Professional Documents
Culture Documents
Zarinamohd Helmynik Shahidah
Zarinamohd Helmynik Shahidah
net/publication/266012467
CITATIONS READS
0 1,828
3 authors:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Mohd Helmy Abd Wahab on 13 May 2016.
1
yang menarik. Penulis juga ingin berkongsi dengan satu
panggilan dari Phone Marketing berkenaan dengan tawaran
diskaun hotel. Pakej ini menawarkan diskaun hotel sehingga 70%
dan juga menyatakan bahawa ia perlukan maklumat seperti No.
Kad Pengenalan sebagai pengesahan. Selepas proses
pengesahan, tawaran yang diterima dicaj RM399 melalui kad
kredit untuk setahun sebagai yuran keahlian. Apa yang menjadi
tanda tanya ialah, selepas mengesahkan bayaran tersebut, pihak
Phone Marketing ini menyatakan bahawa tawaran ini tidak boleh
dibatalkan dan kad kredit akan dicaj setiap tahun. Pihak bank
menasihatkan supaya kad kredit tersebut dibatalkan serta merta
dan ditukar dengan kad yang baru. Namun begitu, penting untuk
diingatkan bahawa maklumat peribadi telah pun terdedah dan ia
mungkin akan disalurkan kepada pihak lain.
2
serangan ini sebenarnya memberikan impak yang berbeza kepada pekerja bukan-teknikal. Dengan beranggapan golongan pekerja
organisasi mahupun individu tertentu bergantung kepada ini kurang pengetahuan teknikal dan mempunyai kurang
maklumat yang terdedah. Imej sesebuah organisasi mahupun kesedaran keselamatan ke atas maklumat yang dikendalikan
individu boleh terjejas dengan kejayaan serangan ini. Lanjutan menjadikan proses mendapatkan maklumat mudah dilaksanakan
dari imej yang terjejas, pelanggan akan hilang keyakinan dan oleh penyerang. Oleh itu, dalam latihan dan program kesedaran
kepercayaan serta mempunyai tanggapan negatif sehingga boleh semua pekerja mestilah ditanam dengan sifat tanggungjawab dan
membawa kepada kejatuhan organisasi ataupun individu. pemilikan ke atas keselamatan organisasi. Latihan dan program
Pergantungan kepada teknologi perkakasan dan perisian sahaja kesedaran ini juga adalah penting dam memberikan pendedahan
tidak mungkin mampu menangani serangan dan ancaman yang kepada pekerja tentang jenis maklumat, sumber perolehan, dan
mungkin berpunca dari aktiviti-aktiviti kejuruteraan sosial. bagaimana ia boleh dimanipulasikan oleh penyerang. Selain itu,
pekerja juga perlu diberi latihan untuk mengenalpasti dan
Kertas kerja ini menggariskan cadangan strategi yang mesti bertindakbalas ke atas serangan kejuruteraan sosial. Namun
diambil oleh organisasi bagi mengelak serangan ini iaitu begitu, polisi serta latihan kesedaran tidak memberi sebarang
penyemakkan semula polisi dan prosidur dengan membuat makna jika pengguna tersebut tidak mempunyai ilmu yang cukup
penambahbaikan agar ia selaras dengan keperluan semasa untuk memahami setiap tindakan yang diambil. Pengetahuan
[2],[4],[8]-[10]. Selain dari itu, latihan dan program kesedaran mengenai suatu teknologi amatlah penting supaya penggunaannya
mesti diadakan bagi meningkatkan kesedaran pekerja organisasi dapat dibataskan dengan hanya perkara yang perlu sahaja. Setiap
mahupun individu [9]-[13]. teknologi yang berkembang akan mempunyai kelemahannya yang
Selain dari itu, terdapat beberapa langkah yang perlu diambil bagi sering dieksploitasi oleh orang yang tidak bertanggungjawab.
mengelak kes-kes yang dibincangkan di atas. Penerima panggilan Malah jika dilihat secara umumnya, terdapat ramai penggodam
perlu bijak dalam menyalurkan maklumat yang ingin diperolehi dan pencuri maklumat, dan kebanyakkan diantara mereka hendak
oleh individu tertentu melalui panggilan telefon. Sekiranya menunjukkan kehebatan masing-masing dalam mencapai
maklumat sensitif yang ingin diperolehi oleh pemanggil maklumat privasi.
berjawatan tinggi, hendaklah penerima panggilan memohon
tempoh masa dan nombor yang boleh dihubungi semula daripada
pemanggil. Dokumen mengandungi maklumat sensitif yang 5. Kesimpulan
hendak dihapuskan hendaklah dikendalikan dengan sewajarnya. Serangan kejuruteraan sosial sebenarnya telah wujud sekian lama
Adalah lebih baik sekiranya mesin shredder digunakan bagi dalam pelbagai bentuk dan akan berterusan kerana ia bergantung
memastikan maklumat sensitif yang hendak dihapuskan benar- kepada sifat semulajadi manusia itu sendiri. Oleh kerana itu,
benar terhapus. Dengan mengoyak atau menggunting kepada organisasi dan individu hendaklah diperlengkapkan dengan
cebisan-cebisan kecil atau membakar dokumen yang hendak pengetahuan tentang apakah maklumat yang digunakan,
dihapuskan juga merupakan satu tindakan yang mampu menyekat bagaimana maklumat yang didedahkan boleh membawa kepada
serangan, apakah kaedah yang digunakan oleh jurutera sosial, dan
penyalahgunaan maklumat sensitif.
dalam bentuk apa serangan dibuat. Berdasarkan kepada
Tawaran berbentuk kewangan atau hadiah melalui e-mel pengetahuan itu, polisi, prosidur, latihan dan tindakbalas boleh
hendaklah diselidik terlebih dahulu kebenaran maklumat yang dibentuk bagi menangani masalah tersebut. Oleh kerana ancaman
dihantar. Sekiranya perlu, buang terus e-mel tersebut dan tetapkan ini sentiasa wujud, program kesedaran di semua peringkat
konfigurasi sistem e-mel sebagai spam supaya e-mel yang organisasi yang berkesan juga perlu dilaksanakan bagi
diterima daripada penghantar yang sama akan disekat oleh sistem. mengurangkan ancaman ini.
Peletakkan maklumat pada kandungan atas web perlulah ditapis
supaya maklumat penting tidak terdedah kepada capaian umum.
Bagi mengelakkan maklumat tidak terdedah kepada carian web, 6. Rujukan
elakkan dengan meletak maklumat seperti No. Kad Pengenalan [1] Cybercrime: Piercing the darkness. Network Intrusion.
dan alamat serta no. telefon supaya ia tidak boleh disalah gunakan http://library.thinkquest.org/04oct/00460/netwIntrusion.html
oleh penyerang. Memadai dengan meletakkan e-mel supaya (Capaian 24 Jan 2008)
memudahkan komunikasi dengan orang yang dikenali. Selain dari [2] Miller, T. Social Engineering: Techniques that can bypass
itu, memahami polisi penyedia hos dan polisi organisasi amatlah Intrusion Detection Systems, http://www.stillhq.com/pdfdb/
penting dalam penjagaan maklumat supaya ia selamat dan 000186/ data.pdf, 19 Jun 2000 (Capaian 6 Feb 2008)
terpelihara. Bagi maklumat individu pula, memahami konsep serta [3] Wikipedia Encyclopedia. Social Engineering Techniques and
implikasi atas suatu tindakan yang dibuat adalah penting bagi Terms, http://en.wikipedia.org/wiki/Social_engineering_
memastikan ia sentiasa selamat dan terpelihara. (computer_security), 31 Jan 2008 (Capaian 6 Feb 2008)
Secara umumnya, polisi dan prosidur keselamatan yang jelas serta [4] Techtarget. What is social engineering? – a definition from
melibatkan semua peringkat pekerja adalah penting. Sistem Whatis.com, http://searchsecurity.techtarget.com/sDefinition/0,,
pengklasifikasian maklumat adalah penting bagi memberikan sid14_gci531120,00.html, 10 Okt 2006 (Capaian 6 Feb 2008)
takrifan yang jelas apakah maklumat yang boleh didedahkan, [5] Vines, R.D. Penetration testing – Social engineering, IDS
kepada siapa maklumat tersebut boleh didedahkan dan oleh siapa and honey pots, http://searchsecuritychannel.techtarget.com/
maklumat tersebut boleh diperolehi. Polisi ini juga seharusnya tip/0,289483,sid97_gci1244399,00.html, 17 Jul 2007 (Capaian 6
mampu memberikan justifikasi dan garispanduan kepada pekerja Feb 2008)
untuk membuat keputusan. [6] Rabiah Ahmad. Jurutera sosial penjenayah komputer dan
internet tanpa teknologi. Berita Harian. 25 Apr. 2007.
Latihan dan program kesedaran kepada semua peringkat pekerja [7] Richard Power and Dario Forte. 2006. Social engineering:
termasuklah pekerja bukan-teknikal hendaklah dilaksanakan attacks have evolved, but countermeasures have not. Computer
kerana kebanyakkan sasaran utama serangan ini ditujukan kepada
3
Fraud & Security, Volume 2006, Issue 10, October 2006, Pages
17-20.
[8] Winkler, I.S. 1996. Case Study of Industrial Espionage
through Social Engineering. Proceeding of the 19th National
Information Systems Security Conference (NISSC). 22-25 Oct.,
Baltimore, USA.
[9] Wood, P. 2005. Implementing identity management security
– an ethical hacker’s view, Network Security, Volume 2006, Issue
12, 13 Sept.
[10] Thornburgh, T. 2004. Social Engineering: The “Dark Art”.
Proceedings of the 1st annual conference on Information security
curriculum development, 8 Okt., Kennesaw, Georgia.
[11] Mohd. Helmy Abd. Wahab et. al. 2007. Kajian Tahap
Kesedaran Keselamatan Komputer di Kalangan Staf FKEE,
UTHM. Proceeding of MyEdusec Seminar 2007: Information
Security at Educational Institutions. 28-29 Mei. Kuala Trengganu,
Malaysia.
[12] National Infrastructure Security Co-ordination Centre. Social
Engineering Against Information Systems: What Is It And How Do
You Protect Yourself?, http://www.cpni.gov.uk/Docs/
SocialEngineering08a06.pdf, 2 Jun 2006 (Capaian 6 Febuari
2008)
[13] Winkler, I.S. and Dealy, B. 1995. Information Security
Technology?...Don’t Rely on It. A Case Study in Social
Engineering. Proceedings of the 5th USENIX UNIX Security
Symposium. 5-7 Jun, Salt Lake City, Utah.