See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/266012467

PENCEROBOHAN MAKLUMAT MELALUI KEJURUTERAAN SOSIAL

Conference Paper · August 2008

DOI: 10.13140/2.1.4516.9921

CITATIONS READS

0 1,828

3 authors:

Tukiran Zarina Mohd Helmy Abd Wahab

Universiti Tun Hussein Onn Malaysia Universiti Tun Hussein Onn Malaysia
33 PUBLICATIONS   70 CITATIONS    231 PUBLICATIONS   519 CITATIONS   

SEE PROFILE SEE PROFILE

Nik Shahidah Afifi Mohd Taujuddin

Universiti Tun Hussein Onn Malaysia
27 PUBLICATIONS   70 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

African Buffalo Optimization View project

Information and Communication Technology View project

All content following this page was uploaded by Mohd Helmy Abd Wahab on 13 May 2016.

The user has requested enhancement of the downloaded file.

 PENCEROBOHAN MAKLUMAT MELALUI KEJURUTERAAN SOSIAL
Zarina Tukiran, Mohd Helmy Abd Wahab, Nik Shahidah Afifi Md Taujuddin
Jabatan Kejuruteraan Komputer
Fakulti Kejuruteraan Elektrik dan Elektronik, Universiti Tun Hussein Onn Malaysia, 86400 Batu Pahat, Johor Darul Ta’zim, Malaysia.
Email: zarin@uthm.edu.my, helmy@uthm.edu.my, shahidah@uthm.edu.my
Abstrak
Pencerobohan dan kecurian maklumat boleh berlaku melalui ekploitasi
ke atas kelemahan perisian, penyamaran dan kejuruteraan sosial.
Walaupun begitu, di antara pendekatan percerobohan yang dinyatakan,
kejuruteraan sosial merupakan ancaman serangan yang sukar dikesan.
Oleh itu, kertas kerja ini memfokuskan perbincangan ke atas serangan
menggunakan pendekatan kejuruteraan sosial. Kejuruteraan sosial
merupakan teknik mencuri maklumat menggunakan kaedah pujukan,
helah serta cara mudah dan popular pada masa ini. Antara metod yang
digunakan dalam pendekatan ini ialah menerusi telefon, bersemuka, e-
mel, pengiklanan serta maklumat terbuka. Kejayaan serangan ini
memberikan impak berbeza kepada organisasi sasaran. Selain teknik,
kaedah penyelesaian yang dibincangkan dengan mencadangkan
langkah-langkah yang perlu diambil bagi mengurangkan kemungkinan
serangan ini.
1. Pengenalan
Isu keselamatan rangkaian menjadi semakin penting apabila sesuatu
organisasi memutuskan untuk beroperasi secara elektronik bagi
kemudahan pelanggan dan pengurusan maklumat. Namun begitu, tanpa
melihat aspek keselamatan mengakibatkan keselamatan data, sumber,
sistem terdedah kepada pelbagai ancaman. Ancaman ini menyebabkan
berlakunya pencerobohan rangkaian yang datang dalam pelbagai bentuk
seperti serangan virus, cecacing dan Trojan, serta aktiviti pengintipan.
Pencerobohan rangkaian adalah satu bentuk jenayah siber. Sistem
pengesan pencerobohan rangkaian dihasilkan bagi mengesan sebarang
aktiviti pencerobohan yang melibatkan kemasukkan tidak sah ke dalam
rangkaian bagi melaksanakan capaian tidak sah ke atas sumber, sistem,
dan data organisasi tersebut.
Terdapat tiga pendekatan yang boleh dilaksanakan untuk menembusi
rangkaian keselamatan organisasi iaitu ekploitasi ke atas kelemahan
perisian, penyamaran dan kejuruteraan sosial [1]. Di antara ketiga-tiga
pendekatan tersebut, pendekatan kejuruteraan sosial membolehkan
seseorang itu menembusi sistem rangkaian keselamatan organisasi
tertent tanpa dikesan oleh sistem pengesan pencerobohan rangkaian [2].
Oleh itu, perbincangan di dalam kertas kerja ini memfokuskan kepada
serangan menggunakan pendekatan kejuruteraan sosial yang popular
dan banyak digunakan kerana ia melibatkan hampir 100% interaksi
dengan manusia. Ini adalah kerana pendekatan ini seringkali diabaikan
oleh organisasi dalam melindungi maklumat berklasifikasi privasi dan
sulit. Sedangkan individu yang berkepentingan beranggapan pendekatan
ini adalah yang terbaik untuk memperolehi maklumat dalaman
organisasi sasarannya [3].
Kertas kerja ini disusun seperti berikut. Seksyen 2 membincangkan
tentang kujuruteraan sosial. Seksyen 3 pula membincangkan metod
serta kajian kes kejuruteraan sosial. Seksyen 4 membincangkan
metodologi yang boleh digunakan bagi mengurangkan serangan ke atas
organisasi. Kesimpulan dinyatakan dalam seksyen 5.
2. Kejuruteraan Sosial
Dalam konteks keselamatan komputer dan rangkaian, [4] dan [5]
menyatakan istilah kejuruteraan sosial digambarkan sebagai
1
pencerobohan bukan berasaskan teknikal malah bersifat psikologi yang
mana individu dimanipulasikan oleh individu yang berkepentingan bagi
mendapatkan maklumat yang boleh digunakan untuk mencuri serta
mencapai data, sumber atau identiti seseorang tanpa disedari. [6] pula
mendefinisikan kejuruteraan sosial sebagai satu teknik mencuri
maklumat dengan menggunakan kaedah pujukan ataupun helah.
Dalam [7] mengkategorikan serangan kejuruteraan sosial kepada dua
iaitu penipuan berasaskan-teknologi dan penipuan berasaskan-manusia.
Penipuan berasaskan-teknologi memerlukan kepakaran penyerang
dalam melaksanakan serangan dan biasanya ianya memerlukan usaha
yang lebih dan memakan masa. Oleh itu, serangan yang paling popular
dan mudah dilaksanakan adalah penipuan berasaskan-manusia. Ini
kerana manusia merupakan rantaian terlemah dalam sesuatu sistem
yang membolehkan penyerang memanipulasikan kelemahan-
kelemahan sifat yang ada pada manusia itu sendiri.
Terdapat rangkaian organisasi dilengkapkan dengan satu sistem yang
dinamakan Sistem Pengesan Pencerobohan Pangkaian (network
intrusion detection system, NIDs). NIDs merupakan satu aplikasi yang
mampu mengesan lebih awal sekiranya sistem komputer mengalami
serangan oleh pengondam. Kebiasaannya, NIDs diletakkan di hadapan
atau di belakang Dinding api bagi membolehkan pengurus sistem
memantau paket dalam talian rangkaian serta mengesan sebarang
serangan yang datang serta menembusi Dinding api. Sistem ini mampu
mengenalpasti sebarang serangan melalui tandatangan yang
mengandungi pelbagai paten bagi membolehkan sistem membezakan
setiap serangan. Oleh kerana sistem ini bergantung kepada pengesanan
paten, pengemaskinian paten mestilah terlebih dahulu dilaksanakan bagi
membolehkan sistem ini mengesan serangan. Sekiranya sistem ini tidak
kerap dikemaskinikan, ia tidak akan dapat mengenalpasti serangan
terkini. Walaupun NIDs mampu mengesan sebarang pencerobohan
rangkaian, ia tidak mampu untuk mengesan sebarang pencerobohan
yang dilaksanakan dengan sah. Sebagai contoh, penyerang memasuki
sistem rangkaian dengan menggunakan identiti pekerja yang sah bagi
sistem tersebut.
3. Teknik Kejuruteraan Sosial
Objektif utama penyerang dalam melaksanakan serangan ini adalah
pertamanya, mendapatkan kepercayaan individu tertentu bagi
membolehkannya mendapatkan maklumat-maklumat sensitif tanpa
disedari. Ini dapat dilaksanakan melalui teknik-teknik yang
dibincangkan di bahagian ini, antaranya melalui telefon, bersemuka,
carian maklumat buangan, mel elektronik, carian web, dan maklumat
atas talian. Dengan maklumat yang diperolehi, perubahan dapat
dilaksanakan dan membolehkan penyerang memasuki sistem rangkaian
organisasi tanpa disedari.
Panggilan melalui telefon adalah satu cara mudah untuk mendapatkan
maklumat-maklumat sensitif dengan melakukan penyamaran.
Pemasaran melalui telefon (phone marketing) merupakan satu contoh
mendapatkan maklumat penting melalui panggilan telefon seperti yang
digambarkan dalam senario pemasaran melalui telefon.
Panggilan daripada pihak Phone Marketing ini adalah bertujuan
promosi yang menawarkan pelbagai kemudahan dan hadiah
 yang menarik. Penulis juga ingin berkongsi dengan satu
panggilan dari Phone Marketing berkenaan dengan tawaran
diskaun hotel. Pakej ini menawarkan diskaun hotel sehingga 70%
dan juga menyatakan bahawa ia perlukan maklumat seperti No.
Kad Pengenalan sebagai pengesahan. Selepas proses
pengesahan, tawaran yang diterima dicaj RM399 melalui kad
kredit untuk setahun sebagai yuran keahlian. Apa yang menjadi
tanda tanya ialah, selepas mengesahkan bayaran tersebut, pihak
Phone Marketing ini menyatakan bahawa tawaran ini tidak boleh
dibatalkan dan kad kredit akan dicaj setiap tahun. Pihak bank
menasihatkan supaya kad kredit tersebut dibatalkan serta merta
dan ditukar dengan kad yang baru. Namun begitu, penting untuk
diingatkan bahawa maklumat peribadi telah pun terdedah dan ia
mungkin akan disalurkan kepada pihak lain.

Bersemuka merupakan satu interaksi langsung antara manusia dalam

membincangkan sesuatu perkara. Ketika interaksi berlangsung,
maklumat penting disalurkan tanpa disedari serta prasangka
terutamanya setelah penyerang memperolehi kepercayaan dari individu
tersebut. Ini digambarkan melalui senario bagi mempromosikan kad
kredit.

Jurujual P merupakan wakil promosi kad kredit hadir dari bilik ke

bilik untuk mempromosikan kad kreditnya. Staf atau pelanggan ini
akan diberi penerangan yang bersifat memujuk supaya menjadi
ahli kad kredit tersebut. Dalam proses permohonan ini,
kebiasaannya pelanggan dikehendaki menyerahkan salinan kad Rajah 1. E-mel loteri yang diterima oleh penulis
pengenalan dan slip gaji. Ini menyebabkan maklumat peribadi
individu tersebut telah terdedah kepada jurujual P tanpa
sebarang prasangka. Kes seperti ini sebenarnya tidak terhad
kepada kad kredit sahaja, malah ia boleh jadi pelbagai aktiviti
seperti promosi produk, demo, pendaftaran ahli dan banyak lagi.

Carian maklumat buangan (dumbster driving) merupakan antara teknik

yang digunakan oleh penyerang bagi mendapatkan maklumat individu
tertentu melalui buangan sampah seperti penyata kad kredit, salinan kad
pengenalan, invois dan sebagainya. Kecuaian individu dalam
mengendalikan maklumat sensitif ini memang memudahkan penyerang
mengumpul maklumat yang dikehendaki sebelum melancarkan
serangan.

Mel elektronik (e-mel) kini menjadi medium penting bagi penyerang

dalam mendapatkan maklumat sensitif dengan mempengaruhi individu
tertentu terutamanya apabila ditawarkan kewangan atau hadiah yang
berbentuk wang. Penulis sering menerima e-mel yang meminta untuk
menuntut hadiah loteri, anugerah pengguna aktif dan sebagainya. Rajah
1 merupakan e-mel yang diterima oleh penulis supaya menuntut hadiah
yang telah dimenangi. Jika diteliti kandungan e-mel ini, penyerang
menggunakan ayat yang bersifat memujuk dan menyakinkan dengan
menggunakan nama Bill Gates. Apa yang menarik di sini ialah Rajah 2. Capaian maklumat penulis diperolehi menggunakan enjin
matawang ganjaran tidak selaras dengan lokasi tuntutan yang carian.
membuktikan penipuan dalam cubaan untuk mendapatkan maklumat
penulis.
4. Metodologi Kejuruteraan Sosial
Carian web atau maklumat terbuka atas talian juga merupakan antara Setiap satu kaedah yang digunakan oleh penyerang dalam
teknik popular dan mudah dilaksanakan bagi mengumpulkan maklumat
memperolehi apa yang dikehendaki dianggap sebagai satu
sebelum melaksanakan sebarang serangan. Pada masa kini, hampir
kejayaan serangan walaupun maklumat yang diperolehi itu tidak
setiap organisasi mempunyai laman web yang antara lainnya
membolehkan serangan yang berkesan ke atas organisasi sasaran.
mengandungi profil organisasi, maklumat staf, produk yang dihasilkan
dan sebagainya. Begitu juga, dengan memuat naik maklumat peribadi Ini adalah kerana setiap maklumat yang diperolehi, dikumpul dan
seperti CV (curiculum vitae) di laman web peribadi menjadikan digunakan semula oleh penyerang boleh meningkatkan
maklumat sensitif ini terbuka kepada capaian umum. Ini membolehkan kemungkinan kejayaan serangan.
maklumat tersebut dimanipulasikan untuk mencapai tujuan tertentu. Sebarang serangan yang tidak dapat dikesan juga memberikan
satu isyarat kelemahan organisasi kepada penyerang. Ini
membenarkan penyerang menggunakan individu atau sistem
secara berulang kali untuk pelbagai tujuan. Oleh itu, kejayaan

2
serangan ini sebenarnya memberikan impak yang berbeza kepada
organisasi mahupun individu tertentu bergantung kepada
maklumat yang terdedah. Imej sesebuah organisasi mahupun
individu boleh terjejas dengan kejayaan serangan ini. Lanjutan
dari imej yang terjejas, pelanggan akan hilang keyakinan dan
kepercayaan serta mempunyai tanggapan negatif sehingga boleh
membawa kepada kejatuhan organisasi ataupun individu.
Pergantungan kepada teknologi perkakasan dan perisian sahaja
tidak mungkin mampu menangani serangan dan ancaman yang
mungkin berpunca dari aktiviti-aktiviti kejuruteraan sosial.
Kertas kerja ini menggariskan cadangan strategi yang mesti
diambil oleh organisasi bagi mengelak serangan ini iaitu
penyemakkan semula polisi dan prosidur dengan membuat
penambahbaikan agar ia selaras dengan keperluan semasa
[2],[4],[8]-[10]. Selain dari itu, latihan dan program kesedaran
mesti diadakan bagi meningkatkan kesedaran pekerja organisasi
mahupun individu [9]-[13].
Selain dari itu, terdapat beberapa langkah yang perlu diambil bagi
mengelak kes-kes yang dibincangkan di atas. Penerima panggilan
perlu bijak dalam menyalurkan maklumat yang ingin diperolehi
oleh individu tertentu melalui panggilan telefon. Sekiranya
maklumat sensitif yang ingin diperolehi oleh pemanggil
berjawatan tinggi, hendaklah penerima panggilan memohon
tempoh masa dan nombor yang boleh dihubungi semula daripada
pemanggil. Dokumen mengandungi maklumat sensitif yang
hendak dihapuskan hendaklah dikendalikan dengan sewajarnya.
Adalah lebih baik sekiranya mesin shredder digunakan bagi
memastikan maklumat sensitif yang hendak dihapuskan benar-
benar terhapus. Dengan mengoyak atau menggunting kepada
cebisan-cebisan kecil atau membakar dokumen yang hendak
dihapuskan juga merupakan satu tindakan yang mampu menyekat
penyalahgunaan maklumat sensitif.
Tawaran berbentuk kewangan atau hadiah melalui e-mel
hendaklah diselidik terlebih dahulu kebenaran maklumat yang
dihantar. Sekiranya perlu, buang terus e-mel tersebut dan tetapkan
konfigurasi sistem e-mel sebagai spam supaya e-mel yang
diterima daripada penghantar yang sama akan disekat oleh sistem.
Peletakkan maklumat pada kandungan atas web perlulah ditapis
supaya maklumat penting tidak terdedah kepada capaian umum.
Bagi mengelakkan maklumat tidak terdedah kepada carian web,
elakkan dengan meletak maklumat seperti No. Kad Pengenalan
dan alamat serta no. telefon supaya ia tidak boleh disalah gunakan
oleh penyerang. Memadai dengan meletakkan e-mel supaya
memudahkan komunikasi dengan orang yang dikenali. Selain dari
itu, memahami polisi penyedia hos dan polisi organisasi amatlah
penting dalam penjagaan maklumat supaya ia selamat dan
terpelihara. Bagi maklumat individu pula, memahami konsep serta
implikasi atas suatu tindakan yang dibuat adalah penting bagi
memastikan ia sentiasa selamat dan terpelihara.
Secara umumnya, polisi dan prosidur keselamatan yang jelas serta
melibatkan semua peringkat pekerja adalah penting. Sistem
pengklasifikasian maklumat adalah penting bagi memberikan
takrifan yang jelas apakah maklumat yang boleh didedahkan,
kepada siapa maklumat tersebut boleh didedahkan dan oleh siapa
maklumat tersebut boleh diperolehi. Polisi ini juga seharusnya
mampu memberikan justifikasi dan garispanduan kepada pekerja
untuk membuat keputusan.
Latihan dan program kesedaran kepada semua peringkat pekerja
termasuklah pekerja bukan-teknikal hendaklah dilaksanakan
kerana kebanyakkan sasaran utama serangan ini ditujukan kepada
3
pekerja bukan-teknikal. Dengan beranggapan golongan pekerja
ini kurang pengetahuan teknikal dan mempunyai kurang
kesedaran keselamatan ke atas maklumat yang dikendalikan
menjadikan proses mendapatkan maklumat mudah dilaksanakan
oleh penyerang. Oleh itu, dalam latihan dan program kesedaran
semua pekerja mestilah ditanam dengan sifat tanggungjawab dan
pemilikan ke atas keselamatan organisasi. Latihan dan program
kesedaran ini juga adalah penting dam memberikan pendedahan
kepada pekerja tentang jenis maklumat, sumber perolehan, dan
bagaimana ia boleh dimanipulasikan oleh penyerang. Selain itu,
pekerja juga perlu diberi latihan untuk mengenalpasti dan
bertindakbalas ke atas serangan kejuruteraan sosial. Namun
begitu, polisi serta latihan kesedaran tidak memberi sebarang
makna jika pengguna tersebut tidak mempunyai ilmu yang cukup
untuk memahami setiap tindakan yang diambil. Pengetahuan
mengenai suatu teknologi amatlah penting supaya penggunaannya
dapat dibataskan dengan hanya perkara yang perlu sahaja. Setiap
teknologi yang berkembang akan mempunyai kelemahannya yang
sering dieksploitasi oleh orang yang tidak bertanggungjawab.
Malah jika dilihat secara umumnya, terdapat ramai penggodam
dan pencuri maklumat, dan kebanyakkan diantara mereka hendak
menunjukkan kehebatan masing-masing dalam mencapai
maklumat privasi.
5. Kesimpulan
Serangan kejuruteraan sosial sebenarnya telah wujud sekian lama
dalam pelbagai bentuk dan akan berterusan kerana ia bergantung
kepada sifat semulajadi manusia itu sendiri. Oleh kerana itu,
organisasi dan individu hendaklah diperlengkapkan dengan
pengetahuan tentang apakah maklumat yang digunakan,
bagaimana maklumat yang didedahkan boleh membawa kepada
serangan, apakah kaedah yang digunakan oleh jurutera sosial, dan
dalam bentuk apa serangan dibuat. Berdasarkan kepada
pengetahuan itu, polisi, prosidur, latihan dan tindakbalas boleh
dibentuk bagi menangani masalah tersebut. Oleh kerana ancaman
ini sentiasa wujud, program kesedaran di semua peringkat
organisasi yang berkesan juga perlu dilaksanakan bagi
mengurangkan ancaman ini.
6. Rujukan
[1] Cybercrime: Piercing the darkness. Network Intrusion.
http://library.thinkquest.org/04oct/00460/netwIntrusion.html
(Capaian 24 Jan 2008)
[2] Miller, T. Social Engineering: Techniques that can bypass
Intrusion Detection Systems, http://www.stillhq.com/pdfdb/
000186/ data.pdf, 19 Jun 2000 (Capaian 6 Feb 2008)
[3] Wikipedia Encyclopedia. Social Engineering Techniques and
Terms, http://en.wikipedia.org/wiki/Social_engineering_
(computer_security), 31 Jan 2008 (Capaian 6 Feb 2008)
[4] Techtarget. What is social engineering? – a definition from
Whatis.com, http://searchsecurity.techtarget.com/sDefinition/0,,
sid14_gci531120,00.html, 10 Okt 2006 (Capaian 6 Feb 2008)
[5] Vines, R.D. Penetration testing – Social engineering, IDS
and honey pots, http://searchsecuritychannel.techtarget.com/
tip/0,289483,sid97_gci1244399,00.html, 17 Jul 2007 (Capaian 6
Feb 2008)
[6] Rabiah Ahmad. Jurutera sosial penjenayah komputer dan
internet tanpa teknologi. Berita Harian. 25 Apr. 2007.
[7] Richard Power and Dario Forte. 2006. Social engineering:
attacks have evolved, but countermeasures have not. Computer
Fraud & Security, Volume 2006, Issue 10, October 2006, Pages
17-20.
[8] Winkler, I.S. 1996. Case Study of Industrial Espionage
through Social Engineering. Proceeding of the 19th National
Information Systems Security Conference (NISSC). 22-25 Oct.,
Baltimore, USA.
[9] Wood, P. 2005. Implementing identity management security
– an ethical hacker’s view, Network Security, Volume 2006, Issue
12, 13 Sept.
[10] Thornburgh, T. 2004. Social Engineering: The “Dark Art”.
Proceedings of the 1st annual conference on Information security
curriculum development, 8 Okt., Kennesaw, Georgia.
[11] Mohd. Helmy Abd. Wahab et. al. 2007. Kajian Tahap
Kesedaran Keselamatan Komputer di Kalangan Staf FKEE,
UTHM. Proceeding of MyEdusec Seminar 2007: Information
Security at Educational Institutions. 28-29 Mei. Kuala Trengganu,
Malaysia.
[12] National Infrastructure Security Co-ordination Centre. Social
Engineering Against Information Systems: What Is It And How Do
You Protect Yourself?, http://www.cpni.gov.uk/Docs/
SocialEngineering08a06.pdf, 2 Jun 2006 (Capaian 6 Febuari
2008)
[13] Winkler, I.S. and Dealy, B. 1995. Information Security
Technology?...Don’t Rely on It. A Case Study in Social
Engineering. Proceedings of the 5th USENIX UNIX Security
Symposium. 5-7 Jun, Salt Lake City, Utah.

View publication stats