|
SOCIAL ENGINEERING
Tentunya Anda sudah tahu dan sering mendengar
kata-kata Social Engineering. Berikut ini langsung saya berikan sebuah contoh
berupa percakapan seorang operator telepon card center ataupun customer service
bank. Teknik ini pulalah yang sering ditiru oleh para carder. Selain dari bank
banyak pula yang mengaku dari petugas bank bagian/departemen lainnya, konsultan
keuangan, pihak penjamin kartu kredit, bagian asuransi kartu kredit, atau yang
sejenis dengan itu. Biar gampang, terlebih dahulu saya buatkan sebuah ilustrasi
sederhana.
Katakanlah sang korban bernama
Victim. Dia menerima sebuah telepon dari seseorang yang bersuara ramah, dan
mengaku sebagai customer service tempat bank kartu kredit milik si Victim.
Biasanya sih, mereka bersuara wanita dengan nada yang halus dan ramah serta
beralasan untuk melakukan survei. Selanjutnya saya menyebut Customer Service
itu sebagai Fiktif CS. Terjadilah percakapan diantara mereka.
Fiktif CS: "Halo, selamat siang. Bisa bicara dengan Bapak Victim?"
Victim: "Iya, saya sendiri. Ada yang bisa saya bantu?"
Fiktif CS: "Bapak Victim, kami dari Card Center, Bank Antah Berantah,
ingin melakukan survei mengenai kartu kredit Bapak. Sebab kami akan melakukan
kenaikan limit untuk kartu kredit yang Bapak miliki saat ini."
Time Out: "Bentuk modus operandi lainnya bisa beragam seperti: Perubahan
sistem pada bank, menawarkan bonus/hadiah, mendata ulang customer, memastikan
transaksi yang dilakukan sebelumnya, mengupgrade kartu menjadi Gold/Platinum,
atau modus lainnya yang dibuat oleh para carder. Selain itu metode seperti ini
sering dilakukan dengan metode tembak langsung seperti contoh di atas."
Victim: "O, iya silahkan."
Fiktif CS: "Tagihan Bapak Victim dialamatkan kemana?"
Victim: "Jl. Kesasar, Gang Buntu No. 001, Jakarta."
Fiktif CS: "Alamat tinggal Bapak Victim saat ini dimana?"
Victim: "Jl. Sumber Rejeki 111, Depok."
Fiktif CS: "Tanggal lahir Bapak?"
Victim: "10 November 1970."
Fiktif CS: "Maaf Pak, nama ibu kandungnya?"
Victim: "Mak Nyak."
Fiktif CS: "Tolong sebutkan 16 digit nomor kartu kredit Bapak?"
Victim: "Tunggu sebentar ya, saya ambil dulu dari dompet."
Fiktif CS: "Silahkan."
Victim: "Halo, ini nomornya 1234 5678 9000 0009."
Fiktif CS: ""Tolong sebutkan 3 angka terakhir yang terdapat di
belakang kartu."
Victim: "Kalo yang dibelakang, nomornya 321."
Fiktif CS: "Kartu kredit Bapak berlaku sampai kapan?"
Victim: "Desember 2010."
Fiktif CS: "Baik, Pak Victim. Data Anda sudah cukup. Kartu kredit Bapak
akan segera kami proses. Terima kasih atas waktunya."
Victim: "Iya, sama-sama."
Sepertinya, percakapan di atas
terlihat biasa-biasa saja. Dan tidak ada yang mencurigakan. Tapi itulah teknik
Social Engineering untuk melakukan Fraud atau penyalahgunaan kartu kredit.
Akibatnya, data-data kartu kredit Pak Victim telah dimiliki oleh orang lain.
Saat bilang tagihan
datang pada bulan berikutnya, terjadi transaksi yang besar. Padahal Pak Victim
tidak pernah melakukan transaksi tersebut. Dari percakapan telepon, limit Pak
Victim juga tidak naik. Barulah Pak Victim sadar akan kelalaiannya.
Dari penjelasan di atas,
ternyata melakukan aktivitas carding bisa dilakukan tanpa tools. Cukup
bermodalkan nekad, dengan teknik Social Engineering.
Intinya, social engineering adalah untuk mendapatkan informasi dengan cara
melakukan penipuan dengan memanfaatkan kelemahan manusia. Apalagi orang-orang
yang gampang percaya pada orang lain.
Kegiatan carding dengan
memanfaatkan social engineering juga sering terjadi pada saat kegiatan
chatting. Misalnya, seseorang yang sudah merasa akrab karena sudah sering
berhubungan baik melalui chatting dan email, namun belum pernah bertemu secara
fisik. Kemudian salah satu pihak, mulai membuka jurusnya dengan berpura-pura
minta dibelikan sesuatu pada situs tertentu. Berhubung mereka sudah terlanjur
"akrab" dan ingin mencoba membantu, lalu membelikan barang melalui
situs tertentu yang bisa saja situs palsu untuk mencuri data.
Satu lagi...
Pengertian dan konsep dasar Social Engineering.
Social engineering adalah sebuah perform psikologis untuk mempengaruhi dan
mencoba mengidentifikasi sebuah masalah atau dalam hal ini lawan. Ini adalah
seni didalam dunia elektron. Bagaimana hal ini bisa diterapkan didalam hacking?
Mengendus dengan mencari informasi dan
data data yang berhubungan dengan target kita. Kamu harus berpikir dan
menggunakan insting pikiran kamu untuk mendapatkan kode pemecahan dari sebuah
masalah. Mungkin pembaca bingung dalam mengartikan masalah ini. Tapi dihadapkan
dengan realitas keadaan hal ini akan menjadi sebuah kemungkinan.
Didalam server kita hanya bisa berkata "bagaimana ini bisa terjadi, dan
langkah apa yang sebaiknya aku lakukan didalam server ilegal ini?"
Pertanyaan untuk memulai social
engineering. Pertama kita mencoba berselancar didalam server ilegal tentunya.
Membaca email dan mencoba mencari history history yang mendukung ke arah social
engineering. Contoh ambil mysql history.
Biasanya kebiasaan buruk dari orang orang barat adalah "password yang sama
untuk setiap email dan link server" Kenapa saya bisa menyimpulkan
demikian?
walaupun tidak semua sysadmin bertindak seperti ini, namun hal ini bisa
terjadi. Contoh yang terjadi adalah ketika saya membuka dan membaca mysql
history semua password sama persis.
Kemudian apa yang kita
lakukan? OK tidak ada salahnya kita mencoba mem-finger root dan user satu
persatu ternyata root pernah login, dan login dengan menggunakan password yang
sama dengan mysql history. Satu langkah kita menuju keberhasilan sebuah
psikologis hacking.
Kemudian tidak ada salahnya kita mencoba melihat dari mana dan dimana dia
membeli koneksi/hosting? coba melihat di www.domainwhitepages.com, semua
terlihat jelas disana, email administration samapi pop3 email terlihat jelas.
Kita bisa coba masuk email dengan menggunakan password yang sama dengan mysql
history.
Duh ternyata kali
ini salah. So what? apa yang akan kita lakukan? terus menebak? Yes thats
rights. Kita coba berselancar didalam server baru yang menjadi batu loncatan
kedua. Kita lihat file dan document didalam server. mulai dari bash_history
mysql_history dan semua kita lihat satu persatu. Ingat social engineering
adalah sebuah kebetulan dan sebuah magic.
Butuh waktu bejam jam bahkan berhari hari untuk memecahkan sebuah masalah.
Kasus
ini berhenti didalam kebuntuan. Semua password yang ada tidak ada yang accept untuk
login ke sebuah email, coba query ke Dns IP server. OK ketemu dan ternyata
menunjukkan link ke sebuah site. Kita mencoba mencoba menelusuri layaknya
sebuah detective cyber :)
Apa yang kita dapatkan disana? Sebuah link baru menuju email sang admin yang
berbeda dengan alamat email sebelumnya. Ok sampai saat ini kita kembali menuju
teori lama. Last but no last. Kita mencoba login menggunakan password yang ada
didalam log log server pertama dan kedua. Lama kita menunggu ternyata apa yang
terjadi? Tidak ada kecocokan sama sekali! Jadi apa yang hendak kita lakukan?
Gunakan insting kamu.
Baca semua home page pribadi. Lihat semua informasi yang berkaitan dengan sang
admin. Jangan sia siakan kesempatan ketika kamu berada didalam sever, selalu
catat dan perhatikan perubahan yang ada.
Ternyata ada seorang
yang sering login kedalam server, tapi tidak mempunyai otoritas sys-admin.
Siapa dia? Seorang wanita bernama beth. Siapa beth? ok
kita telusuri kembali jejak beth menggunakan finger dan lastlog didalam sebuah
server (newbies seriss) Lihat aktivitas apa saja yang dia lakukan.
OK ternyata beth mempunyai kebiasaan untuk lompat lompat (pindah server antar
server). Hal ini menguntungkan kita untuk memasang sniffer.
Login beth aku dapatkan
dari server www.rrrroar.com menuju ke www.tera-byte.com. Misalnya
saja Si A mencoba masuk dari server dimana beth pertama kali login. Beth
ternyata hanya sebuah user biasa yang tidak punya previllege sebagai root
Aktivitas berhenti sampai disini.
Satu minggu kemudian dia (Si A) mulai bosan dengan angan angan untuk mencoba
teori ini. Namun apa yang terjadi? secara kebetulan beth login ke
www.tera-byte.com menggunakan akses root, jangan menunggu panjang segera buka
log di sniffer yang sudah terpasang. Apa yang akan kita lakukan untuk langkah
final?! Jangan tunggu kedatangan seorang dewa penolong! Segera siapkan sniffer
anda, pasang dan ingat! jangan pernah merubah file/sebuah proses yang ada
didalam box anda.
Sekian sebuah
pengantar psikologis. Mungkin sedikit dongeng diatas bisa anda jadikan sebagai
pola pikir praktis didalam langkah menuju social engineering (expert edition).
Kalau sudah berhasil, ingat Anda hanya boleh melihat-lihat (DILIHAT BOLEH
DIPEGANG JANGAN!) dan jangan sampai tergoda untuk menyalahgunakan, OK? Ini
hanyalah latihan untuk menambah ilmu mengenai network security, jadi hanya
untuk pembelajaran demi keilmuwan, tidak untuk disalahgunakan!!
SECURITY TIPS
Untuk menghindari tindakan seperti ini, pastikan
bahwa yang menelepon Anda saat itu adalah benar-benar dari pihak bank. Biar
lebih yakin, hubungilah pihak Call Center dari bank tersebut. Selanjutnya
jangan mudah memberikan nomor kartu kredit maupun nomor telepon Anda kepada
pihak lain SIAPAPUN yang tidak jelas. Apalagi disertai dengan 3 angka terakhir
di belakang kartu.
Biasanya bank, hanya
akan meminta data customer pada saat melakukan verifikasi untuk menyetujui
sebuah kartu kredit. Bank juga tidak pernah meminta data customer dikarenakan
perubahan sistem. Sistem perbankan jauh lebih modern ketimbang menelepon setiap
nasabahnya untuk melakukan perubahan data.
Jangan percaya kepada
pihak lain, selain bank tempat Anda mendaftar kartu kredit. Misalnya dari
asuransi, saham dan sebagainya. Walaupun ada dari bank yang sama misalnya dari
bank AAA, tapi yang bagian Asuransi Kredit, ketahuilah mereka tidak akan
meminta data Anda. Jika mereka melakukannya berhati-hatilah dan patut
dicurigai. Bahkan karyawan bank pun bisa jadi tergoda untuk mencoba-coba menipu
Anda sekedar untuk mengorek data finansial Anda, jadi jangan pernah
mengungkapkan data finansial Anda terutama hanya lewat pembicaraan telepon
ataupun email.
Biasanya bank akan
meminta data seperti di atas apabila Anda yang menelepon kepada pihak Bank
untuk memastikan bahwa itu benar customer yang asli. Bukannya pihak Bank yang
menelepon customer.
Sebisa mungkin Anda tolak dengan cara halus. Biasanya bank akan memahami jika
ada customer yang keberatan untuk menyebutkan nomor kartu kreditnya. Saya juga
pernah melihat pesan berikut pada sebuah kartu kredit.
----------------------------------------------------------------------------------------
Demi keamanan kartu kredit Anda, jangan pernah menyerahkan kartu kredit Anda
kepada pihak yang mengaku MEWAKILI pihak bank atau badan keuangan lain, dengan
alasan apapun.
----------------------------------------------------------------------------------------
PHISING
Saya yakin,
Anda membaca dan membuka-buka artikel dalam situs ini karena ingin mendapatkan
teknik melakukan carding melalui internet, ya, kan? Ayo ngaku aja,
he...he...he...
Padahal saya menulis artikel ini agar semua orang tahu bagaimana sepak terjang
para carder dalam mencari uang melalui jalan haram. Saya ingin semua orang tahu
agar mereka semua tidak mudah ditipu oleh orang-orang macam kalian. (Jangan
marah ya! Seperti semua ilmu pengetahuan di dunia ini, semuanya kembali kepada
orang yang bersangkutan, mau dipakai apa ilmu yang didapatnya apakah untuk
kebaikan atau justru akan disalahgunakan untuk kejahatan!).
Saya memang sengaja
mengulur-ulur waktu supaya Anda tambah penasaran.
Kasus phising yang paling terkenal adalah kasus situs BCA dan update data email
Ebay beberapa tahun yang lalu, dimana sang pelaku memanfaatkan kesalahan
manusia yang kalau-kalau salah ketik. Misalnya, nama situs asli bank BCA adalah
www.klikbca.com , yang kemudian sang korban salah ketik menjadi www.kilkbca.com
, atau www.clickbca.com atau juga www.klikbca.co.id dan masih banyak lagi
kemungkinan variasi lainnya.
Salah ketik satu huruf saja
akibatnya bisa berabe. Efek dari phising tersebut bukan cuma bisa tahu nomor
kartu kredit, malahan lebih dari itu. Sebab banyak yang menyimpan nomor kartu
kredit seseorang di dalamnya, jika account user berhasil diambil oleh pelaku
phising. Belum lagi kalau dia mentransfer sejumlah uang. Untung BCA sekarang
sudah menggunakan Key BCA yang boleh dibilang "lebih aman", jadi
orang tidak bisa sembarangan melakukan transaksi. Bank lainnya yang menggunakan
key yang saya tahu adalah BNI. Dalam hal ini kita ngomongin yang ada di
Indonesia saja.
Dari tadi kita sudah
berpanjang lebar cerita kasus phising, tapi saya lupa ngasih tahu artinya.
Phising adalah singkatan dari Password Harvesting Fishing. Artinya tindakan
penipuan dengan menggunakan email palsu atau situs palsu yang bertujuan untuk
mengelabui user sehingga pelaku bisa mendapatkan data user tersebut.
Tindakan penipuan berupa sebuah
email yang seolah-olah berasal dari sebuah perusahaan resmi. Misalnya sebuah
bank fiktif untuk mendapatkan data-data pribadi seseorang, baik berupa PIN,
nomor rekening, nomor kartu kredit dan sebagainya. Yang paling sering adalah
para penjahat yang berpura-pura mengaku-ngaku sebagai karyawan Customer Service
dari CitiBank. Dapat diduga para pelakunya adalah orang-orang Amerika, Jerman,
Eropa Timur ataupun Afrika, karena email tersebut biasanya berbahasa Inggris.
Pelaku Phising ini dikenal
dengan sebutan Phiser. Katakanlah seorang phiser mengirimkan email kepada 1000
orang korban dengan dalih update informasi data konsumen. Dan jika hanya 5%
saja yang merespon maka phiser telah berhasil mendapatkan data dari 50 orang.
Mengapa ini bisa terjadi, karena Phiser juga berdalih, apabila tidak dilakukan
perubahan data maka account user akan dihapus sehingga tidak bisa digunakan
lagi. Tentunya akan ada user yang merasa takut, lalu mengikuti saran yang
disampaikan. Sebab dalam kebanyakan kasus phising teknik yang digunakan adalah
perubahan data, termasuk di dalamnya, password, dan nomor kartu kredit. Jadi
berhati-hatilah. Boleh dibilang tindakan ini mirip dengan social engineering.
|
