Apa itu social engineering atau rekayasa sosial? Istilah ini mungkin saja masih asing bagi sebagian orang. Tapi kalau soal pembobolan akun berkedok petugas perbankan atau semacamnya, Mama sudah banyak mendengar dong?
Seorang teman menceritakan kesialannya jadi korban penipuan. Ketika sedang sibuk menyelesaikan tenggat pekerjaannya, ia menerima panggilan telepon dari nomor yang tidak dikenal. Penelepon mengaku dari sebuah bank. Gaya bicaranya meyakinkan sekali. Merasa dirinya sebagai nasabah, ia melanjutkan pembicaraan itu. Katanya, bank sedang melakukan perubahan sistem yang membuat nasabah harus membayar rutin untuk sebuah layanan perbankan. Jika tidak bersedia tidak apa-apa, asal bersedia mengonfirmasi beberapa hal.
Yang terjadi selanjutnya ialah rangkaian pembicaraan yang ia tak ingat betul karena di kepalanya juga sedang memikirkan tenggat pekerjaan yang semakin mepet. Si penelepon menanyakan sejumlah data dan ia pun enteng saja memberikan data tersebut, termasuk permintaan saat dimintai username dan password untuk mengakses rekening banknya. Ia hanya ingin cepat-cepat menyelesaikan sambungan telepon itu.
Tidak lama setelah pembicaraan selesai, ia menerima notifikasi telah terjadi penarikan dana dari rekeningnya. Isi rekeningnya terkuras habis. Dia baru sadar telah menjadi korban penipuan. Alamak!
Inilah salah satu contoh penipuan dengan menggunakan teknik social engineering atau rekayasa sosial. Pelaku memanipulasi korbannya sehingga menyerahkan berbagai informasi pribadi yang penting sehingga pelaku bisa mendapatkan akses ke akun korban, termasuk rekening perbankan.
Dosen Fakultas Ilmu Kompiter Universitas Brawijaya Fariz Andri Bakhtiar menjelaskan, rekayasa sosial merupakan metode yang tidak membutuhkan keterampilan teknis apapun terkait komputer. “Keahlian tersebut cenderung tetap valid sepanjang masa, karena yang ‘di-hack’ bukanlah sistem terkomputerisasi, melainkan manusianya,” katanya.
Pelaku menjalankan aksinya dengan mengambil kepercayaan korbannya. Social engineering dilakukan dengan memainkan sisi psikologi korban. Pelaku social engineering memangsa harapan, keserakahan, kelengahan, ketakutan, keterpaksaan, dan rendahnya kesadaran korban. Waspadai jika pelaku menggiring kita kepada situasi mendesak, seperti “harus segera transfer agar anak yang kecelakaan dapat ditangani”, “harus segera kirim data OTP (one time password) atau hadiah hangus”. Jangan pula mudah percaya dengan kabar yang terlalu indah (too good to be true). Jangan mudah terpancing, beri kesempatan diri berpikir jernih.
Riset dari Center for Digital Society (CfDS) Universitas Gadjah Mada menunjukkan, modus penipuan dengan teknik rekayasa sosial ini mengalami perkembangan. Data riset ini diambil saat sebelum financial technology (fintech) marak digunakan yaitu sekitar tahun 2013-2017 dan setelah fintech populer pada tahun 2018-2019.
Sebelum era fintech, penipuan yang kerap terjadi misalnya berkedok undian berhadiah, mama minta pulsa, peretasan akun, sampai pengambilan data pribadi melalui SMS, telepon, maupun media sosial.
Pada 2018 mulai marak penipuan rekayasa sosial yang menargetkan pengguna fintech. Contohnya penipuan yang berusaha mendapatkan kode OTP (one time password) melalui SMS maupun telepon, memanfaatkan fitur call forwarding dan sebagainya.
Berdasarkan kajian CfDS itu, terdapat 5 jenis penipuan dengan teknik rekayasa sosial yang paling umum ditemukan di Indonesia, yaitu:
1. Phishing
Istilah ini berasal dari kata fishing yang artinya memancing. Pelakunya berusaha memancing korban untuk mengklik link tertentu, mengunduh malware, atau memberikan data secara sukarela tanpa menyadari bahaya di baliknya.
Modus yang sering dilakukan antara lain melalui pemasangan tautan/link di situs web, media sosial, atau email, yang memancing agar diklik oleh calon korban. Korban yang mengklik link tersebut bisa jadi akan diarahkan untuk mengunduh bahkan menginstal malware di perangkatnya. Biasanya serangan phishing disebarkan secara masif dan terbuka dengan harapan menjaring sebanyak mungkin korban.
2. Phone scams
Pelaku melancarkan aksinya melalui telepon. Modusnya bisa bermacam-macam, misalnya permintaan melakukan pembayaran di luar platform, meminta OTP, atau penelepon yang sengaja membuat panik dan mentransfer sejumlah uang karena ada saudara yang mengalami kecelakaan atau sedang ditahan di kantor polisi.
3. SMShing
SMS mama minta pulsa salah satu contoh yang sempat populer. Meski sudah terbongkar, penipuan lewat SMS ini terus terjadi menggunakan modus-modus baru. Salah satunya ialah SMS menang undian berhadiah jutaan rupiah.
4. Impersonation
Impersonation adalah modus penipuan yang mengatasnamakan seseorang atau institusi untuk mengumpulkan informasi. Bisa mengaku sebagai public figure, e-commerce, dan sebagainya. Salah satu contoh yang banyak terjadi belakangan ialah penipuan mengatasnamakan artis atau youtuber yang sering mengadakan giveaway.
5. Pretexting
Pelaku biasanya membuat skenario yang terlihat baik bagi targetnya. Pelaku mencoba untuk mendapatkan informasi pribadi korban atau target. Biasanya menyasar pengguna dompet digital (e-wallet) yang bisanya berpura-pura mengonfirmasi data pribadi dan meminta OTP.
Riset CfDS ini menunjukkan Kompetensi Keamanan Teknologi Digital (KKTD) di Indonesia masih berada pada tingkat basic hingga intermediate. Pengguna yang tergolong dalam kategori dasar, pada umumnya belum mengetahui risiko-risiko yang dihadapi ketika memberlakukan fitur-fitur keamanan. Oleh karena itu pengguna dengan mudahnya membagikan OTP, kode Personal Identification Number (PIN), data pribadi dan informasi rahasia lainnya.
Sementara pada tingkatan menengah, pengguna biasanya sudah cukup paham untuk tidak membagikan informasi rahasia, tetapi belum mempunyai informasi mutakhir soal penipuan sehingga mudah ditipu dengan modus baru.
Semakin tinggi kompetensi, diharapkan tidak ada lagi pengguna teknologi yang menjadi korban penipuan. Pada kategori lanjut (advance), pengguna sudah tidak membagikan informasi rahasia dengan mudah. Pengguna juga terus memperbarui informasi tentang teknik penipuan rekayasa sosial, serta mengetahui perintah-perintah digital yang tidak umum.
Tips menghindari social engineering
Apa yang bisa kita lakukan agar tidak menjadi korban pelaku kriminal dengan metode rekayasa sosial ini? Beberapa hal penting ini perlu selalu Mama ingat:
1. Jangan terburu-buru, tenangkan diri.
Pelaku penipuan sengaja membuat calon korbannya terburu-buru dan panik. Target dibuat lebih cepat bertindak daripada berfikir. Maka Mama harus selalu curiga dengan orang yang meminta untuk “segera transfer”, “cepat kirim OTP”, “segera datang ke”, dan sebagainya.
2. Hindari membuat keputusan lewat telepon.
Komunikasi melalui telepon sering dimanfaatkan pelaku kriminal untuk memanipulasi jalan pikiran korban. Jika memungkinkan, sampaikan kepada penelepon tersebut bahwa kita lebih memilih komunikasi melalui email, agar kita punya cukup waktu melakukan pengecekan identitas mereka.
Jika terpaksa harus melalui telepon, sebaiknya kita mengetahui dahulu nomor telepon resmi yang digunakan oleh institusi tersebut dalam berkomunikasi dengan pelanggan.
Mama harus ingat, institusi resmi manapun tidak akan pernah menanyakan atau meminta username atau password pelanggannya. Begitu pula jika pihak penelepon memberi kita instruksi agar menyebutkan OTP yang baru saja terkirim melalui SMS, maka bisa dipastikan itu adalah upaya kriminal.
3. Pisahkan akun/kontak pribadi dan bisnis.
Pisahkan antara akun email profesional dengan email yang digunakan untuk mendaftar pada aneka layanan gratis di internet, termasuk media sosial. Apabila kondisi ideal tidak dapat dipenuhi, pastikan mempunyai tingkat kesadaran yang cukup mengenai keamanan informasi dan ancaman-ancaman yang mungkin terjadi. Jangan mudah menanggapi komunikasi dari pihak yang belum terverifikasi. Jangan semabarangan mengklik tautan.
4. Selalu jaga informasi pribadi.
Termasuk saat mengobrol dengan orang, utamanya orang yang baru kita kenal. Selalu berhati-hati agar tidak membagikan informasi sensitif yang dapat disalahgunakan.
- Nama lengkap ibu kandung
- Kode OTP
- PIN
- Password
- Nomor kartu kredit
- Nomor identitas
- Tanggal lahir
- Nama lengkap
- Alamat lengkap
- Nama panggilan masa kecil
- Nama hewan peliharaan
- Nama guru kesayangan
- Hal-hal yang bisa jadi kita gunakan sebagai jawaban atas “pertanyaan rahasia” dalam fitur “lupa password” di akun kita.
Belakangan muncul pula modus meminta kita mengirim foto KTP dan swafoto atau selfie dengan KTP. Hindari mengirim data semacam ini juga ya Mama. Data ini sangat rawan disalahgunakan.
5. Perbarui terus wawasan mengenai ancaman dan metode terkini dalam keamanan siber.
Wawasan yang kita miliki saat ini belum tentu masih relevan esok hari. Keamanan siber bukan semata merupakan tanggung jawab “orang IT”, setiap pengguna layanan informasi dan teknologi juga harus ikut menjaganya.
Selalu berhati-hati dan jangan lengah ya, Mama. Lengah setitik, menyesal kemudian!
2 thoughts on “Social Engineering, Apa dan Bagaimana Menghindarinya?”
Pingback: Apa itu OTP? Apa Bedanya dengan PIN dan Password?
Pingback: Netiket untuk Anak Agar Aman Berselancar di Dunia Maya