Social Engineering

Pernah dengerin tentang ‘social engineering’? Kadang kita sering lupa dengan teknik hacking yang satu ini.
Padahal ini teknik yang paling gampang dilakukan bahkan oleh seorang yang buta komputer sekalipun.

Belakangan ini saya ditelepon oleh seseorang yg mengaku dari Florida, USA. Memang di Caller-ID telepon rumah saya tidak nampak nomornya. Dia mengabarkan bahwa saya menang undian holiday ke USA karena bbrp
waktu yg lalu saya mengisi form online di website mereka (padahal saya nggak pernah mengisi apa-apa). Gaya bicaranya meyakinkan sekali dengan logat Amerika yang kental. Singkatnya dia menawarkan paket yg harus saya putuskan saat itu juga atau saya kehilangan kesempatan itu selamanya. Dia kemudian menanyakan apakah saya pilih kamar smoking atau non-smoking, berikutnya dia minta nomor kartu kredit saya. Sampai di sini saya menghentikan pembicaraan dan menyuruhnya untuk menelepon lagi dalam 2 jam. Dia berusaha meyakinkan saya bahwa dia
sudah punya semua data2 alamat lengkap saya termasuk 4 digit nomor kartu kredit tsb (dan memang cocok), tetapi saya tetap pada pendirian untuk memutuskan pembicaraan dan memberinya waktu 2 jam untuk menghubungi kembali.

Sementara itu saya langsung surfing di Internet mencari data2 mengenai perusahaan tersebut (saya sengaja tidak menuliskannya di sini karena alasan tertentu). Saya dapatkan bahwa perusahaan itu memang ada, alamat dan nomor teleponnya cocok (cari di www.switchboard.com), bahkan domain name nya sudah di register sejak 1999 (cari di www.allwhois.com) tapi saya masih belum yakin. Satu hal yang sangat mencurigakan: waktu itu memang siang hari di tempat saya tinggal tetapi di Florida masih jam 1 pagi. Orang macam apa yang kerja selarut itu untuk menawarkan jasa???

Dari hasil surfing, saya menemukan bahwa banyak sekali komplain dari pelanggan mengenai praktek ‘solicitation’ semacam ini dan kebanyakan mengeluh bahwa uangnya tidak bisa di-refund alias amblas! Sampai sekarang orang itu tidak pernah menelepon lagi.

Saya jadi teringat beberapa tahun lalu waktu masih tinggal di Indonesia, kasus serupa pernah terjadi ketika seseorang (wanita) menelepon dan mengaku dari sebuah ‘hotel/country club marketing’ menawarkan ‘diskon spesial’ untuk menjadi member kelab tersebut. Berbagai fasilitas menarik dijanjikannya. Anehnya, cewek ini sudah
punya nomor kartu kredit saya dan mengaku mendapatkannya langsung dari bank karena saya termasuk salah satu nasabah yang ‘terpilih’ dan ‘layak mendapatkan reward’. Karena waktu itu saya sedang buru-buru untuk hal lain maka saya bilang akan pikir-pikir dulu. Selesai urusan, saya merasa tidak enak hati dan langsung menelepon ke bank
penyelenggara kartu kredit tersebut. Alangkah kagetnya ketika mendapati bahwa baru terjadi transaksi tepat sejumlah yang disebutkan si cewek penelepon tadi. Asal tahu saja, jadi member Country Club sangat tidak murah walaupun sudah dapat diskon! Saya langsung minta agar transaksinya di-cancel karena saya tidak pernah meng-authorize transaksi tersebut. Memang si representative dari Country Club itu sudah ‘bilang’ pada saya melalui telepon. Tapi bukan berarti kalau sudah ‘bilang’ lantas otomatis dapat ijin untuk menyikat uang saya kan?
Untunglah saya bisa mendapatkan uang saya kembali. Menurut staff bank tersebut memang banyak terjadi kasus serupa belakangan itu.

Kembali ke social engineering, dua kisah nyata yang saya alami di
atas menggambarkan bahwa bagaimanapun ketatnya sistem sekuriti, tetap
saja faktor terlemah ada di manusianya. Mungkin perusahaannya memang
ada dan legal (dan memang harus exist untuk dapat mentransfer uang
dari kartu kredit). Tapi transaksi yg dilakukan bisa dibilang tidak
memenuhi syarat dan ilegal karena tidak ada informasi yang jelas
mengenai produk yang ditawarkan.

Sudah berapa kasus pembobolan kartu kredit maupun Internet Banking
yang kita dengar, namun kalau kita telusuri sebenarnya yang dibobol
bukan sistem security electronic nya tapi si orangnya sendiri. Mulai
dari salah ketik URL (kasus klikbca), penyadapan PIN (kasus dosen di
Jogja yg maen Internet Banking di warnet), atau ibu2 yg disuruh beli
voucher isi ulang GSM dan membacakannya nomornya lewat telepon.

Walaupun kita tidak pernah belanja online, bukan berarti nomor kartu
kredit kita aman. Pernah lihat iklan di TV yg menampilkan orang yg
makan di restoran bayar pake kartu kredit? Itulah yang terjadi sehari-
hari. Biasanya kita hanya akan memberikan kartu kepada
waiter/waitress, kemudian dia akan tersenyum, menaruh kartu itu di
lipatan bill dan berlalu. Apakah Anda yakin bahwa dia langsung pergi
ke kasir? Atau pulang dari kasir langsung balik ke meja Anda?
Atau, tahukah Anda bahwa SEMUA mesin pemroses kartu kredit punya
tombol RE-PRINT yg bisa mencetak ulang semua transaksi hari itu?
Nomor2 kartu kredit bisa dengan sangat mudah diperoleh!

Semoga dengan bergabung di milis ini kita semua menjadi lebih waspada
terhadap berbagai bentuk hacking (cracking) yang bisa merugikan kita.
Jangan lupa untuk berbagi ilmu kepada sodara, teman, dan orang2 di
dekat kita agar mereka juga terhindar dari kerugian yg mungkin timbul.
SUKSES……..