Cyber Crime (Kejahatan Dunia Maya) dan Social Engineering

 

Beberapa tahun lalu kita sering mendengar berita yang menghebohkan masyarakat Indonesia khususnya nasabah dari salah satu bank Asia yang tertipu dengan kehadiran salah satu website bank terbesar tersebut. Tidak hanya itu saja ada juga kejahatan dengan peng-hacking-an website-website negara. Semua itu bisa disebut Cyber Crime (Kejahatan Dunia Maya). Apa itu Kejahatan Dunia Maya? Kejahatan Dunia Maya (Cyber Crime) adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan.

Dilihat dari katanya, cyber crime berasala dari dua kata yaitu cyber dan crime. Cyber berasal dari singkatan cyberspace dimana sebuah ruang yang tidak dapat terlihat. Ruang ini tercipta ketika terjadi hubungan komunikasi yang dilakukan untuk menyebarkan suatu informasi, dimana jarak secara fisik tidak lagi menjadi halangan. Sedangkan crime berarti kejahatan, menurut B. Simandjuntak kejahatan merupakan suatu tindakan anti sosial yang merugikan, tidak pantas, tidak dapat dibiarkan, yang dapat menimbulkan kegoncangan dalam masyarakat.

Terdapat beberapa jenis Cyber Crime, yaitu:

·         Penggandaan Kartu (Carding). Ex: Skimming ATM, Pencurian nomor Kartu kredit.

·         Nama Domain (Domain Name): calo / cybersquat, plesetan / typosquating nama domain, nama pesaing.

·         Pembajakan / menggunakan komputer orang lain tanpa izin (Hijacking).

·         Akses data tanpa izin (Hacking), bisa dengan virus atau cara lain.

·         Membocorkan data (Data Leakage), terutama data rahasia negara / perusahaan.

·         Pembajakan software (Software piracy) terhadap hak cipta yang dilindungi HAKI.

·         Hoax: pembuatan dan penyebaran berita palsu, dll.

Apa sajakah kasus-kasus Cyber Crime yang pernah terjadi di Indonesia? Pencurian dan penggunaan akun internet milik orang lain yang menggunakan ISP (Internet Service Provider), dimana akun pelanggan yang dicuri dan digunakan secara tidak sah. Sementara itu orang yang kecurian tidak merasakan hilangnya benda yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibatnya, penggunaan dibebani biaya penggunaan akun tersebut. Kasus yang pernah diangkat di ISP ini adalah penggunaan akun curian oleh dua warnet di Bandung.

Kemudian dalam pemalsuan layanan perbankan lewat internet BCA. Steven Haryanto adalah pembuat situs asli BCA namun dia juga membuat situs palsu BCA. Lewat situs-situs tersebut, jika nasabah salah mengetik situs asli dan masuk ke situs-situs palsu tersebut, identitas pengguna dan PIN dapat ditangkap. Tercatat 130 nasabah tercuri data-datanya. Menurut pengakuan Steven, tujuannya membuat situs palsu tersebut adalah agar publik memberi perhatian pada kesalahan pengetikan alamat situs, bukan untuk meraup keuntungan.

 

Kemudian terlintas dibenak kita, kok bisa mereka melakukan seperti itu? Semua itu dilakukan dengan teknik Social Engineering. Apa itu Social Engineering? Social Engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Hal ini biasanya dilakukan melalui telepon atau internet. Inilah metode yang dilakukan hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban.

Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaringan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu.

Berikut ini ada contoh dari metode Social Engineering dari kisah Master Social Engineering yang melegenda yaitu Kevin Mitnick, cerita yang dikisahkan Mitnick sendiri pada sebuah forum online Slasdot.org.

“Pada satu kesempatan, saya ditantang oleh seorang teman untuk mendapatkan nomor (telepon) Sprint Foncard-nya. Ia mengatakan akan membelikan makan malam jika saya bisa mendapatkan nomor itu. Saya tidak akan menolak makan enak, jadi saya berusaha dengan menghubungi Customer Service dan perpura-pura sebagai seorang dari bagian teknologi informasi. Saya tanyakan pada petugas yang menjawab apakah ia mengalami kesulitan pada sitem yang digunakan. Ia bilang tidak, saya tanyakan sistem yang digunakan untuk mengakses data pelanggan, saya berpura-pura ingin memverifikasi. Ia menyebutkan nama sistemnya.”

“Setelah itu saya kembali menelepon Costumer Service dan dihubungkan dengan petugas yang berbeda. Saya bilang bahwa komputer saya rusak dan saya ingin melihat data seorang pelanggan. Ia mengatakan data itu sudah berjibun pertanyaan. Siapa nama anda? Anda kerja buat siapa? Alamat anda dimana? Yah, seperti itulah. Karena saya kurang riset, saya mengarang nama dan tempat saja. Gagal. Ia bilang akan melaporkan telepon-telepon ini pada keamanan.”

“Karena saya mencatat namanya, saya membawa seorang teman dan memberitahukannya tentang situasi yang terjadi. Saya meminta teman itu untuk menyamar sebagai ‘penyelidik keamanan’ untuk mencatat laporan dari petugas Customer Service dan berbicara dengan petugas tadi. Sebagai ‘penyelidik’ ia mengatakan menerima laporan adanya orang berusaha mendapatkan informasi pribadinya pelanggan. Setelah tanya jawab soal telepon tadi, ‘penyelidik menanyakan apa informasi yang diminta penelepon tadi. Petugas itu bilang nomor Foncard. ‘penyelidik’ bertanya, memang berapa nomornya? Dan petugas itu memberikan nomornya. Kasus selesai.”

Setelah membaca penjelasan di atas, apa solusi agar terhindar dari Cyber Crime dan kejahatan Social Engineering?

1.      Selalu hati-hati. Jika bertemu dengan orang yang baru dikenal jangan asal percaya dan jangan langsung membagi informasi pribadi begitu saja.

2.      Belajar dari pengalaman orang lain. Baik melalui buku, internet, acara televisi dan lain-lain.

3.      Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat.

4.      Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya untuk mengurangi insiden-insiden yang tidak diinginkan.