oleh
Agus Pracoyo
 Stanley
Rifkin tercatat sebagai orang dalam Guiness Book
of World Records untuk kategori “biggest computer fraud”.
Anak muda ini telah menguras dana lebih dari USD 10 juta dari
Security Pacific National Bank di Los Angeles pada tahun 1978.
Anehnya walau dikategorikan sebagai “biggest computer
fraud” Stanley tidak menggunakan komputer sama sekali
untuk melakukan kejahatannya, tetapi hanya mempergunakan telepon
dan berpura-pura sebagai nasabah yang sah.
Masalah identifikasi dan autentikasi terhadap si penelepon
menjadi masalah sekuriti yang paling besar yang dihadapi call
center. Walaupun call center telah mempunyai prosedur untuk
melakukan identifikasi dan autentikasi dengan menanyakan sederet
pertanyaan seperti tanggal lahir, nama ibu kandung dan sebagainya
tetap saja beberapa kasus untuk mengelabui identitas banyak
dilakukan dengan menggunakan cara-cara yang dikenal dengan
istilah social engineering.
Social Engineering
Social Engineering adalah istilah yang digunakan terhadap
cara-cara untuk mendapatkan informasi (seperti password, ID)
dari seseorang tanpa melakukan penetrasi terhadap sistem komputer.
Umumnya cara yang dilakukan tidak langsung menanyakan informasi
yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi
yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia.
Modal yang digunakan bukan teknologi yang canggih tetapi penampilan
yang menarik, suara yang bersahabat, pujian, atau bisa juga
dengan cara melakukan tekanan agar lawan bicara menjadi panik
dan menjadi irasional atau lupa terhadap prosedur yang seharusnya
dijalankan.
Berikut ini contoh social engineering yang dilakukan dua orang,
katakanlah namanya Benny dan Lisa, untuk mendapatkan informasi
PhoneID yang digunakan untuk verifikasi transaksi perbankan
melalui telephone.
Suatu hari, Benny dan Lisa sedang berada di suatu Bank XYZ,
mengamati nasabah yang akan mengajukan aplikasi layanan transaksi
perbankan via telephone. Setelah melihat ada seseorang yang
akan mengajukan aplikasi tersebut, Beny turut mengantri di
belakang lelaki tersebut. Pada saat gilirannya, Benny mulai
melancarkan aksinya dengan pertama-tama memberikan sanjungan
atas bros yang dipakai petugas bank tersebut dan sekaligus
mengingat nama yang tertulis dilencananya.
Selanjutnya Benny mengajukan beberapa pertanyaan berikut:
Benny: Rasa-rasanya orang yang mengantri tadi adalah teman
saya waktu di SMA .. tapi saya ragu untuk menegur duluan,
takut salah. Boleh tahu mbak, nama bapak tadi.
Lilis (petugas bank) : Oh ... tadi pak Darwin Sudarta.
Benny : Ah benar kan .. dia itu ketua OSIS, dulu teman baik
saya .. kumisnya membuat pangling. Sayang saya tidak menegur,
padahal saya coba cari alamatnya ke teman-teman yang lain
tapi tidak ada yang tahu.
Benny : Mmm ... apakah si Darwin ada nomor handphonenya mbak
?
(Benny sengaja menggunakan kata si Darwin bukan pak Darwin
supaya kelihatan memang teman dekatnya).
Lilis : HPnya 0832 xxx
(Dengan berpura pura Benny menekan nomor handphonenya dan
seolah olah berbicara dengan Darwin didepan Lilis sambil menunggu
aplikasinya selesai diperiksa.)
Sesaat kemudian dari telepon umum Lisa (teman Benny) menelpon
Pak Darwin.
Lisa : Selamat siang Pak Darwin, saya Lilis petugas Bank XYZ
yang menangani aplikasi bapak tadi. Kelihatannya Bapak salah
mengisikan tanggal lahir karena yang tercantum disini adalah
tanggal hari ini, dan saya juga mohon maaf karena tidak melakukan
verifikasi sebelumnya.
Darwin : Oh ya ? Ok tanggal lahir saya 17 Agustus 1965.
Lisa : Saya juga ingin memverifikasi data lainnya supaya tidak
salah entry; nama bapak, Darwin Sidarta ?
(Lisa sengaja mengatakan Sidarta bukan Sudarta).
Darwin : Bukan Sidarta tapi Sudarta; Siera Uniform ...
Lisa : Oh maaf pak .. boleh tolong dieja juga nama ibu kandung
Bapak.
Darwin : Tanggo India ...
Sampai tahap ini, Benny dan Lisa sudah dapat informasi yang
cukup, hanya satu yang kurang yaitu PhoneID. Tapi hal ini
bukan kesulitan bagi mereka berdua, ke esokan harinya Benny
menelpon call center Bank XYZ berpura-pura sebagai Pak Darwin.
Petugas Bank (PB): Hallo Bank XYZ, ada yang dapat dibantu
?
Benny : Saya Darwin Sudarta, ada sedikit kesulitan untuk melakukan
transaksi via telephone karena lupa PhoneID dan kertas catatan
PhoneID saya ada di laci kantor yang terkunci sedangkan sekarang
saya sedang di luar kota. Bisa minta tolong sebutkan nomor
PhoneID saya mbak ?
PB: Bisa, tetapi bapak harus datang ke kantor kami, atau dapat
dikirim via pos ke alamat yang tertulis pada lembar aplikasi.
Benny : Wah repot dong .. padahal saya akan seminggu di Banyuwangi
dan perlu transaksi sekarang. Tahu begini saya tidak menggunakan
Bank XYZ karena Bank lain prosedurnya gampang. Ngomong-ngomong
saya bicara dengan siapa ?
(Sengaja Benny membandingkan dengan bank lain dan menanyakan
nama petugas bank dengan nada sedikit tinggi).
PB : Mmm baik pak, apakah Bapak dapat memberikan informasi
tanggal lahir dan nama Ibu kandung Bapak ?
Benny : tanggal lahir saya ..
PB: PhoneID Bapak ..
Dengan cara sederhana seperti ini Benny dapat berpura-pura
sebagai Pak Darwin untuk melakukan transaksi.
Hal serupa juga dapat dilakukan terhadap call center untuk
user internal (helpdesk). Tujuan utamanya adalah untuk mendapatkan
akses ke dalam jaringan. Dengan berpura-pura sebagai manager
misalnya, Social Engineer akan menelpon helpdesk untuk menanyakan
informasi sensitif seperti password. Karena Helpdesk umumnya
adalah staff biasa, akan sedikit sungkan bagi mereka untuk
melakukan verifikasi kepada orang yang tingkatannya lebih
tinggi.
Solusi
Bagaimana solusi untuk mencegah serangan social engineering
terhadap call center ? Apakah teknologi seperti “Speaker
Verification” dapat mencegah social engineering.
Kenyataannya, tidak ada satupun teknologi di dunia ini yang
dapat mencegah serangan social engineering. Beberapa perusahaan
yang memberikan jasa penetration test mengatakan bahwa usaha
penetrasi menggunakan cara-cara social engineering umumnya
100% berhasil. Karena itu, cara yang efektif untuk menekan
serangan social engineering ini adalah kombinasi dari teknologi,
security policy yang menetapkan aturan bagaimana karyawan
harus bersikap dalam masalah sekuriti, dan juga program pelatihan
serta awareness yang memadai bagi seluruh karyawan (lihat
studi kasus ServiceDesk Schlumberger)•
Agus Pracoyo •channel manager
/ security consultant pada PT. Indokom Primanusa dengan alamat
e-mail: pracoyo@ipnsecurity.com
|
