SISTEM INFORMASI AKUNTANSI -Accounting Information system Marshall B. Romney Paul John Steinbart George H. Bodnar William S. Hopwood

Materi 6 TEKNIK PENIPUAN DAN PENYALAHGUNAAN KOMPUTER

Tujuan Pembelajaran Setelah mempelajari bab ini, Anda diharapkan dapat: Menguasai konsep dan prinsip tentang: Manajemen risiko, Pengendalian internal, Lingkungan bisnis (PP 12)

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Beberapa teknik penyerangan yang lebih umum, antara lain : Hacking adalah akses, modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa elemen dalam sistem komputer. Hijacking (pembajakan) adalah Pengambilan kendali atas komputer orang lain untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya. Botnet adalah Singkatan dari robot network, adalah sebuah jaringan komputer terbajak yang kuat dan berbahaya yang digunakan untuk menyerang sistem atau menyebarkan malware. Botnet digunakan untuk melakukan serangan denial - of - service (DoS) yaitu sebuah serangan komputer dimana penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar serve e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Zombie adalah Sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan internet. Bot herder adalah Seseorang yang menciptakan botnet dengan memasangkan perangkat lunak pada PC yang merespons instruksi elektronik milik bot herder. Spamming adalah secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat yang sama, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu. Pelaku spamming juga melakukan serangan kamus (dictionary attack) yaitu menggunakan perangkat lunak khusus untuk menebak alamat email perusahan dan mengirimkan pesan email kosong. Pesan yang tidak kembali biasanya merupakan alamat email yang valid, sehingga dapat ditambahkan pada daftar alamat email pelaku spamming.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Sebuah blog (singkatan dari web log) adalah sebuah situs yang memuat sejumlah jurnal atau komentar online. Para hacker menciptakan spog (gabungan dari spam dan blog) dengan link ke situs yang mereka miliki untuk meningkatkan Google PageRank mereka, yang mana biasanya merupakan sebuah halaman situs direkomendasikan oleh halaman lain. Spoofing adalah mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah -olah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima. Spoofing memiliki berbagai bentuk, sebagai berikut :

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Spoofing memiliki berbagai bentuk, sebagai berikut : Email spoofing : membuat sebuah alamat pengirim dan bagian - bagian lain dari sebuah header email agar tampak seperti email tersebut berasal dari sumber lain Caller ID spoofing : menampilkan nomor yang salah pada tampilan ID penelepon di handphone si penerima untuk menyembunyikan identitas si penelepon. ID Address spoofing : menciptakan paket internet protokol dengan alamat IP palsu untuk menyembunyikan identitas si pengirim atau untuk menirukan sistem komputer lain Address resolution protocol (ARP) Spoofing : pengiriman pesan ARP palsu ke sebuah Ether met LAN. ARP adalah sebuah protokol jaringan komputer untuk menentukan alamat perangkat keras milik host jaringan ketika hanya alamat IP atau jaringan yang diketahui.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Mac Address (Media access control address) : sebuah alamat perangkat keras yang mengidentifikasi secara khusus setiap node pada sebuah jaringan. SMS Spoofing : Menggunakan layanan pesan singkat (SMS) untuk mengubah nama atau nomor dari mana pesan teks berasal. Web page Spoofing DNS spoofing Cross site scripting (XSS) :   sebuah kerentanan di halaman situs dinamis yang memungkinkan penyerang menerobos mekanisme keamanan browser dan memerintahkan browser untuk mengeksekusi kode, mengira bahwa itu berasal dari situs yang dikehendaki.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Serangan zero day atau serangan zero - hour adalah sebuah serangan diantara waktu kerentanan sebuah perangkat lunak baru dan waktu sebuah pengembang perangkat lunak merilis patch untuk memperbaiki masalah. Patch : kode yang dirilis pengembang perangkat lunak yang memperbaiki kerentanan perangkat lunak tertentu. Serangan limpahan buffer ketika jumlah data yang dimasukan kedalam sebuah program lebih banyak daripada jumlah dari input buffer. Serangan injeksi (insersi) SQL menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi. Hal ini memungkinkan seorang hacker meyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki untuk dijalankan.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Serangan man-in-the middle (MITM) serangan hacker menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi diantara mereka. Masquerading atau impersonation adalah mendapatkan akses ke sebuah sistem dengan berpura - pura menjadi pengguna yang sah. Pelaku perlu mengetahui ID dan kata sandi pengguna yang sah. Piggybacking memiliki beberapa makna : Penggunaan secara diam - diam jaringan  WIFI tetangga; hal ini dapat dicegah dengan menyediakan fitur keamanan dalam jaringan nirkabel. Menyadap kedalam sebuah jalur komunikasi dan mengunci secara elektronik pengguna yang sah sebelum pengguna tersebut memasuki sistem yang aman. Seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menerobos pengendalian keamanan fisik seperti keypad, kartu identitas, atau pemindai identifikasi biometrik

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Pemecahan kata sandi (password cracking) adalah memasuki pertahanan sebuah sistem, mencuri file yang memuat kata sandi valid, mendeskripsinya, dan menggunakannya untuk mendapatkan akses atas program, file, dan data. War dialing adalah memprogram sebuah komputer untuk menghubungi ribuan sambungan telepon untuk mencari dial-up modem lines. Hacker menerobos ke dalam PC yang tersambung dengan modern dan mengakses jaringan yang terhubung. War driving adalah berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi. War rocketing adalah menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut yang mendeteksi jaringan nirkabel tidak aman. Phreaking adalah menyerang sistem telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencuri serta menghancurkan data.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Data diddling adalah mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk menghapus, mengubah, menambah atau memperbarui data sistem kunci yang salah. Kebocoran data (data leakage) adalah menyalin data perusahaan tanpa izin, seringkali tanpa meninggalkan indikasi bahwa ia telah disalin. Podslurping adalah menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan (iPod, flash drive) untuk mengunduh data tanpa izin dari sebuah komputer Teknik salami adalah pencurian sebagian kecil uang dari beberapa rekening yang berbeda

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Penipuan round-down yaitu memrintahkan komputer untuk mrmbulatkan seluruh perhitungan buang menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening pemprograman. Spionase ekonomi yaitu mencuri informasi, rahasia dagang, dan kekayaan intelektual Pemerasan dunia maya adalah ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan. Cyber-bullying yaitu menggunakan teknologi komputer untuk mendukung perilaku yang disengaja, berulang dan bermusuhan yang menyiksa, mengancam, mengusik, menghina dan mempermalukan atau membahayakan oranglain. Sexting adalah tukar menukar pesan teks dan gambar yang terang – terangan bersofat seksual dengan oranglain, biasanya menggunakan perantara telepon

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Terorisme internet yaitu menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi. Misinformasi Internet adalah menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan Ancaman email adalah ancaman dikirimkan kepada korban melalui e-mail. Ancaman biasanya memerlukan beberapa tindakan follow-up, seringnya mengakibatkan kerugian besar bagi korban Penipuan lelang internet adalah menggunakan situs lelang internet untuk menipu oranglain Penipuan pump-and-dump internet yaitu menggunakan internet untuk menaikan harga saham kemudiaan menjualnya.

SERANGAN KOMPUTER DAN TAKTIK PENYALAHGUNAAN Penjejalan situs adalah menawarkan situs gratis selama sebulan, mengembangkan situs tidak berharga dan membebankan tagihan telepon dari orang – orang yang menerima tawaran unutuk waktu berbulan – bulan, terlepas mereka ingin melanjutkan menggunakan situs tersebut atau tidak Pembajakan perangkat lunak adalah menyalin atau mendistribusikan perangkat lunak bethak cipta tanpa izin Penipuan klik adalah memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan periklanan

REKAYASA SOSIAL Merupakan teknik atau trik psikologis yang digunakan agar orang –orang yang mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik, atau logis kesebuah bangunan, komputer, server atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk mendapatkan data rahasia. Menetapkan prosedur dan kebijakan berikut dan melatih orang –orang untuk mengikutinya dapat membantu meminimalkan rekayasa sosial : Jangan pernah membiarkan orang –orang mengikuti anda kebangunan yang terlarang. Jangan log in ke komputer oranglain, terutama jika anda memiliki akses administrasi Jangan pernah memberikan informasi sensitif melalui telepon atau email Jangan pernah membagikan kata sandi atau ID pengguna Waspadalah bila orang yang tidak anda kenal berusaha mendapat akses melalui anda.

ISU DAN TEKNIK REKAYASA SOSIAL Pencurian identitas yaitu mengambil identitas seseorang, biasanya untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara ilegal, seperti nomor social security, nomor rekening bank atau kartu kredit. Pretexting merupakan menggunakan skenario ciptaan yang menciptakan legitimasi dalam pikiran target guna meningkatkan kecenderungan bahwa si korban akan membocorkan informasi atau melakukan sesuatu. Posing adalah menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambil melakukan penjualan, tetapi tidak pernah mengirimkan barang.

ISU DAN TEKNIK REKAYASA SOSIAL Phising adalah mengirimkan sebuah pesan elektronik seolah dari sebuah perusahaan yang sah, biasanya institusi keuangan dan meminta informasi atau verifikasi dari informasi serta sering memberikan peringatan mengenai konsekuensi negatif bila permintaan tersebut tidak dipenuhi. Carding adalah kegiatan yang dilakukan pada kartu kredit curian, termasuk melakukan pembelian kecil secara online untuk memastikan apakah kartu masih valid serta membeli dan menjual nomor kartu kredit curian. Pharming adalah mengarahkan lalu lintas situs web ke situs web palsu Evil twin adalah sebuah jaringan nirkabel dengan nama yang sama seolah mejadi sebuah titik akses nirkabel yang sah.

ISU DAN TEKNIK REKAYASA SOSIAL Typosquating atau pembajakan URL adalah menyiapkan situs web dengan nama sama sehingga pengguna membuat kekeliruan tipografis ketika memasukkan nama situs web yang akan dikirim ke situs yang tidak valid. Tabnapping adalah secara diam –diam mengubah tab dari browser yang dibuka untuk mendapatkan ID dan kata sandi pengguna, ketika korban masuk kembali ke dalam situs. Scavenging atau dumpster diving adalah mencari dokumen dan catatan untuk mendapatkan akses ke informasi rahasia. Metodenya meliputi pencarian kaleng sampah, kotak sampah komunal, dan tempat pembuangan sampah kota.

ISU DAN TEKNIK REKAYASA SOSIAL Bahu berselancar merupakan ketika pelaku mengintip melalui bahu seseorang di tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID pengguna dan kata sandi. Loop Lebanon merupakan menyisipkan lengan baju ke dalam ATM yang mencegah ATM mengeluarkan kartu. Pelaku berpura – pura menawarkan bantuan, mengecoh korban dengan memasukan PIN lagi. Sekalinya korban menyerah, pencuri mwngambil kartu dan menggunakan kartu serta PIN untuk melakukan penarikan. Skimming adalah penggesekan ganda kartu kredit pada terminal yang sah atau menggesekan kartu secara diam – diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu kredit untuk pengguna berikutnya.

ISU DAN TEKNIK REKAYASA SOSIAL Chipping adalah berpura – pura sebagai seorang jasa ahli dan menanamkan chip kecil yang merekam data transaksi pada sebuah pembaca kartu yang sah. Menguping adalah mendengarkan komunikasi prbadi atau menyadap kedalam transmisi data yang ditujukan kepada oranglain. Salah satu cara untuk memotong sinyal adalah dengan menyiapkan penyadapan.

MALWARE Malware adalah segala perangkat lunak yang digunakan untuk membahayakan Sebagian besar malware adalah hasil dari pemasangan atau penyuntikan oleh penyerang dari jarak jauh. Malware disebarkan menggunakan beberapa pendekatan, termasuk akses terhadap file, lampiran email dan kerentanan akses jarak jauh. Spyware adalah perangkat lunak yang secara diam – diam mengawasi dan mengumpulkan informasi pribadi mengenai pengguna dan mengirimkannya kepada oranglain, biasanya tanpa izin pengguna komputer.

MALWARE Adware adalah spyware yang menyebabkan iklan banner pada monitor mengumpulkan informasi mengenai penjelajah situs dan kebiasaan pengguna, dan mengirimkannya kepada pencipta adware, biasanya sebuah organisasi periklanan atau media. Perangkat lunak torpedo yaitu perangkat lunak yang menghancurkan malware saingan. Terkadang mengakibatkan “peperangan malware” diantara pengembang yang bersaing. Scareware merupakan perangkat lunak berbahaya tidak ada manfaat yang dijual menggunakan taktik menakut – nakuti.

MALWARE Ransomware yaitu perangkat lunak yang mengenkripsi program dan data seperti sebuah tebusan dibayarkan untuk menghilangkannya. Keylogger adalah perangkat lunak yang merekam aktivitas komputer seperti keystroke pengguna, email di kirim dan diterima, situs web yang dikunjungi dan partisipasi pada sesi obrolan. Trojan horse adalah satu set instruksi komputer yang tidak diotorisasi dalam sebuah program yang sah dan berfungsi dengan semestinya. Bom waktu / bom logika adalah sebuah program yang tidak aktif hingga beberapa keadaan atau suatu waktu tertentu memicunya.

MALWARE Pintu jebakan / pintu belakang adalah sebuah set instruksi komputer yang memungkinkan pengguna untuk memotong kendali normal sistem. Packet sniffer merupakan program yang menangkap data dari paket – paket informasi saat mereka melintasi jaringan internet atau perusahaan Program Steganografi adalah sebuah program yang dapat menggabungkan informasi rahasia dengan sebuah file yang terlihat tiak berbahaya, kata sandi menglindungi file, mengirimkan kemana pun didunia, dimana file dibuka dan informasi rahasia disusun ulang.

MALWARE Rookit adalah sebuah cara penyamaran komponen sistem dan malware dari sistem pengoperasian dan program lain, dapat juga memodifikasi sistem pegoperasian. Superzapping adalah penggunaan tanpa izin atas program sistem khusus untuk memotong pengendalian sistem reguler dan melakukan tindakan ilegal. Virus adalah sebuah segmen dari kode yang dapat dieksekusi yang melekatkan dirinya ke sebuah file, program atau beberapa komponen sistem lainnya yang dapat dieksekusi.

MALWARE Worm adalah program komputer replikasian diri yang serupa dengan virus dengan beberapa pengecualian sebagai berikut : Virus adalah segmen dari kode yang disembunyikan didalam atau melekat pada sebuah program host atau file yang dapat dieksekusi, sedangkan sebuah worm adalah program yang berdiri sendiri. Virus memerlukan seorang manusia untuk melakukan sesuatu agar virus mereplikasi dirinya, sedangkan sebuah worm tidak dan ia secara aktif mencoba untuk mengirim salinan dirinya keperangkat jaringan lain. Worm membahayakan jaringan, sedangkan virus menginfeksi atau merusak file atau data dalam komputer sasaran.

MALWARE Bluesnarfing adalah mencuri daftar kontak, gambar, dan data lain dengan menggunakan catat dalam aplikasi bluetooth Bluebugging adalah mengambil kendali atas telepon oranglain untuk membuat atau mendengarkan panggilan, mengirim atau membaca pesan teks, menghubungkan ke internet, meneruskan panggilan korban dan menghubungi nomor yang membebankan tarif.