Keamanan Informasi

4. Pada dasarnya teknik social engineering
dapat dibagi menjadi dua jenis, yaitu:
a. berbasis interaksi sosial ( sosial
enginering yang didasarkan pada sisi
manusianya atau human based) ,
seperti:
 Skenario 1 (Kedok sebagai User Penting)
 Skenario 2 (Kedok sebagai User yang
Sah)
 Skenario 3 (Kedok sebagai Mitra Vendor)
 Skenario 4 (Kedok sebagai Konsultan
Audit)
 Skenario 5 (Kedok sebagai Penegak
Hukum)

5. Lanjutan….
b. berbasis interaksi komputer (Sosial
Engineering yang didasarkan sisi
teknis atau komputernya), seperti
berikut:
 Skenario 1 (Teknik Phishing – melalui
Email)
 Skenario 2 (Teknik Phishing – melalui SMS)
 Skenario 3 (Teknik Phishing – melalui Pop
Up Windows)

6. Tipe Social Enginaring Berbasis
Interaksi Sosial
Seorang penipu menelpon Dalam hal ini penjahat
help desk bagian divisi yang mengaku sebagai
teknologi informasi mitra vendor menelepon
bagian operasional
teknologi informasi
dengan mengajak
berbicara hal-hal yang
bersifat teknis

7. Skenario 3 (Kedok sebagai Mitra Skenario 4 (Kedok sebagai
Vendor) Konsultan Audit)
Dalam hal ini penjahat Kali ini seorang penipu
yang mengaku sebagai menelpon Manajer
mitra vendor menelepon Teknologi Informasi
bagian operasional dengan menggunakan
teknologi informasi pendekatan
dengan mengajak
berbicara hal-hal yang
bersifat teknis
Lanjutan…

8. LANJUTAN…
SKENARIO 5 (KEDOK SEBAGAI PENEGAK HUKUM)
Contoh terakhir ini adalah peristiwa klasik
yang sering terjadi dan dipergunakan sebagai
pendekatan penjahat kepada calon korbannya

9. Teknik Social Enginering
berbasis interaksi komputer
Skenario 1 (Teknik Phishing – melalui Skenario 2 (Teknik Phishing – melalui
Email) SMS)
Biasanya si penjahat menyamar sebagai Pelaku kriminal kerap memanfaatkan fitur-fitur
yang ada pada telepon genggam atau
pegawai atau karyawan sah yang
sejenisnya untuk melakukan social
merepresentasikan bank engineering seperti yang terlihat pada contoh
Banyak cara yang dapat diambil, seperti: SMS berikut ini:
melakukan searching di
internet, mendapatkan keterangan dari “Selamat. Anda baru saja memenangkan hadiah
kartu nama, melihatnya dari anggota sebesar Rp 25,000,000 dari Bank X yang
mailing list, dan lain sebagainya. bekerjasama dengan provider telekomunikasi
Y. Agar kami dapat segera mentransfer uang
tunai kemenangan ke rekening bank anda,
mohon diinformasikan user name dan
passoword internet bank anda kepada kami.
Sekali lagi kami atas nama Manajemen Bank
X mengucapkan selamat atas kemenangan
anda…”

10. Lanjutan…
Skenario 3 (Teknik Phishing –
melalui Pop Up Windows)
Ketika seseorang sedang berselancar
di internet, tiba-tiba muncul sebuah
“pop up window” yang bertuliskan
sebagai berikut:
“Komputer anda telah terjangkiti virus
yang sangat berbahaya. Untuk
membersihkannya, tekanlah tombol
BERSIHKAN di bawah ini.”
Tentu saja para awam tanpa pikir
panjang langsung menekan tombol
BERSIHKAN yang akibatnya justru
sebaliknya, dimana penjahat
berhasil mengambil alih komputer
terkait yang dapat dimasukkan virus
atau program mata-mata lainnya.

11. TARGET KORBAN SOCIAL ENGINEERING
Statistik memperlihatkan, bahwa ada 4 (empat) kelompok individu di
perusahaan yang kerap menjadi korban tindakan social engineering, yaitu:
a) Receptionist dan/atau Help Desk sebuah
perusahaan
b) Pendukung teknis dari divisi teknologi informasi
– khususnya yang melayani pimpinan dan
manajemen perusahaan
c) Administrator sistem dan pengguna komputer,
d) Mitra kerja atau vendor perusahaan yang
menjadi target
e) Karyawan baru yang masih belum begitu paham
mengenai prosedur standar keamanan informasi
di perusahaan

12. Solusi Menghindari Resiko
1. Selalu hati-hati dan mawas diri
2. Adanya buku panduan.
3. Belajar dari buku, seminar, televisi, internet, maupun
pengalaman orang lain
4. Pelatihan dan sosialisasi dari perusahaan
5. Memasukkan unsur-unsur keamanan informasi dalam
standar prosedur operasional sehari-hari
6. Melakukan analisa kerawanan sistem keamanan
informasi
7. Mencoba melakukan uji coba ketangguhan keamanan
dengan cara melakukan “penetration test”
8. Menjalin kerjasama dengan pihak ketiga
9. Membuat standar klasifikasi aset informasi berdasarkan
tingkat kerahasiaan dan nilainya.
10.Melakukan audit secara berkala dan
berkesinambungan terhadap infrastruktur dan
suprastruktur perusahaan dalam menjalankan
keamanan inforamsi