banyak yang mengira, hanya dengan kemampuan teknis yang canggih barulah bisa mendapatkan password yang super rahasia. Asumsi semacam ini sebenarnya tidaklah benar karena mendapatakan password ternyata banyak caranya, baik secara teknis maupun non-teknis.
kemampuan non-teknis dalam mendapatkan password bisa dijalankan oleh siapapun juga. anda bisa melihat bahwa ternyata ancaman terhadap pencurian password ini sangatlah beragam dan sulit untuk ditanggulangi karena melibatkan berbagai aspek yang ada.
A. Shoulder Surfing
Shoulder Surfing adalah salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya dengan menggunakan teknik-teknik pengamatan langsung, seperti memeriksa tingkah laku seseorang, untuk mendapat informasi. Teknik pengamatan langsung ini umumnya digunakan dan efektif dilakukan di dalam tempat-tempat yang penuh sesak, karena hal ini akan relatif mudah untuk mengamati tingkah laku seseorang yang akan dijadikan sebagai target atau korban, seperti :
1. Saat seseorang mengisi form informasi tentang dia
2. Memasukkan PIN mereka pada satu anjungan tunai mandiri atau suatu mesin POS (Point of Sale)
3. Menggunakan kartu nama pada suatu telepon prabayar yang publik
4. Memasukkan kata sandi pada suatu cybercafe, pustaka-pustaka publik dan universitas, atau kios-kios pelabuhan udara.
Dalam teknis Shoulder Surfing, seorang hacker dalam mengamati tingkah laku korbanyak, bisa menggunakan teropong dua lensa atau alat-alat penambahan visi lain. Memasang kamera-kamera meni dan diletakkan dalam plafon atau langit-langit, dinding sebagai peralatan untuk mengamati entri data.
Untuk mencegah seseorang melakukan teknis Shoulder Surfing, bisa dilakukan dengan cara sebegai berikut :
Membatasi pandangan seseorang, waktu kita menulis atau menggunakan keypad untuk memasukkan informasi yang rahasia dengan menggunakan tubuh kita atau tangan.
Anjungan tunai mandiri yang terbaru, sekarang mempunyai suatu tampilan yang canggih untuk melindungi kemungkinan seseorang melakukan Shoulder Surfing. Dengan memperkecil sudut pandang, dan satu-satunya cara untuk melihat layar adalah dengan tepat berdiri secara langsung di depan mesin ATM tersebut. Kamera keamanan tidak diizinkan untuk ditempatkan secara langsung di atas mesin ATM sehingga memungkinkan mengamati entri data oleh nasabah.
Apabila melakukan transaksi menggunakan Mesin POS (Point of Sales) yang umum tersedia di dalam toko-toko, supermarket-supermarket , hendaknya menghalangi dengan badan atau tangan kita sewaktu memasukkan PIN atau dengan tidak meletakkan mesin tersebut ditempat yang datar yang mudah untuk dilihat oleh seseorang waktu mengetik PIN di mesin POS tsb.
Jangan memasukkan PIN atau melakukan transaksi aplikasi tranfer dan pembayaran online, seperti internet banking menggunakan fasilitas komputer umum, seperti di warnet pustaka-pustaka publik dan universitas, kios-kios pelabuhan udara. Apabila terpaksa menggunakan pastikan komputer yang digunakan bebas dari aplikasi seperti keyloger dan yang sejenisnya, pastikan site yang ada kunjungi untuk melakukan transaksi tersebut benar.
B. Keyboard Sniffing
sesuai dengan namanya, keyboard sniffing digunakan untuk mencuri ketikan dari keyboard sehingga hacker bisa mengetahui segala hal yang diketikan oleh korbannya. tentu saja, password biasanya menjadi sasaran utama dari serangan ini. keyboard sniffing dilakukan dengan keylogger yang muncul dalam 2 bentuk, yaitu software dan hardware.
hardware keylogger ada yang berbentuk seperti sambungan kabel USB dan PS2. selain itu, ada juga hardware keylogger yang ditanam di dalam keyboard sehingga tidak akan dapat dibedakan dengan keyboard biasa. dengan hardware keylogger, hacker tidak membutuhkan pengetahuan teknis yang tinggi.
C. Social Engineering
Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yang baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.
1 komentar:
numpang baca gan, cari-cari informasi. Salam kenal
Posting Komentar