Pernahkah Anda mendapatkan telepon dari orang yang mengaku dari bank, universitas maupun kantor Anda dan orang tersebut meminta informasi pribadi, seperti nomor CVC/CVV kartu debit atau bahkan meminta pengiriman uang? Biasanya, orang-orang seperti ini menelpon di luar jam kerja entah itu di malam hari atau di siang hari. Hati-hati! Teknik penipuan seperti ini termasuk dalam teknik penipuan social engineering!
Apa itu Social Engineering?
Social engineering adalah salah satu cyber crime berbentuk teknik penipuan atau manipulasi yang memanfaatkan kondisi psikologis manusia. Tujuannya adalah untuk mendapatkan data-data pribadi korban, mendapatkan akses masuk ke dalam jaringan sistem tertentu dan menanamkan malware untuk keuntungan penipu itu sendiri.
Dalam contoh di atas misalnya, teknik ini digunakan untuk menghubungi korban yang sedang lelah setelah bekerja. Selain kelelahan, emosi lain yang umum dimanfaatkan oleh penipu yang menggunakan teknik ini adalah rasa takut, sungkan atau tidak enakan (guilt), sedih, khawatir hingga tergesa-gesa.
Contohnya adalah ketika teman Anda mendadak mengirimkan pesan yang berisi permohonan peminjaman uang sekian juta rupiah. Karena merasa tidak enak, Anda mengirimkan uang tersebut dengan tanpa pikir panjang.
Tidak jarang, pelaku juga memanfaatkan ketidaktahuan korban mengenai teknik ini dan pentingnya menjaga data-data penting. Oleh sebab itu, mengetahui teknik yang juga disebut dengan rekayasa sosial ini adalah wajib hukumnya untuk Anda baik itu sebagai seorang individu maupun karyawan di sebuah perusahaan.
Cara Kerja Social Engineering
Dilansir dari Kaspersky, teknik rekayasa sosial ini cukup bergantung dengan interaksi antara pelaku dan korban secara langsung baik itu interaksi tatap muka maupun melalui jaringan elektronik. Interaksi secara langsung ini tidak hanya sebentar saja, tetapi juga bisa memakan waktu berbulan-bulan tergantung dengan urgensi dari rekayasa sosial ini.
Secara garis besar, berikut ini beberapa tahap dari social engineering:
- Tahap persiapan. Dalam tahap ini, pelaku mengamati dan mengumpulkan informasi yang dibutuhkan tentang Anda maupun organisasi tempat Anda bekerja.
- Tahap infiltrasi. Dalam tahap ini, pelaku mulai berinteraksi dengan Anda sambil menyamar sebagai individu yang dapat dipercaya. Tujuan dari tahap ini adalah supaya pelaku mendapatkan kepercayaan dari Anda maupun perusahaan Anda.
- Tahap eksploitasi. Setelah mendapatkan kepercayaan yang dibutuhkan, pelaku mulai melakukan eksploitasi terhadap kelemahan calon korban dan berusaha mendapatkan hal yang mereka inginkan.
- Tahap pemutusan hubungan. Tahap ini terjadi setelah korban berhasil dikelabui dan pelaku mendapatkan hal yang mereka inginkan.
Teknik ini juga bisa digabungkan dengan teknik penipuan dalam dunia digital yang lain, seperti Spoofing atau Phishing.
Jenis-Jenis Social Engineering
Modus yang digunakan oleh penipu dalam melakukan rekayasa sosial ini ada banyak. Berikut ini beberapa jenis modus rekayasa sosial ini yang patut untuk Anda waspadai.
1. Baiting
Baiting adalah teknik rekayasa sosial yang memanfaatkan rasa ingin tahu calon korban untuk menanamkan malware dalam gawai calon korban tersebut atau mendapatkan informasi pribadi. Biasanya, teknik ini dilakukan dengan cara menawarkan barang-barang gratis atau berbagai penawaran menarik.Â
Misalnya, Anda mendapatkan pesan yang menyebutkan kalau Anda mendapatkan hadiah dari lembaga tertentu. Tapi, Anda diminta untuk mengisi data pribadi di tautan yang telah diberikan dan tautan tersebut tampak mencurigakan.
2. Phishing
Phishing adalah salah satu teknik social engineering yang paling terkenal. Dalam teknik ini, penipu menyamar sebagai individu dari lembaga atau perusahaan yang kredibel untuk mendorong korban memberikan data-data pribadinya. Phishing dapat terjadi dalam berbagai format, mulai dari email palsu, phishing melalui suara, melalui media sosial dan lain sebagainya.
3. Tailgating
Tailgating adalah teknik social engineering yang bisa digunakan untuk mencuri data pribadi Anda maupun perusahaan Anda. Misalnya, pelaku mengaku dari pihak vendor bertanya kepada Anda mengenai cara masuk ke ruangan tertentu dengan alasan mau meletakkan pesanan atau alasan apapun. Apabila Anda memberikan username dan password Anda kepada pelaku tersebut, pelaku tidak hanya bisa mengakses ruangan terkait, tetapi juga menanamkan malware ke sistem di perusahaan Anda.
Dari beberapa jenis di atas dapat disimpulkan bahwa teknik social engineering dapat diimplementasikan secara online maupun offline. Oleh sebab itu, penting untuk meningkatkan kesadaran (awareness) mengenai teknik penipuan yang satu ini.
Contoh Kasus Social Engineering
Executive Vice President Center of Digital BCA Wani Sabu, sebagaimana diberitakan oleh Katadata, menyebutkan bahwa 99% penipuan online di Indonesia berbentuk social engineering. Modusnya bisa bermacam-macam, salah satu yang paling sering adalah dengan menelpon calon korban dan mengatakan kalau salah satu anggota calon korban tersebut tertimpa masalah entah itu tertangkap karena narkoba, kecelakaan dan lain sebagainya, sehingga membutuhkan uang.
Contoh lainnya adalah, penipu menelpon calon korban dan mengaku sebagai karyawan bank dan menawarkan hadiah tertentu. Syaratnya, korban harus memberitahukan informasi-informasi penting, seperti nomor kartu kredit, nomor ATM, username hingga PIN.
Bahaya Social Engineering bagi Data Pribadi
Penipuan dengan teknik rekayasa sosial ini bisa berbahaya bagi keamanan data pribadi Anda maupun perusahaan Anda. Dengan menyerahkan informasi penting seperti nomor kartu ATM kepada pelaku, misalnya, melaku dapat dengan mudah menggasak saldo ATM Anda dan mengetahui informasi pribadi lain yang Anda miliki di bank, entah itu nama lengkap, alamat dan lain sebagainya.
Adapun bagi perusahaan, teknik ini bisa berbahaya ketika pelaku bisa memasukkan malware ke dalam sistem perusahaan untuk mencuri data. Hal ini bisa dilakukan dengan teknik tailgating (menyamar menjadi orang yang dipercayai karyawan), mengirim link mencurigakan kepada karyawan (phishing), maupun baiting (mendorong karyawan untuk mengklik tautan palsu atau menggunakan gawai yang sudah ditanami malware tertentu.
Cara Menghindari Social Engineering
Bagi individu, Anda bisa menghindari penipuan dengan teknik social engineering ini dengan beberapa cara, seperti:
- Tidak memberikan informasi-informasi pribadi secara berlebihan ke media sosial.
- Tidak mudah mengklik tautan yang mencurigakan, baik itu di email maupun internet secara umum.
- Langsung menghubungi pihak bank melalui kontak official yang tersedia apabila memiliki pertanyaan maupun keluhan. Banyak penipu yang menyamar menjadi pihak bank untuk menghubungi korban yang komplain melalui media sosial.
- Tidak menanggapi telepon spam dari nomor yang tidak dikenal.
- Selalu mengkonfirmasi kepada individu terkait apabila ada teman mengirimkan pesan permohonan peminjaman uang dalam jumlah besar.
Adapun untuk perusahaan, cara-cara yang bisa dilakukan adalah, seperti:
- Memberikan edukasi kepada karyawan mengenai keamanan digital, termasuk siapa saja yang boleh masuk ke ruangan khusus.
- Melarang karyawan untuk menggunakan aset perusahaan untuk mengakses hal-hal yang bersifat pribadi dan berbahaya, misalnya mengunduh film dari situs bajakan.
- Menggunakan jaringan internet yang didesain khusus dengan tingkat keamanan yang tinggi.
- Menggunakan sistem onboarding yang terjamin keamanannya.
Dengan menggunakan sistem onboarding dari Privy, karyawan bisa menggunakan akun Privy mereka untuk masuk aplikasi yang digunakan oleh perusahaan (misalnya, aplikasi presensi). Tidak hanya dilengkapi dengan tingkat keamanan terbaik, manajer juga bisa mengawasi siapa saja individu yang log in menggunakan akun ini, sehingga dapat segera mengetahui jika ada orang yang masuk tanpa izin. Gunakan Privy sekarang dan tingkatkan sistem keamanan kantor Anda saat ini juga!
