. Lanjutan…Skenario 3 (Teknik Phishing – melalui Pop Up Windows)Ketika seseorang sedang berselancar di internet, tiba-tiba muncul sebuah “pop up window” yang bertuliskan sebagai berikut:“Komputer anda telah terjangkiti virus yang sangat berbahaya. Untuk membersihkannya, tekanlah tombol BERSIHKAN di bawah ini.”Tentu saja para awam tanpa pikir panjang langsung menekan tombol BERSIHKAN yang akibatnya justru sebaliknya, dimana penjahat berhasil mengambil alih komputer terkait yang dapat dimasukkan virus atau program mata-mata lainnya.
  8. 8. TARGET KORBAN SOCIAL ENGINEERINGStatistik memperlihatkan, bahwa ada 4 (empat) kelompok individu diperusahaan yang kerap menjadi korban tindakan social engineering, yaitu:a) Receptionist dan/atau Help Desk sebuah perusahaanb) Pendukung teknis dari divisi teknologi informasi – khususnya yang melayani pimpinan dan manajemen perusahaanc) Administrator sistem dan pengguna komputer,d) Mitra kerja atau vendor perusahaan yang menjadi targete) Karyawan baru yang masih belum begitu paham mengenai prosedur standar keamanan informasi di perusahaan
  9. 9. Solusi Menghindari Resiko1. Selalu hati-hati dan mawas diri2. Adanya buku panduan.3. Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain4. Pelatihan dan sosialisasi dari perusahaan5. Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional sehari-hari6. Melakukan analisa kerawanan sistem keamanan informasi7. Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan “penetration test”8. Menjalin kerjasama dengan pihak ketiga9. Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya.10.Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan suprastruktur perusahaan dalam menjalankan keamanan inforamsi

×