Langsung ke konten utama

BAB 6 TEKNIK PENIPUAN DAN PENYALAHGUNAAN KOMPUTER


PENDAHULUAN
Pada pembahasan berikut ini akan dibahas mengenai beberapa teknik penipuan dan penyalahgunaan computer yang lebih umum ke dalam tiga bagian: serangan dan penyalahgunaan computer, rekayasa social, dan malware.

SERANGAN DAN PENYALAHGUNAAN KOMPUTER
Hacking: akses , modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa elemen dalam system computer. Beberapa contoh ilustrasi serangan-serangan hacking dan dampak yang ditimbulkan adalah sebagai berikut:
  • Seorang hacker Rusia menerobos ke dalam system Citibank dan mencuri $10 juta dari rekening nasabah.
  • Acxiom mengelola informasi nasabah untuk penerbitan kartu kredit, bank, perusahaan otomotif, dan para pengecer (retailer). Seorang administrator system untuk sebuah perusahaan yang berbisnis dengan Acxiom melebihi batas akses yang diizinkan, ia mengunduh file yang memiliki kata sandi yang sudah dienkripsi, dan menggunakan program pemecah sandi untuk mengakses ID rahasia. Penerobosan ini merugikan Acxiom lebih dari $5,8 juta.
  • Selama perang Irak, para hacker Belanda mencuri informasi rahasia, termasuk informasi pergerakan pasukan dan senjatanya pada 34 wilayah militer. Tawaran mereka untuk menjual informasi kepada Irak ditolak, kemungkinan karena Irak mengira tawaran tersebut adalah sebuah jebakan.
  • Seoarang hacker berusia 17 tahun menerobos ke dalam jaringan Bell Laboratories, menghancurkan sejumlah file, menyalin 52 program perangkat linak hak milik, dan mempublikasikan informasi rahasia bulletin board (forum percakapan online) terselubung. Banyak hacker yang berusia muda, beberapa diantaranya berusia 12 tahun.
  • Seorang hacker memasuki computer pemasok perangkat lunak dan menggunakan "saluran terbuka (open pipe)" miliknya ke nasabah untuk memasang program Trojan horse yang kuat pada computer bank.
  • Pada pelanggaran keamanan terburuk sepanjang sejarah, 101 juta ajun Sony PlayStation di-hack, sehingga merusak jaringan selama lebih dari sebulan. Lebih dari 12 juta nomor kartu kredit, alamat e-mail, kata sandi, alamat rumah, dan data lain dicuri.

Hijacking (pembajakan): pengambilan kendali atas computer orang lain untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna computer yang sebenarnya.
Botnet: sebuah jaringan computer terbajak yang kuat dan berbahaya yang digunakan untuk menyerang system atau menyebarkan malware.
Zombie: sebuah computer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan internet.
Bot herder: seseorang yang menciptakan botnet dengan memasangkan perangkat lunak pada PC yang merespons instruksi elektronik milik bot herder.
Serangan denial-of-service (DoS): sebuah serangan computer di mana penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.
Berikut adalah contoh mengilustrasikan serangan-serangan DoS dan kerusakan yang ditimbulkannya:
  • Suatu serangan DoS menutup 3.000 situs selama 40 jam pada akhir pekan belanja tersibuk dalam setahun.
  • CloudNine, sebuah penyedia layanan internet, bangkrut setelah serangan DoS menghalangi pelanggan dan konsumennya untuk berkomunikasi.
  • Diperkirakan 1 dari 12 e-mail memuat virus MyDoom saat virus tersebut mengubah host menjadi zombie yang menyerang Microsoft, Perusahaan-perusahaan lainnya, seperti Amazon, Yahoo, CNN, dan eBay, juga telah mengalami serangan DoS yang serupa.
Spamming: secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat yang sama, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.
Serangan kamus (dictionary attack): menggunakan perangkat lunak khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong. Pesan yang tidak kembali biasanya merupakan alamat e-mail yang valid, sehingga dapat ditambahkan pada daftar e-mail pelaku spamming.
Splog: spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.
Spoofing: mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-olah yang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima. Spoofing memiliki berbagai bentuk sebagai berikut:
  • E-mail spoofing: membuat sebuah alamat pengirim dan bagian-bagian lain dari sebuah header e-mail agar tampak seperti e-mail tersebut berasal dari sumber lain.
  • Caller ID spoofing: menampilkan nomor yang salah pada tampilan ID penelpon di handphone di penerima untuk menyembunyikan identitas si penelpon.
  • IP addres spoofing: menciptakan paket internet Protocol dengan alamat IP palsu untuk menyembunyikan identitas si pengirim atau untuk menirukan system computer lain.
  • Addres Resolution Protocol (ARP) spoofing: pengiriman pesan ARP palsu ke sebuah Ethernet LAN. ARP adalah sebuah protocol jaringan computer untuk menentukan alamat perangkat keras milik host jaringan ketika hanya alamat IP atau jaringan yang diketahui. Mac Address (Media Access Control Address): sebuah alamat perangkat keras yang mengidentifikasi secara khusus setiap node pada sebuah jaringan.
  • SMS spoofing: menggunakan layanan pesan singkat (SMS) untuk mengubah nama atau nomor dari mana pesan teks berasal.
  • Web-page spoofing: phising.
  • DND spoofing: melacak ID dan Domain Name System (DNS, sebuah "buku telepon" internet yang mengubah sebuah domain atau nama jaringan menjadi sebuah alamat IP) meminta dan membalas sebelum server DNS yang asli melakukannya.
Serangan zero day (zero-day attack): sebuah serangan di antara waktu kerentanan sebuah perangkat lunak baru titemukan dan "merilisnya sembarangan" dan saat pengembangan perangkat lunak merilis patch untuk memperbaiki masalah.
Patch: kode yang dirilis pengembang perangkat lunak yang memperbaiki kerentanan perangkat lunak tertetu.
Cross-site scripting (XSS): sebuah kerentanan di halaman situs dinamis yang memungkinkan penyerang menerobos mekanisme keamanan browser dan memerintah browser korban untuk mengeksekusi kode; mengira bahwa itu berasal dari situs yang dikehendaki.
Serangan limpahan buffer (buffer overflow attack): ketika jumlah data yang dimasukkan ke dalam sebuah program lebuh banyak daripada jumlah input buffer. Limpahan input menimpa instruksi computer berikutnya, menyebabkan system rusak. Para hacker memanfaatkan dengan meragkai inpuet sehingga limpahan membuat kode yang menyatakan ke computer apa yang dilakukan selanjutnya. Kode ini dapat membuka sebuah pintu belakang di dalam system.
Serangan injeksi (insersi) SQL (SQL injection (insertion) attack): menyisipkan query SQL berbahaya pada input sehingga query tersebut llos dan dijalankan oleh sebuah program aplikasi. Hal ini memungkinkan seorang hacker meyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki untuk dijalankan.
Serangan man-in-the-middle (MITM attack): seorang hacker menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi di antara mereka.
Berikut ini serangan dunia maya man-in-the-middle:
Maquerading/impersonation: mendapatkan akses ke sebuah system dengan berpura-pura menjadi pengguna yang sah. Pelaku perlu mengetahui ID dan katasanti pengguna yang sah.
Piggybacking: 1) menyadap ke sebuah jalur komunikasi dan mengunci secara elektrinok pengguna yang sah sehingga tanpa sepengetahuannya membawa pelaku ke dalam system, 2) penggunaan secara diam-diam atas jaringan Wi-Fi tetangga, 3) seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik.
Pemecahan kata santi (password cracking): ketika seorang penyusup memasuki pertahanan sebuah system, mencuri file yang berisikan kata sandi yang valid, mendeskripsinya, dan menggunakannya untuk mendapatkan akses atas program, file, dan data.
War dialing: memrogram sebuah computer yang menghubungi ribuan sambungan telepon untuk dial-up modem lines. Hacker menerobos ke dalam PC yang tersambung dengan modem dan mengakses jaringan yang terhubung.
War driving: berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi.
War rocketing: menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut yang mendekati jaringan nirkabel tidak aman.
Phreaking: menyerang system telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencuri, serta menghancurkan data.
Data diddling: mengubah data sebelum atau selama entri ke dalam sebuah system computer untuk menghapus, mengubah, menambah, atau memperbarui data system kunci yang salah.
Kebocoran data (data leakage): menyalin data perusahaan tanpa izin, sering kali tanpa meninggalkan indikasi bahwa ia telah disalin.
Podslurping: menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan (iPod, flash drive) untuk mengunduh data tanpa izin dari sebuah computer.
Teknik salami (salami technique): pencurian sebagian kecil uanh dari beberapa rekening yang berbeda.
Penipuan round-down (run-down fraud): memerintah computer untuk membulatkan seluruh perhitungan bunga menjadi dua tempat decimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening pemrogram.
Spionase ekonomi (economic espionage): mencuri informasi, rahasia dagang, dan kekayaan intelektual.
Pemerasan dunia maya (cyber-extirtion): ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.
Cyber-bullying: menggunakan teknologi kompuetr untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang menyiksa, megancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain.
Sexting: tukar menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain, biasanya menggunakan perantara telepon.
Terorisme internet (internet terrorism): menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan computer dan komunikasi.
Misinformasi internet (internet misinformation): menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan.
Ancaman e-mail (e-mail threats): ancaman dikirimkan kepada korban melalui e-mail. Ancaman biasanya memerlukan beberapa tindakan follow-up, seringnya mengakibatkan kerugian besar bagi korban.
Penipuan lelang internet (internet auction fraud): menggunakan situs lelang internet untuk menipu orang lain.
Penipuan pump-and-dump internet (internet pump-and-dump fraud): menggunakan internet untuk menaikkan harga saham kemudian menjualnya.
Penipuan klik (click fraud): memanipulasi jumlah waktu iklan yang di klik untuk meningkatkan tagihan periklanan.
Penjejalan situs (web cramming): menawarkan situs gratis selama sebulan, mengembangkan situs tidak berharga, dan membebankan tagihan telepon dari orang-orang yang menerima tawaran untuk waktu berbulan-bulan, terlepas mereka ingin menggunakan situs tersebut atau tidak.
Pembajakan perangkat lunak (software piracy): menyalin atau mendistribusikan perangkat lunak berhak cipta tanpa izin.

REKAYASA SOSIAL
Rekayasa social (social engineering): Teknik atau trik psikologis yang digunakan agar orang-orang mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, computer, server, atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk mendapatkan data rahasia.
Cisco melaporkan bahwa para pelaku memanfaatkan tujuh sifat manusia untuk menarik seseorang agar mengungkapkan informasi atau melakukan tindakan tertentu:
  1. Belas kasihan.
  2. Keserakahan.
  3. Daya Tarik.
  4. Kemalasan.
  5. Kepercayaan.
  6. Urgensi.
  7. Kesombongan.
Menetapkan prosedur dan kebijakan berikut dan melatih orang untuk mengikutinya dapat membantu meminimalkan rekayasa social:
  1. Jangan pernah membiarkan orang-orang mengikuti anda ke bangunan yang terlarang.
  2. Jangan log-in ke computer lain, terutama jika anda memiliki akses administrative.
  3. Jangan pernah memberikan informasi sensitive melalui telepon atau e-mail.
  4. Jangan pernah membagikan kata sandi atau ID pengguna.
  5. Waspadalah bila orang yang tidak anda kenal berusaha mendapatkan akses melalui anda.
Pencurian identitas (identity theft): mengambil identitas seseorang, biasanya untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara illegal, seperti nomor Social Security, nomor rekening bank atau kartu kredit.
Pretexting: menggunakan scenario ciptaan (dalih) yang menciptakan legitimasi (pernyataan sah) dalam pikiran target guna meningkatkan kecenderungan bahwa si korban akan membocorkan informasi atau melakukan sesuatu,
Posing: Menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambal melakukan penjualan, tetapi tidak pernah mengirim barang.
Phising: mengirimkan sebuah pesan elektronik seolah dari sebuah perusahaan yang sah, biasanya intitusi keuangan, dan meminta informasi atau verifikasi dari informasi serta sering memberi peringatan mengenai konsekuensi negative bila permintaan tersebut tidak dipenuhi. Permintaannya palsu dan informasi yang dikumpulkan digunakan untuk melakukan pencurian identitas atau untuk mencuri dana dari rekening korban.
Vishing: phising suara; seperti phising hanya saja korban memasukan data rahasia melalui telepon.
Carding: kegiatan yang dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil secara online untuk memastikan apakah kartu masih valid serta membeli dan menjual nomor kartu kredit curian.
Pharming: mengarahhkan lalu lintas situs web ke situs web palsu.
Evil twin: sebuah jaringan nirkabel dengan nama yang sama (disebut Server Set Identifer) seolah menjadi sebuah titik akses nirkabel yang sah. Pengguna tersambung dengannya karena ia memiliki sinyal nirkabel yang lebih kuat atau evil twin mengganggu atau menonaktifkan titik akses yang sah. Para pengguna tidak menyadari bahwa mereka tersambung ke evil twin dan si pelaku mengawasi lalu lintas untuk mencari informasi rahasia.
Typosquatting/pembajakan URL (URL hijacking): menyiapkan situs web dengan nama sama sehingga pengguna membuat kekeliruan tipografis ketika memasukkan nama situs web yang akan dikirim ke situs yang tidak valid.
Pengganti kode batang QR (QR barcode replacements): pelaku penipuan menyamarkan kode Quick Response valid dengan stiker yang mengandung kode QR pengganti untuk mengecoh orang-orang ke dalam situs yang tidak diinginkan yang menginfeksi teleponnya dengan malware.
Tabnapping: secara diam-diam mengubah tab dari browser yang dibuka untuk mendapatkan ID dan kata sandi pengguna ketika korban ,asuk kembali ke dalam situs.
Scavenging/dumpster diving: mencari dokumen dan catatan untuk mendapatkan akses ke informasi rahasia. Metodenya meliputi pencarian kaleng sampah, kotak sampah komunal, dan tempat pembuangan sampah kota.
Bahu berselancar (shoulder surfing): ketika pelaku mengintip melalui bahu seseorang di tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID pengguna dan kata sandi.
Loop Lebanon (Lebanese looping): menyisipkan lengan baju ke dalam ATM yang mencegah ATM mengeluarkan kartu. Pelaku berpura-pura menawarkan bantuan, mengecoh korban dengan memasukan PIN lagi. Sekalinya korban menyerah, pencuri mengambil kartu dan menggunakan kartu serta PIN untuk melakukan penarikan.
Skimming: penggesekan ganda kartu kredit peda terminal yang sah atau menggesekan kartu secara diam-diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu kredit untuk penggunaan berikutnya.
Chipping: berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil yang merekam data transaksi pada sebuah pembaca kartu kredit yang sah. Chip tersebut kemudian dipindahkan untuk mengakses data yang terekam di dalamnya.
Menguping (eavesdropping): mendengarkan komunikasi pribadi atau menyadap ke dalam transmisi data yang ditunjukan kepada orang lain. Salah satu cara untuk memotong sinyal adalah dengan menyiapkan penyadapan.

MALWARE
Malware: segala perangkat lunak yang digunakan untuk membahayakan.
Spyware: perangkat lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribadi mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna computer.
Infeksi spyware, yang biasanya tidak disadari pengguna disebabkan oleh:
  • mengunduh program file-sharing, peralatan system, permainan, wallpaper, screen saver, music, dan video.
  • sejumlah situs secara diam-diam mengunduh spyware. Hal ini disebut dengan drive-by-downloading.
  • Seorang hacker menggunanakan celah keamanan di situs browser dan perangkat lunak lainnya.
  • Malware berpura-pura menjadi perangkat lunak keamanan antispuware.
  • sebuah worm atau virus.
  • jaringan nirkabel public (public wireless network).
Adware: spyware yang menyebabkan iklan banner pada monitor, mengumpulkan informasi mengenai penjelajahan situs dan kebiasaan pengguna, dan mengirimkannya kepada pencipta adware, biasanya sebuah organisasi periklanan atau media. Adware biasanya terkait dengan freeware dan shareware yang diunduh dari sebuah internet.
Perangkat lunak torpedo (torpedo software): perrangkat lunak yang menghancurkan malware saingan. Terkadang mengakibatkan "peperangan malware" di antara pengembang yang bersaing.
Scareware: perangkat lunak berbahaya tidak ada manfaat yang dijual menggunakan taktik menakut-nakuti.
Ransomware: perangkat lunak yang mengenkripsi program dan data sampai sebuah tebusan dibayarkan untuk menghilangkannya.
Keylogger: perangkat lunak yang merekam aktivitas computer, seperti keystroke pengguna e-mail dikirim dan diterima, situs web yang dikunjungi, dan partisipasi pada sesi obrolan.
Trojan horse: satu set intruksi computer yang tidak diotorisasi dalam sebuah program yang sah dan berfungsi dengan semestinya.
Bom waktu (time bombs)/bom logika (logic bombs): sebuah program yang tidak aktif hingga beberapa keadaan atau suatu waktu tertentu memicunya. Setelah dipicu, program akan menyabotase system dengan menghancurkan program atau data.
Pintu jebakan (trap door)/pintu belakang (back door): sebuah set instruksi computer yang memungkinkan pengguna untuk memotong kendali normal system.
Packet sniffer: program yang menangkap data dari paket-paket informasi saat mereka melintasi jaringan internet atau perusahaan. Data tangkapan disaring untuk menemukan informasi rahasia atau hak milik.
Program steganografi (steganography program): sebuah program yang dapat menggabungkan informasi rahasia dengan sebuah file yang terlihat tidak berbahaya, kata sandi melindungi file, mengirimkannya ke mana pun di dunia, dimana file dibuka dan informasi rahasia disusun ulang. Host file masih dapat didengar atau dilihat karena indra penglihatan dan pendengaran manusia tidak cukup sensitive untuk mendapati sedikit penurunan kualitas gabar atau suara.
Rootkit: sebuah cara penyamaran komponen system dan malware dari system pengoperasian dan program lain, dapat juga memodifikasi system pengoperasian.
Superzapping: penggunaan tanpa izin atas program system khusus untuk memotong pengendalian system regular dan melakukan tindakan illegal. Utilitas Superzap awalnya dibuat untuk menangani kondisi darurat, seperti pemulihan sebuah system yang rusak.
Virus: sebuah segmen dari kode yang dapat dieksekusi yang melekatkan dirinya ke sebuah file, program, atau beberapa komponen system lainnya yang dapat dieksekusi. Ketika program tersembunyi terpicu, virus membuat perubahan tanpa izin agar sebuah system beroprasi.
Worm: serupa dengan virus, kecuali jika ia adalah sebuah program bukan sebuah segmen kode yang tersembunyi dalam sebuah program host. Worm juga menggandakan dirinya sendiri secara otomatis dan secara aktif mengirimkan dirinya langsung ke system lain.
Bluesnarfing: mencuri daftar kontak, gambar, dan data lain dengan menggunakan cacat dalam aplikasi Bluetooth.
Bluebugging: mengambil kendali atas telepon orang lain untuk membuat atau mendengarkan panggilan, mengirim atau membaca pesan teks, menghubungkan ke internet, meneruskan panggilan korban, dan menghubungi nomor yang membebankan tarif.
Berikut ini Teknik-Teknik penipuan dan penyalahgunaan computer:


Komentar

Postingan populer dari blog ini

BAB 13 SIKLUS PENGELUARAN: PEMBELIAN DAN PENGELUARAN KAS

PENDAHULUAN Siklus pengeluaran ( expenditure cycle ): serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus menerus berhubungan dengan pembelian serta pembayaran barang dan jasa. Berikut diagram konteks dari siklus pengeluaran: Tujuan utama dalam siklus pengeluaran adalah untuk meminimalkan total biaya perolehan dan pemeliharaan persediaan, perlengkapan, dan berbagai layanan yang diperlukan perusahaan untuk berfungsi. Untuk mencapai tujuan tersebut, manajemen harus membuat keputusan penting sebagai berikut. Berapakah tingkat optimal persediaan dan perlengkapan yang harus diambil? Pemasok manakah yang menyediakan kualitas dan layanan terbaik dengan harga terbaik? Bagaimana perusahaan dapat mengonsolidasikan pembelian antarunit untuk mendapatkan harga optimal? Bagaimana teknologi informasi (TI - information technology ) dapat digunakan untuk meningkatkan efisiensi dan keakuratan fungsi logistic inbound ? Bagaimana perusahaan dapat memelihara kas

BAB 12 SIKLUS PENDAPATAN: PENJUALAN DAN PENERIMAAN KAS

PENDAHULUAN Siklus Pendapatan ( revenue cycle ): serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus menerus dengan menyediakan barang dan jasa kepada pelanggan dan menerima kas sebagai pembayaran atas penjualan tersebut. Tujuan Utama siklus pendapatan adalah menyediakan produk yang tepat di tempat yang tepat pada saat yang tepat untuk harga yang sesuai. Untuk mencapai tujuan tersebut, manajemen harus membuat keputusan yang penting sebagai berikut: Sampai sejauh mana produk dapat dan harus di sesuaikan dengan kebutuhan dan keinginan pelanggan individu? Seberapa banyak persediaan yang harus dimiliki dan dimana persediaan tersebut harus ditempatkan? Bagaimana seharusnya barang dagangan dikirim ke pelanggan? Haruskah perusahaan menjalankan fungsi pengiriman sendiri atau mengalihdayakan ( outsourcing ) ke pihak ke tiga yang berspesialisasi dalam bidang logistic? Berapa harga optimal untuk setiap produk atau jasa? Haruskah kredit diperpanjang untuk