Fakta dan Mitos - Melalui tulisan singkat ini diharapkan tumbuh kesadaran akan keamanan informasi guna meminimalkan resiko yang ada serta membangun tata kelola TI yang andal. Pada tulisan pertama ini, akan dibahas tentang social engineering, mengingat metode ini mengkonsentrasikan diri pada rantai terlemah system TI, yaitu manusia.
Tujuan utamanya adalah mendapatkan identitas sang target (pencurian identitas). Definisi dari social engineering dapat beraneka ragam, dilakukan. Pada tulisan ini social engineering didefinisikan sebagai metode yang digunakan oleh seseorang untuk menipu atau mengendalikan orang lain untuk memberikan informasi yang seharusnya tidak boleh disebarluaskan. Sangat banyak metode social engineering melalui computer ini.
Dibawah ini sedikit contoh metode yang sering digunakan :
1. Mail attachment
Seringkali lampiran dalam email disisipi program yang dapat melakukan silent operation, dimana nantinya data sensitif pada komputer dapat diperoleh dan dikirimkan melalui email. Yang menjadi perhatian saat ini adalah banyaknya lampiran email dengan nama-nama yang indah dan menggoda, sehingga target sering terlena tanpa berfikir tentang resiko yang bakal dihadapi.
2. Phishing
Istilah phishing (ada juga yang menulis phising) banyak diartikan sebagai suatu cara untuk memancing seseorang ke website tertentu (situs palsu). Salah satu tujuannya adalah untuk mendapatkan informasi sensitif dari sang target, seperti UserID, Password, data kartu kredit, dll. Situs palsu dibuat sedemikian rupa yang penampilannya mirip dengan situs asli. Penggunaan situs palsu ini disebut juga pharming. Phishing sering dilakukan melalui media email.
3. Keylogger
Merupakan metode pencurian data sensitif melalui peranti lunak maupun keras, melalui penekanan tombol keyboard. Sebuah keylogger biasanya menyimpan hasil penekanan tombol keyboard tersebut kedalam sebuah berkas (log). Beberapa keylogger tertentu bahkan dapat mengirimkan log via email ke intruder secara preiodik. Keylogger yang berupa peranti keras, bentuknya kecil dan ditempatkan antara CPU dan Sambungan keyboard sehingga jarang sekali target melihatnya. Biasanya sering dipasang di persewaan computer, warnet, dan sejenisnya. Social engineering sangat sulit dihadang atau dilawan karena menyangkut sisi kelemahan dari manusianya, BUKAN dari piranti yang digunakan, baik piranti lunak maupun keras.
Adapun cara-cara untuk mengurangi ancaman dari social engineering antara lain :
* Menerapkan atau mengimplementasikan IT security policy, antara lain penggunaan firewalls, patch, anti-virus, dan anti-spyware, serta melakukan update berkala. Termasuk juga pembatasan removable storage (flash disk, external disk) dan CD/DVD-RW.
* Melakukan edukasi secara berlanjutan, karena teknik social engineering juga berkembang terus.
* Jangan mudah percaya pada informasi online, baik melalui email dan web.
* Menggunakan alat penghancur kertas untuk menghancurkan dokumen sensitif yang sudah tidak digunakan.
* Kunci komputer anda saat meninggalkan meja kerja. Best practice-nya adalah menggunakan screensaver berpassword dengan durasi minimum.
* Hapus email mencurigakan dan pastikan email provider dan milist yang diikuti mendukung anti-spam.
Secara singkat harus difahami bahwa kunci utama keamanan informasi ada pada diri kita sendiri, bila kita lengah sedikit saja, bukan hal mustahil akan timbul risiko yang tidak diinginkan. Oleh karena itu, mari kita tingkatkan security untuk kepentingan pribadi.
Tidak ada komentar:
Posting Komentar