Pernahkah Anda mendapatkan telepon dari orang yang mengaku dari bank, universitas maupun kantor Anda dan orang tersebut meminta informasi pribadi, seperti nomor CVC/CVV kartu debit atau bahkan meminta pengiriman uang? Biasanya, orang-orang seperti ini menelpon di luar jam kerja entah itu di malam hari atau di siang hari. Hati-hati! Teknik penipuan seperti ini termasuk dalam teknik penipuan social engineering!
Apa itu Social Engineering?
Social engineering adalah salah satu cyber crime berbentuk teknik penipuan atau manipulasi yang memanfaatkan kondisi psikologis manusia. Tujuan dari serangan rekayasa sosial ini adalah untuk mendapatkan data-data pribadi korban, mendapatkan akses masuk ke dalam jaringan sistem tertentu, dan menanamkan malware untuk keuntungan penipu itu sendiri.
Biasanya, teknik ini digunakan untuk menghubungi korban yang sedang lelah. Selain kelelahan, emosi lain yang umum dimanfaatkan oleh penipu yang menggunakan teknik ini adalah rasa takut, sungkan atau tidak enakan (guilt), sedih, khawatir hingga tergesa-gesa.
Serangan social engineering dapat menyebabkan kehilangan data karena manipulasi dan kurangnya kesadaran tentang keamanan data, di mana informasi sensitif dapat dicuri dan dijual.
Contohnya adalah ketika teman Anda mendadak mengirimkan pesan yang berisi permohonan peminjaman uang sekian juta rupiah. Karena merasa tidak enak, Anda mengirimkan uang tersebut dengan tanpa pikir panjang.
Tidak jarang, pelaku juga memanfaatkan ketidaktahuan korban mengenai teknik ini dan tidak memahami pentingnya menjaga data-data penting. Oleh sebab itu, mengetahui teknik yang juga disebut dengan social engineering ini penting, baik itu pada individu maupun perusahaan.
Sayangnya, meskipun teknik ini sering disalahgunakan untuk tujuan kriminal, seperti penipuan atau pencurian identitas, namun secara umum belum ada undang-undang khusus di Indonesia yang secara langsung mengatur praktik ini. Namun ada beberapa landasan hukum yang relevan dan dapat ditujukan untuk para pelaku kejahatan rekayasa sosial ini yaitu beberapa pasal dalam UU ITE yang melibatkan unsur-unsur seperti akses ilegal, pencurian data, atau pencemaran nama baik, serta KUHP dengan pasal-pasal tentang penipuan, penggelapan, atau pemalsuan dokumen untuk menjerat pelaku yang merugikan orang lain. Jika tindakan social engineering dilakukan dalam konteks transaksi komersial, maka pelaku dapat dijerat berdasarkan undang-undang perlindungan konsumen.
Baca Juga: Kenali Ciri-Ciri Link Phising & Bahayanya
Cara Kerja Social Engineering
Dilansir dari Kaspersky, teknik rekayasa sosial ini cukup bergantung dengan interaksi antara pelaku dan korban secara langsung baik itu interaksi tatap muka maupun melalui jaringan elektronik. Interaksi secara langsung ini tidak hanya sebentar saja, tetapi juga bisa memakan waktu berbulan-bulan tergantung dengan urgensi dari rekayasa sosial ini.
Secara garis besar, berikut ini beberapa tahap dari social engineering attacks:
- Tahap persiapan. Dalam tahap ini, pelaku mengamati dan mengumpulkan data sebab membutuhkan informasi tentang Anda maupun organisasi tempat Anda bekerja.
- Tahap infiltrasi. Dalam tahap ini, pelaku mulai berinteraksi dengan Anda sambil menyamar sebagai individu yang dapat dipercaya. Tujuan dari tahap ini adalah supaya pelaku mendapatkan kepercayaan dari Anda maupun perusahaan Anda.
- Tahap eksploitasi. Setelah mendapatkan kepercayaan yang dibutuhkan, pelaku mulai melakukan eksploitasi terhadap kelemahan calon korban dan berusaha mendapatkan hal yang mereka inginkan.
- Tahap pemutusan hubungan. Tahap ini terjadi setelah korban berhasil dikelabui dan pelaku mendapatkan hal yang mereka inginkan.
Teknik ini juga bisa digabungkan dengan teknik penipuan dalam dunia digital yang lain, seperti Spoofing atau Phishing.
Jenis-Jenis Social Engineering
Modus yang digunakan oleh penipu dalam melakukan rekayasa sosial ini ada banyak. Berikut ini beberapa jenis serangan social engineering atau modus rekayasa sosial ini yang patut untuk Anda waspadai.
1. Baiting
Baiting adalah teknik rekayasa sosial yang memanfaatkan rasa ingin tahu calon korban untuk memikat korban dengan menggunakan insentif atau penawaran menarik, yang bertujuan untuk menanamkan malware dalam ponsel calon korban tersebut atau memperoleh informasi pribadi. Biasanya, teknik ini dilakukan dengan cara menawarkan barang-barang gratis atau berbagai penawaran menarik.
Misalnya, Terdapat pesan masuk yang menyebutkan bahwa Anda mendapatkan hadiah dari lembaga tertentu. Tetapi, Anda diminta untuk mengisi data pribadi di tautan yang telah diberikan dan tautan tersebut tampak mencurigakan.
2. Phishing
Phishing adalah salah satu teknik social engineering yang paling terkenal. Dalam teknik ini, penipu menyamar sebagai individu dari lembaga atau perusahaan yang kredibel untuk mendorong korban memberikan data-data pribadinya. Phishing dapat terjadi dalam berbagai format, mulai dari email palsu, phishing melalui suara, melalui media sosial, melalui perangkat lunak aplikasi, dan lain sebagainya.
3. Spear Phishing
Spear phishing dalam social engineering adalah bentuk yang lebih terstruktur daripada sebelumnya. Pelaku akan mendekati korban dengan manipulasi psikologis personal yang disesuaikan dengan karakteristik individu, sehingga tidak mencurigakan. Mereka mencari titik lemah target untuk memperoleh kepercayaan korban.
Dalam banyak kasus, pelaku bahkan menggunakan domain situs web yang sangat mirip dengan bisnis atau individu yang ditiru, dan juga memperdaya hingga nantinya mengeksploitasi korban. Penting untuk selalu memeriksa keaslian pengguna dan email yang diterima. Tidak hanya individu, bisnis skala besar pun bisa menjadi sasaran dari kejahatan ini.
4. Quid Pro Quo
Quid pro quo adalah jenis social engineering yang menawarkan keuntungan atau layanan kepada korban. Pelaku sering menyamar sebagai orang perusahaan dan memberikan penawaran khusus. Jika korban tertarik, penyerang dapat dengan cepat memperoleh informasi dan data pribadi untuk digunakan dalam ancaman.
5. Tailgating
Tailgating adalah teknik social engineering yang bisa digunakan untuk mencuri data pribadi Anda maupun perusahaan Anda. Misalnya, pelaku mengaku dari pihak vendor bertanya kepada Anda mengenai cara masuk ke ruangan tertentu dengan alasan mau meletakkan pesanan atau alasan apapun. Apabila Anda memberikan username dan password Anda kepada pelaku tersebut, pelaku tidak hanya bisa mengakses ruangan terkait, tetapi juga menanamkan malware ke sistem di perusahaan Anda.
Dari beberapa jenis di atas dapat disimpulkan bahwa teknik social engineering dapat diimplementasikan secara online maupun offline. Oleh sebab itu, penting untuk meningkatkan kesadaran (awareness) mengenai teknik penipuan yang satu ini.
6. Pretexting
Waspadai serangan pretexting di media sosial, termasuk melalui email. Pelaku sering menggunakan akun palsu dengan nama perusahaan terkenal atau organisasi besar untuk meminta data pribadi seperti kata sandi atau nomor ID.
Serangan social engineering ini mengelabui korban agar mempercayai skenario palsu tanpa curiga. Pastikan untuk memeriksa keaslian akun dengan melihat domain email, ejaan alamat, dan informasi perusahaan yang biasanya terdapat dalam pesan teks email.
7. Scareware
Scareware adalah tindakan social engineering dengan cara menakut-nakuti targetnya melalui interface peringatan atau tanda bahaya di perangkat. Ini umumnya terjadi saat kamu mengunjungi situs web dan muncul pop-up yang mengancam bahwa perangkatmu diserang virus. Pelaku berperan sebagai penegak hukum atau ahli teknologi untuk menimbulkan kebingungan dan ketakutan pada korban.
Scareware bertujuan agar korban mengikuti instruksi yang muncul sehingga pelaku bisa mencuri data pribadi korban dengan cepat. Oleh karena itu, penting untuk merespons dengan cepat saat menerima pop-up atau notifikasi mencurigakan di perangkat atau aplikasi sistem komputer atau HP.
8. Dumpster Diving
Jenis social engineering yang selanjutnya adalah dumpster diving. Dalam aksi ini, penyerang atau the attackermemanfaatkan tempat sampah korban untuk memperoleh informasi berharga yang dibuang sembarangan. Mereka mencari dokumen, kertas, atau media lain yang mungkin masih mengandung informasi sensitif, seperti data pribadi, informasi keuangan, atau rahasia perusahaan.
9. Pretexting
Pretexting adalah sebuah aksi dimana penipu membangun skenario pura-pura untuk memanipulasi target agar menyerahkan informasi atau akses ke akun penting mereka. Mereka menyamar sebagai orang yang dekat dengan target, seperti teman, keluarga, atau kolega, dan berusaha mendapatkan kepercayaan mereka dengan cara yang sopan dan meyakinkan.
Baca Juga: Mengenal Modus SIM Swap dan Cara Menghindarinya
Contoh Kasus Social Engineering
Executive Vice President Center of Digital BCA Wani Sabu, sebagaimana diberitakan oleh Katadata, menyebutkan bahwa 99% penipuan online di Indonesia berbentuk social engineering. Modusnya bisa bermacam-macam, salah satu yang paling sering adalah dengan menelpon calon korban dan mengatakan kalau salah satu anggota calon korban tersebut tertimpa masalah entah itu tertangkap karena narkoba, kecelakaan dan lain sebagainya, sehingga membutuhkan uang.
Contoh lainnya adalah, penipu menelpon calon korban dan mengaku sebagai karyawan bank dan menawarkan hadiah tertentu. Syaratnya, korban harus memberitahukan informasi-informasi penting, seperti nomor kartu kredit, nomor ATM, username hingga PIN.
Bahaya Social Engineering bagi Data Pribadi
Penipuan dengan teknik rekayasa sosial ini bisa berbahaya bagi keamanan data pribadi Anda maupun perusahaan Anda. Dengan menyerahkan informasi penting seperti nomor kartu ATM kepada pelaku, misalnya, melaku dapat dengan mudah menggasak saldo ATM Anda dan mengetahui informasi pribadi lain yang Anda miliki di bank, entah itu nama lengkap, alamat dan lain sebagainya.
Adapun bagi perusahaan, teknik ini bisa berbahaya ketika pelaku bisa memasukkan malware ke dalam sistem perusahaan untuk mencuri data. Hal ini bisa dilakukan dengan teknik tailgating (menyamar menjadi orang yang dipercayai karyawan), mengirim link mencurigakan kepada karyawan (phishing), maupun baiting (mendorong karyawan untuk mengklik tautan palsu atau menggunakan gawai yang sudah ditanami malware tertentu.
Baca Juga: Melawan Ancaman: Cara Mengatasi Phishing di HP Anda
Hal yang Dapat Dilakukan Untuk Menjaga Keamanan Data Pribadi
Menjaga keamanan data pribadi merupakan langkah penting untuk melindungi diri dari ancaman seperti social engineering dan bentuk kejahatan siber lainnya. Berikut adalah beberapa tindakan yang dapat Anda lakukan untuk menjaga keamanan data pribadi Anda:
1. Gunakan Kata Sandi yang Kuat dan Berbeda untuk Setiap Akun
Menggunakan kata sandi yang kuat adalah langkah pertama dalam menjaga keamanan data pribadi. Kata sandi yang kuat sebaiknya terdiri dari kombinasi huruf besar, huruf kecil, angka, dan simbol. Hindari penggunaan kata-kata yang mudah ditebak, seperti nama atau tanggal lahir.
Selain itu, pastikan Anda tidak menggunakan kata sandi yang sama untuk beberapa akun berbeda. Jika satu akun diretas, akun lain yang menggunakan kata sandi yang sama juga berisiko. Pertimbangkan untuk menggunakan pengelola kata sandi untuk menyimpan dan mengelola kata sandi Anda secara aman.
2. Aktifkan Autentikasi Dua Faktor (Two-Factor Authentication/TFA)
Autentikasi dua faktor menambahkan lapisan keamanan tambahan ke akun Anda dengan meminta verifikasi kedua setelah Anda memasukkan kata sandi. Verifikasi ini bisa berupa kode yang dikirimkan ke ponsel Anda, pemindaian sidik jari, atau metode lainnya. Dengan mengaktifkan TFA, meskipun seseorang berhasil mencuri kata sandi Anda, mereka tetap memerlukan faktor kedua untuk mengakses akun Anda, sehingga keamanan data Anda lebih terjamin.
3. Hindari Berbagi Informasi Pribadi Secara Berlebihan di Media Sosial
Media sosial sering menjadi target empuk bagi penjahat siber untuk mengumpulkan informasi rahasia. Oleh karena itu, hindari membagikan terlalu banyak informasi seperti alamat rumah, nomor telepon, atau tanggal lahir di platform media sosial.
Informasi-informasi ini dapat digunakan oleh penjahat siber untuk melakukan social engineering atau serangan lainnya. Pastikan juga untuk mengatur privasi akun media sosial Anda agar informasi pribadi hanya bisa diakses oleh orang yang Anda kenal dan percayai.
4. Waspadai Phishing dan Email yang Mencurigakan
Penjahat siber akan menyamar sebagai organisasi atau individu yang tepercaya dan mengirimkan email atau pesan yang berisi tautan atau lampiran berbahaya. Jangan pernah mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal atau mencurigakan.
Selalu periksa alamat email pengirim dan hindari memberikan informasi pribadi melalui email. Jika Anda ragu, hubungi organisasi atau individu tersebut melalui saluran resmi untuk memastikan keaslian pesan.
5. Selalu Perbarui Perangkat Lunak dan Sistem Keamanan
Software yang sudah lama sering kali memiliki celah keamanan yang dapat dimanfaatkan oleh penjahat siber. Pastikan Anda selalu memperbarui sistem operasi, aplikasi, dan perangkat lunak keamanan seperti antivirus di perangkat Anda.
Pembaruan ini biasanya mencakup patch keamanan yang penting untuk melindungi data pribadi Anda dari ancaman terbaru. Selain itu, aktifkan pembaruan otomatis jika memungkinkan, sehingga perangkat Anda selalu dilindungi dengan perlindungan terbaru.
Cara Menghindari Social Engineering
Bagi individu, Anda bisa menghindari penipuan dengan teknik social engineering ini dengan beberapa cara, seperti:
- Tidak memberikan informasi sensitif dan informasi rahasia pribadi secara berlebihan ke dunia maya.
- Berhati-hati dan tidak mudah mengklik tautan yang mencurigakan, baik itu di email maupun internet secara umum.
- Langsung menghubungi pihak bank melalui kontak official yang tersedia apabila memiliki pertanyaan maupun keluhan. Banyak penipu yang berpura-pura menjadi pihak bank untuk menghubungi korban yang komplain melalui media sosial.
- Tidak menanggapi telepon spam dari nomor yang tidak dikenal.
- Selalu mengkonfirmasi kepada individu terkait apabila ada teman mengirimkan pesan permohonan peminjaman uang dalam jumlah besar.
Adapun untuk perusahaan, cara-cara yang bisa dilakukan adalah, seperti:
- Memberikan edukasi kepada karyawan mengenai keamanan digital, termasuk siapa saja yang boleh masuk ke ruangan khusus.
- Melarang karyawan untuk menggunakan aset perusahaan untuk mengakses hal-hal yang bersifat pribadi dan berbahaya, misalnya mengunduh film dari situs bajakan.
- Menggunakan jaringan internet yang didesain khusus dengan tingkat keamanan yang tinggi.
- Menggunakan sistem onboarding yang terjamin keamanannya.
Dengan menggunakan sistem onboarding dari Privy, karyawan bisa menggunakan akun Privy mereka untuk masuk aplikasi yang digunakan oleh perusahaan (misalnya, aplikasi presensi). Tidak hanya dilengkapi dengan tingkat keamanan terbaik, manajer juga bisa mengawasi siapa saja individu yang log in menggunakan akun ini, sehingga dapat segera mengetahui jika ada orang yang masuk tanpa izin. Gunakan Privy sekarang dan tingkatkan sistem keamanan kantor Anda saat ini juga!