Pernahkah Anda mendapatkan telepon dari orang yang mengaku dari bank, universitas maupun kantor Anda dan orang tersebut meminta informasi pribadi, seperti nomor CVC/CVV kartu debit atau bahkan meminta pengiriman uang? Biasanya, orang-orang seperti ini menelpon di luar jam kerja entah itu di malam hari atau di siang hari. Hati-hati! Teknik penipuan seperti ini termasuk dalam teknik penipuan social engineering!
Apa itu Social Engineering?
Social engineering adalah salah satu cyber crime berbentuk teknik penipuan atau manipulasi yang memanfaatkan kondisi psikologis manusia. Tujuannya adalah untuk mendapatkan data-data pribadi korban, mendapatkan akses masuk ke dalam jaringan sistem tertentu dan menanamkan malware untuk keuntungan penipu itu sendiri.
Dalam contoh di atas misalnya, teknik ini digunakan untuk menghubungi korban yang sedang lelah setelah bekerja. Selain kelelahan, emosi lain yang umum dimanfaatkan oleh penipu yang menggunakan teknik ini adalah rasa takut, sungkan atau tidak enakan (guilt), sedih, khawatir hingga tergesa-gesa.
Contohnya adalah ketika teman Anda mendadak mengirimkan pesan yang berisi permohonan peminjaman uang sekian juta rupiah. Karena merasa tidak enak, Anda mengirimkan uang tersebut dengan tanpa pikir panjang.
Tidak jarang, pelaku juga memanfaatkan ketidaktahuan korban mengenai teknik ini dan pentingnya menjaga data-data penting. Oleh sebab itu, mengetahui teknik yang juga disebut dengan rekayasa sosial ini adalah wajib hukumnya untuk Anda baik itu sebagai seorang individu maupun karyawan di sebuah perusahaan.Â
Baca Juga: Kenali Ciri-Ciri Link Phising & Bahayanya
Cara Kerja Social Engineering
Dilansir dari Kaspersky, teknik rekayasa sosial ini cukup bergantung dengan interaksi antara pelaku dan korban secara langsung baik itu interaksi tatap muka maupun melalui jaringan elektronik. Interaksi secara langsung ini tidak hanya sebentar saja, tetapi juga bisa memakan waktu berbulan-bulan tergantung dengan urgensi dari rekayasa sosial ini.
Secara garis besar, berikut ini beberapa tahap dari serangan social engineering:
- Tahap persiapan. Dalam tahap ini, pelaku mengamati dan mengumpulkan informasi yang dibutuhkan tentang Anda maupun organisasi tempat Anda bekerja.
- Tahap infiltrasi. Dalam tahap ini, pelaku mulai berinteraksi dengan Anda sambil menyamar sebagai individu yang dapat dipercaya. Tujuan dari tahap ini adalah supaya pelaku mendapatkan kepercayaan dari Anda maupun perusahaan Anda.
- Tahap eksploitasi. Setelah mendapatkan kepercayaan yang dibutuhkan, pelaku mulai melakukan eksploitasi terhadap kelemahan calon korban dan berusaha mendapatkan hal yang mereka inginkan.
- Tahap pemutusan hubungan. Tahap ini terjadi setelah korban berhasil dikelabui dan pelaku mendapatkan hal yang mereka inginkan.
Teknik ini juga bisa digabungkan dengan teknik penipuan dalam dunia digital yang lain, seperti Spoofing atau Phishing.
Jenis-Jenis Social Engineering
Modus yang digunakan oleh penipu dalam melakukan rekayasa sosial ini ada banyak. Berikut ini beberapa jenis serangan social engineering atau modus rekayasa sosial ini yang patut untuk Anda waspadai.
1. Baiting
Baiting adalah teknik rekayasa sosial yang memanfaatkan rasa ingin tahu calon korban untuk menanamkan malware dalam gawai calon korban tersebut atau mendapatkan informasi pribadi. Biasanya, teknik ini dilakukan dengan cara menawarkan barang-barang gratis atau berbagai penawaran menarik.
Misalnya, Anda mendapatkan pesan yang menyebutkan kalau Anda mendapatkan hadiah dari lembaga tertentu. Tapi, Anda diminta untuk mengisi data pribadi di tautan yang telah diberikan dan tautan tersebut tampak mencurigakan.
2. Phishing
Phishing adalah salah satu teknik social engineering yang paling terkenal. Dalam teknik ini, penipu menyamar sebagai individu dari lembaga atau perusahaan yang kredibel untuk mendorong korban memberikan data-data pribadinya. Phishing dapat terjadi dalam berbagai format, mulai dari email palsu, phishing melalui suara, melalui media sosial dan lain sebagainya.
3. Spear Phising
Spear phishing dalam social engineering adalah bentuk yang lebih terstruktur daripada sebelumnya. Pelaku akan mendekati korban dengan manipulasi psikologis personal yang disesuaikan dengan karakteristik individu, sehingga tidak mencurigakan. Mereka mencari titik lemah target untuk memperoleh kepercayaan korban.
Dalam banyak kasus, pelaku bahkan menggunakan domain situs web yang sangat mirip dengan bisnis atau individu yang ditiru, dan juga memperdaya korban. Penting untuk selalu memeriksa keaslian pengguna dan email yang diterima. Tidak hanya individu, bisnis skala besar pun bisa menjadi sasaran dari kejahatan ini.
4. Quid Pro Quo
Quid pro quo adalah jenis social engineering yang menawarkan keuntungan atau layanan kepada korban. Pelaku sering menyamar sebagai orang perusahaan dan memberikan penawaran khusus. Jika korban tertarik, penyerang dapat dengan cepat memperoleh informasi dan data pribadi untuk digunakan dalam ancaman.
5. Tailgating
Tailgating adalah teknik social engineering yang bisa digunakan untuk mencuri data pribadi Anda maupun perusahaan Anda. Misalnya, pelaku mengaku dari pihak vendor bertanya kepada Anda mengenai cara masuk ke ruangan tertentu dengan alasan mau meletakkan pesanan atau alasan apapun. Apabila Anda memberikan username dan password Anda kepada pelaku tersebut, pelaku tidak hanya bisa mengakses ruangan terkait, tetapi juga menanamkan malware ke sistem di perusahaan Anda.
Dari beberapa jenis di atas dapat disimpulkan bahwa teknik social engineering dapat diimplementasikan secara online maupun offline. Oleh sebab itu, penting untuk meningkatkan kesadaran (awareness) mengenai teknik penipuan yang satu ini.
6. Pretexting
Waspadai serangan pretexting di media sosial, termasuk melalui email. Pelaku sering menggunakan akun palsu dengan nama perusahaan terkenal atau organisasi besar untuk meminta data pribadi seperti kata sandi atau nomor ID.
Serangan ini mengelabui korban agar mempercayai skenario palsu tanpa curiga. Pastikan untuk memeriksa keaslian akun dengan melihat domain email, ejaan alamat, dan informasi perusahaan yang biasanya terdapat dalam pesan teks email.
7. Scareware
Scareware adalah tindakan menakut-nakuti calon korban melalui interface peringatan atau tanda bahaya di perangkat. Ini umumnya terjadi saat kamu mengunjungi situs web dan muncul pop-up yang mengancam bahwa perangkatmu diserang virus. Pelaku berperan sebagai penegak hukum atau ahli teknologi untuk menimbulkan kebingungan dan ketakutan pada korban.
Scareware bertujuan agar korban mengikuti instruksi yang muncul sehingga pelaku bisa mencuri data pribadi korban dengan cepat. Oleh karena itu, penting untuk merespons dengan cepat saat menerima pop-up atau notifikasi mencurigakan di perangkat atau aplikasi sistem komputer atau HP.
Baca Juga: Mengenal Modus SIM Swap dan Cara Menghindarinya
Contoh Kasus Social Engineering
Executive Vice President Center of Digital BCA Wani Sabu, sebagaimana diberitakan oleh Katadata, menyebutkan bahwa 99% penipuan online di Indonesia berbentuk social engineering. Modusnya bisa bermacam-macam, salah satu yang paling sering adalah dengan menelpon calon korban dan mengatakan kalau salah satu anggota calon korban tersebut tertimpa masalah entah itu tertangkap karena narkoba, kecelakaan dan lain sebagainya, sehingga membutuhkan uang.
Contoh lainnya adalah, penipu menelpon calon korban dan mengaku sebagai karyawan bank dan menawarkan hadiah tertentu. Syaratnya, korban harus memberitahukan informasi-informasi penting, seperti nomor kartu kredit, nomor ATM, username hingga PIN.
Bahaya Social Engineering bagi Data Pribadi
Penipuan dengan teknik rekayasa sosial ini bisa berbahaya bagi keamanan data pribadi Anda maupun perusahaan Anda. Dengan menyerahkan informasi penting seperti nomor kartu ATM kepada pelaku, misalnya, melaku dapat dengan mudah menggasak saldo ATM Anda dan mengetahui informasi pribadi lain yang Anda miliki di bank, entah itu nama lengkap, alamat dan lain sebagainya.
Adapun bagi perusahaan, teknik ini bisa berbahaya ketika pelaku bisa memasukkan malware ke dalam sistem perusahaan untuk mencuri data. Hal ini bisa dilakukan dengan teknik tailgating (menyamar menjadi orang yang dipercayai karyawan), mengirim link mencurigakan kepada karyawan (phishing), maupun baiting (mendorong karyawan untuk mengklik tautan palsu atau menggunakan gawai yang sudah ditanami malware tertentu.Â
Baca Juga: Melawan Ancaman: Cara Mengatasi Phishing di HP Anda
Cara Menghindari Social Engineering
Bagi individu, Anda bisa menghindari penipuan dengan teknik social engineering ini dengan beberapa cara, seperti:
- Tidak memberikan informasi sensitif dan informasi rahasia pribadi secara berlebihan ke dunia maya, khususnya media sosial.
- Berhati-hati dan tidak mudah mengklik tautan yang mencurigakan, baik itu di email maupun internet secara umum.
- Langsung menghubungi pihak bank melalui kontak official yang tersedia apabila memiliki pertanyaan maupun keluhan. Banyak penipu yang berpura-pura menjadi pihak bank untuk menghubungi korban yang komplain melalui media sosial.
- Tidak menanggapi telepon spam dari nomor yang tidak dikenal.
- Selalu mengkonfirmasi kepada individu terkait apabila ada teman mengirimkan pesan permohonan peminjaman uang dalam jumlah besar.
Adapun untuk perusahaan, cara-cara yang bisa dilakukan adalah, seperti:
- Memberikan edukasi kepada karyawan mengenai keamanan digital, termasuk siapa saja yang boleh masuk ke ruangan khusus.
- Melarang karyawan untuk menggunakan aset perusahaan untuk mengakses hal-hal yang bersifat pribadi dan berbahaya, misalnya mengunduh film dari situs bajakan.
- Menggunakan jaringan internet yang didesain khusus dengan tingkat keamanan yang tinggi.
- Menggunakan sistem onboarding yang terjamin keamanannya.
Dengan menggunakan sistem onboarding dari Privy, karyawan bisa menggunakan akun Privy mereka untuk masuk aplikasi yang digunakan oleh perusahaan (misalnya, aplikasi presensi). Tidak hanya dilengkapi dengan tingkat keamanan terbaik, manajer juga bisa mengawasi siapa saja individu yang log in menggunakan akun ini, sehingga dapat segera mengetahui jika ada orang yang masuk tanpa izin. Gunakan Privy sekarang dan tingkatkan sistem keamanan kantor Anda saat ini juga!
