Teknik PENIPUAN dan penyalahgunaan komputer PDF

Teknik Penipuan dan Penyalahgunaan Komputer A. ANCAMAN SIA Ancaman-ancaman atas Sistem Informasi Akuntansi (SIA), meliputi : 1. Kehancuran karena bencana alam dan politik, seperti : kebakaran atau panas berlebih, banjir, gempa bumi, badai angin, peperangan. 2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti : kegagalan hardware, kesalahan atau kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi listrik, kesalahan pengiriman data yg tidak terdeteksi. 3. Tindakan yang tidak disengaja, seperti : kecelakaan yang disebabkan oleh kesalahan manusia, kesalahan atau penghapusan karena ketidaktahuan, hilangnya atau salah letaknya data, kesalahan pada logika sistem, sistem yang tidak memenuhi kebutuhan perusahaan atau tidak mampu menangani tugas yang diberikan. 4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer, seperti : sabotase, penipuan melalui komputer, penyalahgunaan aset, pencurian.  Sabotase merupakan tindakan yang disengaja di mana tujuannya untuk menghancurkan sistem atau beberapa komponennya. B. PENIPUAN 1. Definisi Fraud Kecurangan (fraud) merupakan penipuan (beberapa dan semua sarana) yang digunakan untuk mendapatkan keuntungan pribadi atau untuk merugikan orang lain. Dalam hukum pidana, kecurangan adalah kejahatan atau pelanggaran yang dengan sengaja menipu orang lain dengan maksud untuk merugikan mereka, biasanya untuk memiliki sesuatu/harta benda atau jasa ataupun keuntungan dengan cara tidak adil/curang. Kecurangan dapat mahir melalui pemalsuan terhadap barang atau benda. Dalam hukum pidana secara umum disebut dengan “pencurian dengan penipuan”, “pencurian dengan tipu daya/muslihat”, “pencurian dengan penggelapan dan penipuan” atau hal serupa lainnya. Secara legal, untuk tindakan dikatakan curang maka harus ada : a. Pernyataan, representasi, atau pengungkapan yang salah; b. Fakta material, yaitu sesuatu yang menstimulasi seseorang untuk bertindak; c. Niat untuk menipu; 1 d. Kepercayaan yang dapat dijustifikasi (dibenarkan); e. Pencederaan atau kerugian yang diderita oleh korban. Dalam hal ini para pelaku penipuan sering kali dianggap sebagai kriminal kerah putih (whitecollar criminals), kejahatan yang dilakukan biasanya digunakan untuk menipu atau memperdaya, dan biasanya melibatkan pelanggaran kepercayaan/keyakinan. Korupsi (Corruption) merupakan perilaku tidak jujur yang sering kali melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis. Jenis fraud ini yang paling sulit dideteksi karena menyangkut kerja sama dengan pihak lain seperti suap dan korupsi, di mana hal ini merupakan jenis yang terbanyak terjadi di negara-negara berkembang yang penegakan hukumnya lemah dan masih kurang kesadaran akan tata kelola yang baik sehingga faktor integritasnya masih dipertanyakan. Fraud jenis ini sering kali tidak dapat dideteksi karena para pihak yang bekerja sama menikmati keuntungan (simbiosis mutualisma). Termasuk di dalamnya adalah penyalahgunaan wewenang/konflik kepentingan (conflict of interest), penyuapan (bribery), penerimaan yang tidak sah/ilegal (illegal gratuities), dan pemerasan secara ekonomi (economic extortion). Sedangkan Penipuan investasi merupakan misrepresentasi atau meninggalkan fakta-fakta untuk mempromosikan investasi yang menjanjikan laba fantastik dengan hanya sedikit atau bahkan tidak ada risiko. 2. Klasifikasi/Jenis Penipuan dalam Bisnis a. Penyalahgunaan/Penyimpangan atas aset (Asset Misappropriation); Asset misappropriation meliputi penyalahgunaan/pencurian aset atau harta perusahaan atau pihak lain oleh karyawan. Ini merupakan bentuk fraud yang paling mudah dideteksi karena sifatnya yang tangible atau dapat diukur/dihitung (defined value). Faktor yang lebih berkontribusi dalam sebagian besar penyalahgunaan adalah tidak adanya pengendalian internal dan/atau kegagalan menjalankan pengendalian internal yang sudah ada. Penyalahgunaan umumnya memilki elemen dan karakteristik yang penting. Para pelaku :  Memperoleh kepercayaan atau keyakinan dari entitas yang ditipu  Menggunakan informasi yang penuh dengan tipu musilhat, licik , atau meyesatkan untuk melakukan penipuan  Menyembunyikan penipuan dengan memalsukan catatan atau informasi lainnya  Jarang menghentikan penipuan secara sukarela  Melihat begitu mudah untuk mendapatkan uang ekstra , kebutuhan atau ketamakan akan mendorong orang untuk melanjutkannya,  Menghabiskan uang didapatkan secara tidak benar 2  Menjadi tamak dan mengambil sejumlah uang yang lebih besar pada jangka waktu yang lebih sering akan membuat resiko terungkapnya peniupuan meningkat  Timbulnya kecerobohan dan terlalu percaya diri selama berlalunya waktu b. Kecurangan Pelaporan Keuangan Pernyataan palsu atau salah pernyataan (Fraudulent Statement) meliputi tindakan yang dilakukan oleh pejabat atau eksekutif suatu perusahaan atau instansi pemerintah untuk menutupi kondisi keuangan yang sebenarnya dengan melakukan rekayasa keuangan (financial engineering) dalam penyajian laporan keuangannya untuk memperoleh keuntungan atau mungkin dapat dianalogikan dengan istilah window dressing. Sedangkan kecurangan pelaporan keuangan (fraudulent financial reporting) merupakan perilaku yang disengaja atau ceroboh, apaka dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan menyesatkan secara material. 3. SAS No. 99 : Tanggung Jawab Auditor Untuk Mendeteksi Penipuan Statement on Auditing Standards (SAS) No. 99, Consideration of Fraud in a Financial Statement Audit, mensyaratkan auditor untuk : a. Memahami penipuan; b. Mendiskusikan risiko salah saji kecurangan yang material; c. Memperoleh informasi; d. Mengidentifikasi, menilai, dan merespons risiko; e. Mengevaluasi hasil pengujian auditnya; f. Mendokumentasikan dan mengkomunikasikan temuan; g. Menggabungkan fokus teknologi. C. SIAPA YANG MELAKUKAN PENIPUAN DAN MENGAPA Para peneliti membandingkan karakteristik psikologis dan demografis tiga kelompok orang : Sedikit perbedaan • Kejahatan kerah putih • Masyarakat umum • Kejahatan kekerasan Perbedaan yang signifikan Karakteristik yang umum pada pelaku fraud tersebut, antara lain : 3  Sebagian besar dari mereka membelanjakan menginvestasikan atau menabungnya. penghasilan tidak sahnya, bukan  Sekali mereka melakukan kecurangan, sangatlah sulit bagi mereka untuk berhenti.  Mereka biasanya mulai bergantung pada penghasilan ekstra tersebut.  Para pelaku computer fraud (kecurangan komputer) cenderung berumur lebih muda dan memiliki lebih banyak pengalaman dan keahlian komputer.  Beberapa pelaku computer fraud lebih termotivasi oleh rasa penasaran dan tantangan untuk “mengalahkan sistem”.  Pelaku lainnya melakukan computer fraud untuk mendapatkan status yang lebih tinggi di antara komunitas pemakai komputer. Segitiga Penipuan Tiga kondisi yang biasanya melatarbelakangi terjadinya fraud : 1. Tekanan atau motif Dorongan atau motivasi seseorang untuk melakukan penipuan.  Tekanan-tekanan keuangan, meliputi : gaya hidup melebihi kemampuan, tingginya hutang pribadi, pendapatan tidak cukup, rendahnya tingkat kredit, besarnya kerugian keuangan, besarnya hutang judi.  Tekanan-tekanan yang berhubungan dengan pekerjaan, meliputi : gaji yang rendah, tidak adanya pengakuan atas kinerja, ketidakpuasan atas pekerjaan, rasa takut akan kehilangan pekerjaan, rencana bonus yang terlalu agresif.  Tekanan-tekanan lainnya, seperti : tantangan, tekanan keluarga/rekan kerja, ketidakstabilan emosi, kebutuhan akan kekuasaan, harga diri atau ambisi yang berlebihan. Tekanan yang dapat menyebabkan penipuan/penyalahgunaan oleh karyawan yaitu terkait dengan keuangan, emosional, dan gaya hidup. Sedangkan tekanan yang dapat menyebabkan penipuan laporan keuanhan yaitu berkaitan dengan karakteristik manajemen, kondisi industri, dan keuangan. 2. Peluang/Kesempatan Peluang adalah kondisi atau situasi yang memungkinkan seseorang/organisasi untuk melakukan dan menutupi suatu tindakan yang tidak jujur, serta mengubahnya menjadi 4 keuntungan pribadi. Peluang yang paling umum menimbulkan fraud, seringnya berasal dari kegagalan perusahaan untuk menjalankan sistem pengendalian internalnya. Pada proses fraud terdapat tiga langkah/karakteristik, yaitu: (1)pencurian sesuatu yang berharga  (2)konversi ke uang tunai  (3)penyembunyian. Untuk menyembunyikan pencurian aset perusahaan, dapat dilakukan dengan cara : a. membebankan item yang dicuri ke akun beban/rekening biaya (contoh: biaya entertaint); b. menggunakan skema lapping Dalam skema gali lubang tutup lubang (lapping), pelaku mencuri uang yang diterima dari pelanggan A untuk membayar piutangnya. Dana yang diterima di kemudian hari dari pelanggan B akan digunakan untuk menutup saldo pelanggan A, dst. c. menggunakan skema cek kiting  Di dalam skema perputaran (kitting), pelaku menutupi pencuriannya dengan cara menciptakan uang melalui transfer uang antar bank.  Pelaku fraud menyetorkan sebuah cek dari bank A ke bank B, lalu menarik uang.  Ketika ada dana di bank A tidak cukup untuk menutup cek, maka pelaku memasukkan cek dari bank C ke bank A sebelum ceknya ke bank B dikliring.  Ketika bank C juga tidak memiliki dana yang cukup, cek (uang) harus dimasukkan ke bank C sebelum ceknya ke bank A dikliring.  Skema ini akan terus berputar dengan proses pembuatan cek dan penyerahan cek, selama dibutuhkan untuk menghindari cek-cek tersebut ditolak. 3. Rasionalisasi Kebanyakan pelaku fraud mempunyai alasan atau rasionalisasi yang membuat mereka merasa perilaku yang ilegal tersebut sebagai sesuatu yang wajar (pembenaran perilaku ilegal), antara lain meliputi :  Pelaku hanya meminjam aset yang dicuri;  Pelaku tidak melukai seseorang, hanya sistem computer (merasa tindakan yang dilakukan tidak serius);  Pelaku meyakini sebab/alasan yang dia miliki itu baik;  Pelaku meyakini bahwa orang lain juga melakukannya;  Tidak pernah seorangpun yang akan mengetahui. 5 D. PENIPUAN KOMPUTER Departemen Kehakiman Amerika Serikat mendefinisikan Computer Fraud (Kecurangan Komputer) sebagai tindak ilegal apapun yang membutuhkan pengetahuan teknologi komputer untuk melakukan tindakan awal fraud, penyelidikan, atau pelaksanaannya. Beberapa contoh kecurangan komputer itu, antara lain :  Pencurian, penggunaan, akses, modifikasi, penyalinan, dan perusakan software, hardware, atau data secara tidak sah;  Pencurian uang dengan mengubah catatan komputer atau pencurian waktu komputer;  Penggunaan atau konpirasi untuk menggunakan sumber daya komputer dalam melakukan tindak pidana;  Keinginan untuk secara ilegal mendapatkan informasi atau properti berwujud melalui penggunaan komputer; 1. Meningkatnya Penipuan Komputer Organisasi-organisasi yang melacak computer fraud memperkirakan bahwa 80% usaha di Amerika Serikat telah menjadi korban paling tidak satu insiden computer fraud. Tidak ada seorangpun yang mengetahui dengan pasti bagaimana perusahaan kalah menghadapi computer fraud. Sistem kompputer secara khusus rentan terhadap alasan-alasan sebagai berikut :  Orang yang masuk dalam database perusahaan dapat mencuri, menghancurkan , atau mengganti sejumlah besar data dalam waktu yang sangat singkat, dan meninggalkan sedikit bukti  Penipuan komputer dapat lebih sulit dideteksi dibandingkan penipuan lain  Beberapa organasasi memberikan akses kepada karyawan, pelanggan, dan pemasok ke sistem mereka  Program komputer perlu dimodifikasi secara ilegal hanya sekali untuk mengoprasikan program yang tidak sesuai selama program tersebut digunakan  Komputer pribadi sangat rentan.  Sistem komputer menghadapi tantangan unik Beberapa faktor yang mempengaruhi peningkatan penipuan komputer antara lain :  Tidak setiap orang setuju tentang hal-hal yang termasuk computer fraud.  Banyak computer fraud yang tidak terdeteksi.  Sebagian besar jaringan memiliki tingkat keamanan yang rendah. 6  Banyak halaman dalam internet yang memberikan instruksi per langkah tentang bagaimana memulai kejahatan dan melakukan penyalahgunaan komputer.  Penegakan hukum tidak mampu mengikuti pertumbuhan jumlah computer fraud. 2. Klasifikasi Penipuan Komputer a. Penipuan input Mengganti /memalsukan input komputer merupakan cara paling sederhana dan umum untuk melakukan penipuan komputer. Keterampilan yang dibutuhkan sedikit, pelaku hanya perlu memahami cara kerja sistem operasi, sehingga dapat menutupi jejaknya. b. Penipuan prosesor Penipuan pada tahap proses merupakan penggunaan sistem yang tidak sah, termasuk pencurian waktu dan layanan komputer. c. Penipuan instruksi komputer Penipuan instruksi komputer termasuk merusak software perusahaan, menyalin, menggunakan, dan mengembangkan software secara ilegal serta untuk aktivitas ilegal. d. Penipuan data Penipuan data meliputi tindakan menggunakan, membahayakan data perusahaan secara ilegal. menyalin, mencari, atau e. Penipuan output Jika tidak diamankan secara benar, tampilan/cetakan output dapat dicuri, disalin, atau disalahgunakan. Pelaku penipuan menggunakan komputer untuk memalsukan output yang terlihat otentik, misalnya cek pembayaran. E. MENCEGAH DAN MENDETEKSI PENIPUAN DAN PENYALAHGUNAAN Ukuran bahwa potensial fraud dapat menurun, dipengaruhi beberapa faktor antara lain : 1. Membuat Fraud Lebih Jarang atau Tidak Terjadi • Menciptakan budaya organisasi yang menekankan integritas dan komitmen untuk nilai etis dan kompetensi; 7 • Mengadopsi struktur organisasi, filosofi manajemen, gaya operasional, dan risiko yang meminimalkan kemungkinan penipuan; • Membutuhkan pengawasan komite audit yang aktif, terlibat, dan independen. • Menggunakan praktik mempekerjakan dan memecat pegawai yang semestinya; • Mengatur para pegawai yang merasa tidak puas; • Melatih para pegawai mengenai standar keamanan dan pencegahan terhadap fraud; • Mengelola dan menelusuri lisensi software; • Meminta menandatangani perjanjian kerahasiaan kerja. 2. Meningkatkan Kesulitan Dalam Melakukan Fraud • Mengembangkan sistem pengendalian internal yang kuat; • Memisahkan tugas; • Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan; • Membatasi akses ke perlengkapan komputer dan file data; • Mengenkripsi data dan program. 3. Memperbaiki Metode Pendeteksian • Mengamankan saluran telepon dan sistem dari virus; • Mengendalikan data yang sensitive; • Mengendalikan komputer laptop; • Mengawasi informasi hacker. 4. Mengurangi kerugian akibat Fraud • Tetap menggunakan jaminan asuransi yang memadai; • Menyimpan salinan cadangan program dan file data pada lokasi luar kantor yang aman; • Mengembangkan rencana kontinjensi dalam hal kejadian fraud; • Menggunakan software untuk mengawasi kegiatan sistem dan untuk memulihkan diri dari akibat fraud. 5. Menuntut dan Memenjarakan Pelaku Fraud Sebagian besar fraud tidak dilaporkan dan tidak dituntut untuk beberapa alasan berikut : • Banyak kasus fraud yang belum terdeteksi; • Perusahaan segan melaporkan kejahatan komputer. Kendala/tantangan dalam menghadapai Fraud antara lain : 8  Petugas penegak hukum dan pengadilan sibuk sekali dengan kejahatan kekerasan, sehingga mereka hanya punya waktu sedikit untuk kasus Fraud (Kecurangan) yang tidak mengandung kekerasan fisik.  Fraud adalah hal yang sulit, berbiaya mahal, dan memakan waktu lama untuk diselidiki dan dituntut.  Banyak petugas penegak hukum, pengacara dan hakim kurang ahli dalam komputer yang dibutuhkan untuk menyelidiki, menuntut, dan mengevaluasi kejahatan komputer. F. SERANGAN DAN PENYALAHGUNAAN KOMPUTER Beberapa Teknik Kecurangan dan Penyalahgunaan Komputer (Computer Fraud and Abuse Techniques), antara lain : 1. Menjebol (cracking) 2. Mengacak data (data diddling)  mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah. 3. Kebocoran data (data leakage)  menyalin data perusahaan tanpa ijin, sering kali tanpa meninggalkan indikasi bahwa ia telah disalin. 4. Podslurping  menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan seperti iPod atau flash drive, untuk mengunduh data tanpa ijin dari sebuah komputer. 5. Serangan penolakan pelayanan (denial of service attack - DoS)  serangan komputer dimana penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup. 6. Spamming  secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat bersamaan, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu. Serangan kamus (dictionary attack) / serangan panen direktori  menggunakan software khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong, jika pesan tidak kembali maka biasanya alamat e-mail tersebut valid sehingga akan ditambahkan pada daftar alamat e-mail pelaku spamming. 9 7. Splog  spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya. 8. Spoofing  mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolaholah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima. Beberapa bentuk spoofing antara lain : e-mail spoofing, caller ID spoofing, IP address spoofing, Address Resolution Protocol (ARP) spoofing, SMS spoofing, web-page spoofing, dan DNS spoofing. 9. Zero-day attack / zero-hour attack  serangan di antara waktu kerentanan sebuah software baru ditemukan dan merilisnya sembarangan, serta saat sebuah pengembang software merilis patch (kode yang dirilis pengembang software) untuk memperbaiki masalah. 10. Cross-site scripting (XSS)  kerentanan di halaman situs dinamis yang memungkinkan penyerang menerobos mekanisme keamanan browser dan memerintahkan korbannya untuk mengeksekusi kode, mengira bahwa itu berasal dari situs yang dikehendaki. 11. Serangan limpahan buffer (buffer overflow attack)  saat jumlah data yang dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input buffer. Limpahan input menimpa instruksi komputer berikutnya, menyebabkan sistem rusak. 12. Serangan injeksi (insersi) SQL (SQL injection/insertion attack)  menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi. 13. Serangan man in the middle (MITM attack)  hacker menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi di antara mereka. 14. Masquerading / impersonation  mengakses ke sebuah sistem dengan berpura-pura menjadi pengguna yang sah, pelaku perlu tahu ID dan password pengguna yang sah. 15. Pemalsuan dan Ancaman E-mail (e-mail forgery and threats)  ancaman dikirim ke korban melalui e-mail, biasanya perlu beberapa tindakan follow-up dan mengakibatkan kerugian besar bagi korban. 10 16. Penipuan lelang internet  menggunakan situs lelang internet untuk menipu orang lain. 17. Penipuan pump-and-pump internet  menggunakan internet untuk menaikkan harga saham kemudian menjualnya. 18. Penipuan klik  memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan periklanan. 19. Penjelasan situs (web cramming)  menawarkan situs gratis selama sebulan, mengembangkan situs tak berharga, dan membebankan tagihan telepon dari klien yang menerima tawaran selama berbulan-bulan. 20. Pembajakan software (software piracy)  menyalin atau mendistribusikan software berhak cipta tanpa ijin. 21. Melanggar masuk (hacking)  akses, modifikasi, atau penggunaan yang tidak sah atas perangkat elektronik atau beberapa elemen dalam sistem komputer. 22. Informasi yang salah di internet - Terorisme Internet  menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi. 23. Misinformasi internet  menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan. 24. Menyusup (piggybacking)  menyadap jalur komunikasi dan mengunci secara elektronik pengguna yang sah sehingga tanpa sadar membawa pelaku masuk ke sistem; penggunaan diam-diam atas wifi tetangga; seseorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik. 25. Penjebolan Password (password cracking)  saat penyusup memasuki pertahanan sebuah sistem, mencuri file yang berisikan kata sandi valid, mendekripsinya, dan menggunakannya untk mengakses program, file, dan data. 26. War dialing  memrogram sebuah komputer untuk menghubungi ribuan sambungan telepon untk mencari dial-up modem lines, yaitu dengan menerobos ke dalam PC yang tersambung dengan modem kemudian mengakses jaringan yang terhubung. 11 War driving : berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi. War rocketing : menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut untuk mendeteksi jaringan nirkabel tidak aman. 27. Phreaking  penyerangan sistem telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencari, sera menghancurkan data. 28. Teknik salami (salami technique)  pencurian sebagian kecil uang dari beberapa rekening yang berbeda. 29. Pembulatan ke bawah (round-down)  memerintahkan komputer untuk membulatkan seluruh perhitungan bunga menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening pemrogram. 30. Spionase ekonomi (economic espionage)  mencari informasi, rahasia dagang, dan kekayaan intelektual. 31. Pemerasan dunia maya (cyber-extortion)  ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan. 32. Cyber-bullying  menggunakan teknologi komputer untuk mendukung perilaku disengaja, berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain. 33. Sexting  tukar-menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain, biasanya dengan perantara telepon. 34. Pembajakan Software (hijacking)  pengambilan kendali atas komputer orang lain untuk melakuakn aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya. Botnet (robot network) : sebuah jaringan komputer terbajak yang dan berbahaya yang digunakan untuk menyerang sistem atau menyebarkan malware. Zombie : sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan internet. 12 Bot herder : seseorang yang menciptakan botnet dengan memasangkan software pada pc yang merespon instruksi elektronik milik bot herder. G. REKAYASA SOSIAL Rekayasa sosial (social engineering) merupakan teknik atau trik psikologis yang digunakan agar orang-orang memenuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan. Hal ini biasanya untuk mendapatkan informasi yang dibutuhkan untuk memperoleh data rahasia. Tujuh sifat manusia yang dimanfaatkan agar seseorang bersedia mengungkapkan atau melakukan tindakan tertentu, menurut Cisco, yaitu : belas kasihan, keserakahan, daya tarik, kemalasan, kepercayaan, urgensi, dan kesombongan. Beberapa isu dan teknik rekayasa sosial, antara lain : 1. Pencurian identitas 9. Typosquating 2. Pretexting 10. Tabnapping 3. Posing 11. Pencarian (scavenging) 4. Phishing 12. Shoulder surfing 5. Phishing suara (vishing) 13. Loop Lebanon (Lebanese looping) 6. Carding 14. Skimming 7. Pharming 15. Chipping 8. Evil twin 16. Menguping (eavesdropping) H. MALWARE Malware adalah segala software yang digunakan untuk tujuan yang membahayakan. Sebagian besar malware merupakan hasil pemasangan atau penyutikan oleh penyerang dari jarak jauh. Malware disebarkan dengan beberapa pendekatan termasuk akses bersama file, lampiran email, dan kerentanan akses jarak jauh. Beberapa teknik malware yaitu : 1. Spyware 3. Torpedo software 2. Adware 4. Scareware 13 5. Ransomware 6. Keylogger 7. Bom waktu logika (logic time bomb) 8. Menyamar atau Meniru 9. Serangan cepat (superzapping) 10. Pintu jebakan (trap door) 11. Kuda troya (trojan horse) 12. Virus 13. Cacing (worm) 14. Packet sniffer 15. Program steganografi 16. Rootkit 17. Bluesnarfing 18. Bluebugging 14 I. PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Pengauditan internal merupakan aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan menigkatkan efektivitas dan efisiensi serta mencapai tujuan organisasi. Audit keuangan adalah pemeriksaan keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntans, dan laporan keuangan. Audit sistem informasi (internal control) merupakan audit atas pengendalian umum dan aplikasi atas sebuah sistem informasi untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset. Jenis-jenis audit: 1. Financial audit, memeriksa keterandalan dan integritas dari transaksi keuangan, catatan akuntansi, dan laporan keuangan. 2. Operational audit, terkonsen pada efisiensi dan efektivitas dengan semua sumberdaya yang digunakan untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan prosedur dengan peraturan yang ditetapkan. 3. Compliance audit, terkonsentrasi pada cakupan undang-undang, peraturan pemerintah, pengendalian dan kewajiban badan eksternal lain yang telah diikut. 4. Project manajement and change control audit, (dulu dikenal sebagai suatu pengembangan sistem audit) terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap pengembangan sistem siklus kehidupan yang sedang diselenggarakan. 5. Internal control audit, terkonsentrasi pada evaluasi struktur pengendalian internal Financial audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi keuangan, aliran kas dan hasil kinerja perusahaan. Termasuk di dalamnya audit sistem informasi, untuk memeriksa pengendalian atas SIA. 6. Fraud audit adalah nonrecurring audit (audit investigatif) yang dilaksanakan untuk mengumpulkan bukti untuk menentukan apakah sedang terjadi, telah terjadi atau akan terjadi kecurangan. Dan penyelesaian hal sesuai dengan pemberian tanggungjawab. 15 J. SIFAT PENGAUDITAN Tinjauan menyeluruh proses audit : 1. Perencanaan audit a. Menetapkan lingkup dan tujuan b. Mengatur tim audit c. Memeriksa hasil audit sebelumnya d. Mengidentifikasi faktor-faktor risiko e. Menyiapkan program audit 2. Pengumpulan bukti audit a. Observasi atas aktivitas operasi b. Pemeriksaan atas dokumentasi c. Diskusi dengan para pegawai d. Kuesioner e. Pemeriksaan fisik atas aset f. Konfirmasi melalui pihak ketiga g. Mengulang prosedur yang ada h. Vouching atas dokumen sumber i. Tinjauan analitis j. Penarikan sampel audit 3. Pengevaluasian bukti a. Menilai kualitas pengendalian internal b. Menilai keterandalan informasi c. Menilai kinerja pengoperasian d. Mempertimbangan kebutuhan akan bukti tambahan e. Mempertimbangkan faktor-faktor risiko 16 f. Mempertimbangkan faktor-faktor materialitas g. Mendokumentasikan temuan-temuan audit 4. Pengkomunikasian hasil audit a. Memformulasikan kesimpulan audit b. Mengembangkan rekomendasi bagi manajemen c. Menyiapkan laporan audit d. Menyajikan hasil audit ke manajemen K. AUDIT SISTEM INFORMASI Tujuan audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem, yaitu meliputi hal-hal sebagai berikut : 1. Keamanan sistem informasi menyeluruh  melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorosasi. 2. Pengembangan dan akuisisi program  sesuai otorosasi umum dan spesifikasi manajemen. 3. Modifikasi program  sesuai otorosasi dan persetujuan manajemen. 4. Pemrosesan komputer  proses transaksi, file, laporan, catatan, dll tepat dan lengkap. 5. Data sumber  penanganan data yang tidak tepat/ilegal berdasarkan kebijakan manajerial. 6. File data  tepat, lengkap, rahasia. L. PERANGKAT LUNAK AUDIT Computer-assisted audit techniques (CAATs) merupakan software audit yang menggunakan spesifikasi yang disediakan oleh auditor untk menghasilakna sebuah program untuk menjalankan fungsi audit, sehingga akan mengotomastiskan/ menyederhanakan proses audit. Perangkat ini sering disebut Generalized audit software 17 (GAS), contoh software nya antara lain Audit Control Language (ACL), dan Interactive Data Extraction and Analysis (IDEA). CAATs sangat sesuai untuk memeriksa file data yang besar dalam mengidentifikasi catatan yang memerlukan pengawasan audit lebih jauh. Misal pada perusahaan yang memiliki proses rumit, operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem. Contoh penggunaan CAATs antara lain :  Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu;  Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file;  Merangkum, menyortir, dan menyaring data. M. AUDIT OPERASIONAL SIA Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem informasi dan laporan keuangan, perbedaan mendasar hanya pada lingkup audit.  Audit sistem informasi ditujukan pada pengendalian internal;  Audit keuangan ditujukan atas output sistem;  Audit operasional meliputi seluruh aspek atas manajemen sistem, dan tujuannya termasuk dalam mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan. Tahap audit operasional : 1. Perencanaan audit : lingkup dan tujuan audit ditetapkan, persiapan tinjauan sistem, persiapan program audit tentatif; 2. Pengumpulan bukti : memeriksa kebijakan dan dokumentasi operasi, konfirmasi prosedur-prosedur, observasi fungsi dan aktivitas operasi, memeriksa rencana serta laporan keuangan dan operasional, menguji ketepatan informasi operasi, menguji pengendalian; 3. Pengevaluasian bukti : mengukur sistem terhadap salah satu sistem yang mengikuti prinsip-prinsip manajemen yang terbaik; 4. Mendokumentasikan temuan-temuan dan kesimpulannya; 5. Mengkomunikasikan hasil audit kepada manajemen.

18