Dokumen tersebut membahas definisi dan jenis serangan siber dan penyalahgunaan komputer. Definisi penyalahgunaan komputer adalah insiden dimana korban menderita kerugian dan pelaku memperoleh keuntungan secara sengaja. Jenis serangan meliputi hacking, spamming, phishing, dan injeksi SQL.
Si & pi, dian andriani, hapzi ali, definisi dan jenis penyerangan dan penyalahgunaan komputer, universitas mercu buana, 2018
1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
“Definisi dan Jenis Penyerangan dan Penyalahgunaan Komputer”
Disusun Oleh:
Dian Andriani
55517120022
Dosen Pengampu:
Prof. Dr. Hapzi Ali, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2018
2. Definisi Serangan / Penyalahgunaan Komputer
Donn B. Parker (1976: 12) memberikan definisi mengenai penyalahgunaan komputer :
“Computer abuse is broadly defined to be any incident associated with computer technology
in which a victim suffered or could suffered loss and a perpetrator by intention made or could
have gain”, dan diterjemahkan oleh Andi Hamzah (1993: 18) sebagai ”penyalahgunaan
komputer didefinisikan secara luas sebagai suatu kejadian yang berhubungan dengan
teknologi komputer yang seorang korban menderita atau akan telah menderita kerugian dan
seorang pelaku dengan sengaja memperoleh keuntungan atau akan telah memperoleh
keuntungan”.
Jenis Serangan dan Penyalahgunaan Komputer
Hacking
Akses, modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa
elemen dalam sistem komputer.
Hijacking (Pembajakan)
Pengambilan kendali atas komputer orang lain untuk melakukan aktivitas terlarang tanpa
sepengetahuan pengguna komputer yang sebenarnya.
(Robot Network)
Sebuah jaringan komputer terbajak yang kuat dan berbahaya yang digunakan untuk
menyerang sistem atau menyebarkan malware.
Zombie
Sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan
untuk melakukan berbagai serangan internet.
Serangan Denial of Service (DoS)
Sebuah serangan komputer dimana penyerang mengirimkan sejumlah bom e-mail atau
permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar
server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.
Spamming
Secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat
yang sama, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.
Serangan Kamus (Dictionary Attack)
Menggunakan perangkat lunak khusus untuk menebak alamat e-mail perusahaan dan
mengirimkan pesan e-mail kosong. Pesan yang tidak kembali biasanya merupakan alamat
e-mail yang valid, sehingga dapat ditambahkan pada daftar alamat e-mail pelaku
spamming.
Splog
Spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan
intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.
Spoofing
Mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-olah orang
lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima.
3. E-mail Spoofing
Membuat sebuah alamat pengirim dan bagian-bagian lain dari sebuah header e-mail agar
tanpak seperti e-mail tersebut berasal dari sumber lain.
Caller ID Spoofing
Menampilkan nomor yang salah pada tampilan ID penelepon di handphone si penerima
untuk menyembunyikan identitas si penelepon.
IP address Spoofing
Menciptakan paket Internet Protocol dengan alamat IP palsu untuk menyembunyikan
identitas si pengirim atau untuk menirukan sistem komputer lain.
Address Resolution Protocol (ARP) Spoofing
Pengiriman pesan ARP palsu ke sebuah Ethernet LAN. ARP adalah sebuah protokol
jaringan komputer untuk menentukan alamat perangkat keras milik host jaringan ketika
hanya alamat IP atau jaringan yang diketahui.
MAC Address (Media Access Control Address)
Sebuah alamat perangkat keras yang mengidentifikasi secara khusus setiap node pada
sebuah jaringan.
SMS Spoofing
Menggunakan layanan pesan singkat (SMS) untuk mengubah nama atau nomor dari mana
pesan teks berasal.
Web-Page Spoofing / Phishing
Mengirimkan sebuah pesan elektronik seolah dari sebuah perusahaan yang sah, biasanya
institusi keuangan, dan meminta informasi atau verifikasi dari informasi serta sering
memberi peringatan mengenai konsekuensi negatif bila permintaan tersebut tidak dipenuhi.
Permintaannya palsu dan informasi yang dikumpulkan digunakan untuk melakukan
pencurian identitas atau untuk mencuri dana dari rekening korban.
DNS Spoofing
Melacak ID dari Domain Name System (DNS, sebuah “buku telepon” Internet yang
mengubah sebuah domain atau nama jaringan menjadi sebuah alamat IP) meminta dan
membalas sebelum server DNS yang asli melakukannya.
Serangan Zero-Day (Zero-Day Attack)
Sebuah serangan di antara waktu kerentanan sebuah perangkat lunak baru ditemukan dan
“merilisnya sembarangan” dan saat sebuah pengembang perangkat lunak merilis patch
untuk memperbaiki masalah.
Cross-site Scripting (XSS)
Sebuah kerentanan di halaman situs dinamis yang memungkinkan penyerang menerobos
mekanisme keamanan browser dan memerintahkan browser korban untuk mengeksekusi
kode, mengira bahwa itu berasal dari situs yang dikehendaki.
Serangan Limpahan Buffer (Buffer Overflow Attack)
Ketika jumlah data yang dimasukkan ke dalam sebuah program lebih banyak daripada
jumlah dari input buffer. Limpahan input menimpa instruksi komputer berikutnya,
menyebabkan sistem rusak. Para hacker memanfaatkannya dengan merangkai input
sehingga limpahan memuat kode yang menyatakan ke komputer apa yang dilakukan
selanjutnya. Kode ini dapat membuka sebuah pintu belakang di dalam sistem.
4. Serangan Injeksi (Insersi) SQL (SQL Injection (Insertion) Attack)
Menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan
dijalankan oleh sebuah program aplikasi. Hal ini memungkinkan seorang hacker
meyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki untuk
dijalankan.
Serangan Man-In-The-Middle (MITM Attack)
Seorang hacker menempatkan dirinya di antara seorang klien dan host untuk untuk
memotong komunikasi di antara mereka.
Masquerading / Impersonation
Mendapatkan akses ke sebuah sistem dengan berpura-pura menjadi pengguna yang sah.
Pelaku perlu mengetahui ID dan kata sandi pengguna yang sah.
Piggybacking
1. Menyadap ke dalam sebuah jalur komunikasi dan mengunci secara elektronik
pengguna yang sah sehingga tanpa sepengetahuannya membawa pelaku ke dalam
sistem,
2. Penggunaan secara diam-diam atas jaringan Wi-Fi tetangga,
3. Seseorang yang tidak berwenang mengikuti seseorang yang berwenang mengikuti
seseorang yang berwenang memasuki pintu yang aman, menembus pengendalian
keamanan fisik.
Pemecahan Kata Sandi (Password Cracking)
KetIka seorang penyusup memasuki pertahanan sebuah sistem, mencuri file yang berisikan
kata sandi valid, mendeskripsinya, dan menggunakannya untuk mendapatkan akses atas
program, file, dan data.
War Dialing
Memrogram sebuah komputer untuk menghubungi ribuan sambungan telepon untuk
mencari dial-up modem lines. Hacker menerobos ke dalam PC yang tersambung dengan
modem dan mengakses jaringan yang terhubung.
War Driving
Berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi.
War Rocketing
Menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut
yang mendeteksi jaringan nirkabel tidak aman.
Phreaking
Menyerang sistem telepon untuk mendapatkan akses sambungan telepon gratis,
menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencuri, serta
menghancurkan data.
Data Diddling
Mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk
menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.
Kebocoran Data (Data Leakage)
Menyalin data perusahaan tanpa izin, sering kali tanpa meninggalkan indikasi bahwa ini
telah disalin.
5. Podslurping
Menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan (iPod, flash drive)
untuk mengunduh data tanpa izin dari sebuah komputer.
Teknik Salami (Salami Technique)
Pencurian sebagian kecil uang dari beberapa rekening yang berbeda.
Penipuan Round-Down (Round-Down Fraud)
Memerintahkan komputer untuk membulatkan seluruh perhitungan bunga menjadi dua
tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke
dalam rekening pemrogram.
Spionase Ekonomi (Economic Espionage)
Mencuri informasi, rahasia dagang, dan kekayaan intelektual.
Pemerasan dunia maya (Cyber-extortion)
Ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang
tertentu tidak dibayarkan.
Cyber-Bullying
Menggunakan teknologi komputer untuk mendukung perilaku yang disengaja, berulang,
dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau
membahayakan orang lain.
Sexting
Tukar-menukar pesan teks dan gambar yang terang-terangan dersifak seksual dengan orang
lain, biasanya menggunakan perantara telepon.
Terorisme Internet (Internet Terrorism)
Menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan
komputer dan komunikasi.
Misinformasi Internet (Internet Misinformation)
Menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan.
Ancaman E-mail (E-mail Threats)
Ancaman dikirimkan kepada korban melalui e-mail. Ancaman biasanya memerlukan
beberapa tindakan follow-up, seringnya mengakibatkan kerugian besar bagi korban.
Penipuan Lelang Internet (Internet Auction Fraud)
Menggunakan situs lelang internet untuk menipu orang lain.
Penipuan Pump-And-Dump Internet (Internet Pump-And-Dump Fraud)
Menggunakan internet untuk menaikkan harga saham kemudian menjualnya.
Penipuan Klik (Click Fraud)
Memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan periklanan.
Penjejalan Situs (Web Cramming)
Menawarkan situs gratis selama sebulan, mengembangkan situs tidak berharga, dan
membebankan tagihan telepon dari orang-orang yang menerima tawaran untuk waktu
berbulan-bulan, terlepas mereka ingin melanjutkan menggunkan situs tersebut atau tidak.
Pembajakan Perangkat Lunak (Software Piracy)
Menyalin atau mendistribusikan perangkat lunak berhak cipta tanpa izin.
6. Rekayasa Sosial (Social Engineering)
Teknik atau trik psikologis yang digunakan agar orang-orang mematuhi keinginan pelaku
dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer,
server, atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk
mendapatkan data rahasia.
Pencurian Identitas (Identity Theft)
Mengambil identitas seseorang, biasanya untuk keuntungan ekonomi dengan mendapatkan
dan menggunakan informasi rahasia secara ilegal, seperti nomor Social Security, nomor
rekening bank atau kartu kredit.
Pretexting
Menggunakan skenario ciptaan (dalih) yang menciptakan legitimasi (pernyataan sah)
dalam pikiran target guna meningkatkan kecenderungan bahwa si korban akan
membocorkan informasi atau melakukan sesuatu.
Posing
Menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambil melakukan
penjualan, tetapi tidak pernah mengirimkan barang.
Vishing
Phishing suara; seperti phishing hanya saja korban memasukkan data rahasia melalui
telepon.
Carding
Kegiatan yang dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil
secara online untuk memastikan apakah kartu masih valid serta membeli dan menjual
nomor kartu kredit curian.
Pharming
Mengarahkan lalu lintas situs web ke situs web palsu.
Evil Twin
Sebuah jaringan nirkabel dengan nama yang sama (disebut Server Set Identifier) seolah
menjadi sebuah titik akses nirkabel yang sah. Pengguna tersambung dengannya karena ia
memiliki sinyal nirkabel yang lebih kuat atau evil twin mengganggu atau menonaktifkan
titik akses yang sah. Para pengguna tidak menyadari bahwa mereka tersambung ke evil
twin dan si pelaku mengawasi lalu lintas untuk mencari informasi rahasia.
Typosquatting / Pembajakan URL
Menyiapkan situs web dengan nama sama sehingga pengguna membuat kekeliruan
tipografis ketika memasukkan nama situs web yang akan dikirim ke situs yang tidak valid.
Pengganti kode batang QR (QR Barcode replacements)
Pelaku penipuan menyamarkan kode Quick Response valid dengan stiker yang
mengandung kode QR pengganti untuk mengecoh orang-orang ke dalam situs yang tidak
diinginkan yang menginfeksi teleponnya dengan malware.
Tabnapping
Secara diam-diam mengubah tab dari browser yang dibuka untuk mendapatkan ID dan
kata sandi pengguna ketika korban masuk kembali ke dalam situs.
7. Scavenging / Dumpster Diving
Mencari dokumen dan catatan untuk mendapatkan akses ke informasi rahasia. Metodenya
meliputi pencarian kaleng sampah, kotak sampah komunal, dan tempat pembuangan
sampah kota.
Bahu Berselancar (Shoulder Surfing)
Ketika pelaku mengintip melalui bahu seseorang di tempat umum untuk mendapatkan
informasi seperti nomor PIN ATM atau ID pengguna dan kata sandi.
Loop Lebanon (Lebanese Looping)
Menyisipkan lengan baju ke dalam ATM yang mencegah ATM mengeluarkan kartu.
Pelaku berpura-pura menawarkan bantuan, mengecoh korban dengan memasukkan PIN
lagi. Sekalinya korban menyerah, pencuri mengambil kartu dan menggunakan kartu serta
PIN untuk melakukan penarikan.
Skimming
Penggesekan ganda kartu kredit pada terminal yang sah atau menggesekkan kartu secara
diam-diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu
kredit untuk pengguna berikutnya.
Chipping
Berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil yang merekam data
transaksi pada sebuah pembaca kartu yang sah. Chip tersebut kemudian dipindahkan untuk
mengakses data yang terekam di dalamnya.
Menguping (Eavesdropping)
Mendengarkan komunikasi pribadi atau menyadap ke dalam transmisi data yang ditujukan
kepada orang lain. Satu cara untuk memotong sinyal adalah dengan menyiapkan
penyadapan.
Malware
Segala perangkat lunak yang digunakan untuk membahayakan.
Spyware
Perangkat lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribadi
mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna
komputer.
Adware
Spyware yang menyebabkan iklan banner pada monitor, mengumpulkan informasi
mengenai penjelajahan situs dan kebiasaan pengguna, dan mengirimkannya kepada
pencipta adware, biasanya sebuah organisasi periklanan atau media. Adware biasanya
terikat dengan freeware dan shareware yang diunduh dari internet.
Perangkat Lunak Torpedo (Torpedo Software)
Perangkat lunak yang menghancurkan malware saingan. Terkadang mengakibatkan
“peperangan malware” di anatara pengembang yang bersaing.
Scareware
Perangkat lunak berbahaya tidak ada manfaat yang dijual menggunakan taktik menakut-
nakuti.
8. Ransomware
Perangkat lunak yang mengenkripsi program dan data sampai sebuah tebusan dibayarkan
untuk menghilangkannya.
Keylogger
Perangkat lunak yang merekam aktivitas komputer, seperti keystroke pengguna, e-mail
dikirim dan diterima, situs web yang dikunjungi, dan partisipasi pada sesi obrolan.
Trojan Horse
Satu set instruksi komputer yang tidak diotorisasi dalam subuah program yang sah dan
berfungsi dengan semestinya.
Bom Waktu (Time bombs) dan Bom Logika (Logic Bombs)
Sebuah program yang tidak aktif hingga beberapa keadaan atau suatu waktu tertentu
memicunya. Setelah dipicu, program akan menyabotase sistem dengan menghancurkan
program atau data.
Pintu Jebakan (Trap Door) / Pintu Belakang (Back Door)
Sebuah set instruksi komputer yang memungkinkan pengguna untuk memotong kendali
normal sistem.
Packet Sniffer
Program yang menangkap data dari paket-paket informasi saat mereka melintasi jaringan
internet atau persahaan. Data tangkapan disaring untuk menemukan informasi rahasia atau
hak milik.
Program Steganografi (Steganography program)
Sebuah program yang dapat menggabungkan informasi rahasia dengan sebuah file yang
terlihat tidak berbahaya, kata sandi melindungi file, mengirimnya kemanapun di dunia, di
mana file dibuka dan informasi rahasia disusun ulang. Host file masih dapat didengar atau
dilihat karna indra penglihatan dan pengdengaran manusia tidak cukupsensitif untuk
mendapati sedikit penurunan kualitas gambar atau suara.
Rootkit
Sebuah cara penyamaran komponan sistem dan malware dari sistem pengoperasian dan
program lain, dapat juga memodifikasi sistem pengoperasian.
Superzapping
Penggunaan tanpa izin atas program sistem khusus untuk memotong pengendalian sistem
reguler dan melakukan tindakan ilegal. Utilitas Superzap awalnya dibuat untuk menangani
kondisi darurat, seperti sebuah pemulihan sistem rusak.
Virus
Sebuah segmen dari kode yang dapat dieksekusi yang melekatkan dirinya ke sebuah file,
program, atau beberapa komponen sistem lainnya yang dapat diekseskusi. Ketika program
tesembunyi terpicu, virus membuat perubahan tanpa izin agar sebuah sistem beroperasi.
Worm
Serupa dengan virus, kecuali jika ia adalah sebuah program bukan sebuah segmen kode
yang tersembunyi dalam sebuah program host. Worm juga menggandakan dirinya sendiri
secara otomatis dan secara aktif mengirimkan dirinya langsung ke sistem lain.
9. Bluesnarfing
Mencuri daftar kontak, gambar, dan data lain dengan menggunakan cacat dalam aplikasi
Bluetooth.
Bluebugging
Mengambil kendali atas telepon orang lain untuk membuat atau mendengarkan panggilan,
mengirim atau membaca pesan teks, menghubungkan ke internet, meneruskan panggilan
korban, dan menghubungi nomor yang membebankan tarif.
Implementasi Keamanan Jaringan Komputer di Carrefour Indonesia
oleh PT. NetSolution
Salah satu proyek besar yang pernah dikerjakan oleh PT. NetSolution terjadi di tahun 2013 di
mana PT. NetSolution mendapatkan kepercayaan dari Carrefour Indonesia untuk
mengupgrade sistem keamanan jaringan komputer baik di kantor pusat maupun di kantor
cabang milik Carrefour Indonesia khususnya di wilayah pulau Jawa.
Dalam proyek ini PT. NetSolution mengimplementasikan sistem keamanan jaringan komputer
antara lain :
Sistem Proxy-Cache dan Web Content Filter dengan menggunakan Bluecoat.
Implementasi untuk memfilter akses terhadap web-web yang berbahaya atau web-web
yang mengandung muatan pornografi.
Sistem Firewall & Anti Virus jaringan Fortigate. Implementasi ini bertujuan untuk
meningkatkan kualitas dan kapasitas keamanan firewall selain tentunya menambahkan
fitur anti virus jaringan dari serangan virus dari luar jaringan.
Sistem Bandwidh Management dengan Sangfor IAM. Implementasi ini untuk mengatur
pemanfaatan bandwidth internet agar dapat digunakan secara optimal.
Sistem IPS & IDS dengan Fortigate. Implementasi ini bertujuan untuk memastikan paket
data yang lewat telah memenuhi standar keamanan paket data dan tak ada paket data yang
berpotensi membayakan keamanan infrastruktur teknologi informasi yang dimiliki oleh
Carrefour Indonesia.
Proyek ini berhasil di implementasikan dengan sangat memuaskan sehingga dapat
meningkatkan kualitas keamanan infrastruktur jaringan komputer Carrefour Indonesia dari
intervensi luar maupun dalam yang tidak dikehendaki. (Anonim, 2015)
10. Daftar Pustaka :
Hamzah, Andi, 1993, Hukum Pidana yang berkaitan dengan komputer, Sinar Grafika Offset,
Hlm. 18.
NetSolution, PT, 2015, https://netsolution.co.id/implementasi-keamanan-jaringan/, (14 Maret
2018, jam 19.00)
Parker, Donn B., 1976, Crime by Computer, Hlm.12.
Romney, Marshall B., dan Paul John Steinbart, 2015, Sistem Informasi Akuntansi, Edisi 13,
Salemba Empat, Jakarta.