Waspada Bahaya Social Engineering dan Cara Mencegahnya

Di sela-sela waktu santai, saya sering bermain media sosial sebagai sarana hiburan. Selain itu, saya juga kerap mencari konten-konten menarik sebagai inspirasi untuk dijadikan bahan menulis artikel di blog. Nah, setelah iseng-iseng scroll postingan, secara tidak sengaja saya "nyasar" ke salah satu akun Instagram yang membahas mengenai modus kejahatan siber alias cybercrime. 

Hingga tulisan ini dibuat, postingan yang telah diberi pin tersebut disukai lebih dari 320 ribu orang dan mendapatkan respon atau komentar sebanyak 20 ribu lebih. Bahasan mengenai kejahatan siber memang kerap mengundang respon dari berbagai kalangan. Pasalnya, tidak sedikit juga komentar yang menyatakan bahwa mereka juga pernah menjadi korban dari cybercrime ini. 

Dalam postingan tersebut, tampak sebuah screenshot berisi percakapan di WhatsApp antara Salmah (nggak tau ini siapa) dengan oknum yang mengaku sebagai kurir dari J&T Express. Untuk lebih detailnya, kamu bisa lihat gambar di bawah ini ya.

Ilustrasinya, si Salmah ini mendapatkan informasi dari kurir tersebut bahwa ada sebuah paket atas nama Salmah. Jika dilihat dari gambar di atas, "paket" yang dimaksud malah berisi file ekstensi APK. File dengan ekstensi APK ini merupakan aplikasi yang berjalan untuk OS Android.

Saya iseng mengecek lewat aplikasi Getcontact nomor telepon si pengirim foto paket ke Salmah. Ternyata hasil tag-nya bikin geleng-geleng kepala !!

Dalam kasus ini, Salmah terlanjur mengunduh file tersebut. Tanpa diketahui Salmah, ternyata saldo tabungannya sudah ludes. Salmah mengaku tidak pernah mengunduh atau membuka aplikasi apapun dan tidak pernah mengisi user ID maupun password pada situs lain.

Kuat dugaan jika file yang dikirimkan oleh pelaku dan diunduh oleh Salmah merupakan file yang berjalan di latar belakang untuk mengambil data korban (salah satunya aplikasi perbankan yang dibuka oleh korban, lalu si pelaku mengintip user ID dan password).

Apa Itu Social Engineering?

Kasus Salmah di atas merupakan salah satu contoh dari kejahatan siber yang termasuk ke dalam serangan social engineering. Tidak hanya menyerang secara individual saja, serangan social engineering juga berpotensi untuk menyerang perusahaan hingga organisasi skala besar. Perkembangan teknologi yang semakin masif, mengharuskan setiap perusahaan wajib memperketat sistem keamanan agar tidak ada celah untuk diretas.

Sekarang, mari kita cari tahu apa itu social engineering? Menurut website Kaspersky.com, social engineering merupakan suatu bentuk kejahatan online dengan cara memanipulasi data pribadi atau data rahasia. Social engineering bisa menyasar berbagai platform, mulai dari email, media sosial dan lain sebagainya.

Secara sederhana, kejahatan siber ini adalah upaya dalam menyebarkan malware pada sebuah sistem, sehingga peretas bisa membobol pertahanan dan kemanan data tersebut. Pada umumnya, para peretas akan memberikan sebuah umpan melalui email, media sosial atau platform lainnya yang akan menarik simpati dari korban.

Mengenal Jenis Serangan Social Engineering yang Perlu Diwaspadai

Kejahatan social engineering memiliki beberapa jenisnya yang terbagi berdasarkan metode apa yang digunakan oleh si pelaku cybercrime. Jadi, mereka biasanya tidak hanya menggunakan satu metode saja. Mari kita cari tahu apa saja jenis social engineering berikut ini :

1. Phishing

Jenis serangan social engineering yang pertama adalah phishing, yaitu serangan yang dilakukan dengan cara membagikan sebuah link yang nantinya akan memberikan ruang bagi hacker untuk mengakses semua data pribadi, hingga data perbankan. Cybercrime ini biasanya dilakukan menggunakan pesan teks, baik melalui media sosial, email hingga SMS.

Jangan pernah sembarangan mengklik link apapun yang sekiranya mencurigakan. Meskipun link yang mereka kirim terlihat menggoda dan tampak meyakinkan. Padahal di balik link tersebut merupakan akses masuk bagi para penjahat siber untuk mengakses data pribadi korban.

2. Spear phishing

Tipe kejahatan spear phishing ini terstruktur lebih rapi dari tipe sebelumnya. Pelaku akan melakukan pendekatan secara personal yang disesuaikan dengan karakteristik korbannya, sehingga kelihatan tidak terlalu mencolok. 

Pada sebagian besar kasus, pelaku cybercrime bahkan memiliki domain yang hampir mirip dengan perusahaan atau organisasi yang ditiru, sehingga membuat korban mudah terkecoh. Sudah seharusnya kamu lebih teliti lagi sebelum mengakses suatu situs web dan pastikan bahwa domain tersebut adalah asli dan resmi. 

3. Baiting

Modus baiting pada social engineering adalah dengan cara menjebak korban menggunakan sebuah umpan. Misalnya saja ketika kamu akan mengunduh file dari sebuah website, lalu mereka akan meminta izin untuk bisa mengakses beberapa hal, seperti folder file, suara, kontak dan lain sebagainya.

Agar kamu tidak menjadi korban social engineering, jangan sembarangan memberikan akses, apalagi dari situs web yang tidak jelas. Langkah ini menjadi cara bagi mereka untuk membobol informasi pribadi korbannya. Jika hal ini terjadi, bisa saja mereka akan mengambil informasi penting hanya dalam hitungan menit saja.

4. Scareware

Pernah nggak, ketika kamu berkunjung ke sebuah situs web, tiba-tiba muncul pop up yang menginfokan bahwa perangkat kamu mengalami serangan virus? Nah ini sebenarnya serangan siber ini namanya scareware. Calon korban akan ditakuti dengan menampilkan interface berupa peringatan atau penanda bahaya pada perangkat yang digunakan.

Tujuan dari scareware adalah untuk membuat korban mengikuti arahan dari pop up yang muncul. Jika korban mengklik pop up tersebut, pelaku akan langsung mengakses dan mengambil data-data penting dalam hitungan menit saja. Jadi, tetap berhati-hati dan waspada jika kamu menemukan pop up seperti ini. Sebaiknya abaikan saja.

5. Tailgating

Tailgating juga merupakan jenis serangan social engineering yang berbahaya. Berbeda dengan modus-modus sebelumnya, tailgating dilakukan dengan cara bertemu secara langsung dengan calon korbannya, lalu mengorek berbagai informasi penting yang dibutuhkan oleh pelaku. 

Seorang pelaku bisa saja menyamar menjadi siapapun untuk bisa melancarkan aksinya dalam mengelabui korban, misalnya menyamar sebagai rekan bisnis atau klien yang akan mengajak bekerja sama. Biasanya mereka akan mengincar calon korban yang memiliki jabatan strategis pada sebuah perusahaan.

Agar kamu tidak menjadi korbannya, sebaiknya harus lebih cermat dan teliti lagi sebelum mengeluarkan opini atau memberikan informasi, karena jika terlalu detail, maka akan berpotensi disalahgunakan oleh pelaku. Terkadang mereka juga akan mengutarakan rasa penasarannya dengan gaya bicara yang santai, sehingga korban tidak merasa janggal pada gerak gerik si pelaku.

6. Pretexting

Serangan pretexting biasanya dilakukan melalui berbagai platform media sosial, salah satunya melalui email. Pada kebanyakan kasus, para pelaku akan membuat akun palsu yang berpura-pura menjadi perusahaan ternama ataupun organisasi yang besar yang akan meminta calon korbannya memasukkan data pribadi, mulai dari password atau nomor identitas lainnya.

Tidak sedikit korban yang terkecoh dan langsung percaya dengan penyamaran para pelaku yang sangat rapi ini. Agar kamu tidak jadi korbannya, sebaiknya pastikan bahwa akun tersebut adalah akun resmi yang bisa kamu lihat dari domain email, penulisan alamat, tanda baca hingga informasi perusahaan yang biasanya dicantumkan pada email tersebut.

7. Quid pro quo

Kata "quid pro quo" berasal dari bahasa Latin yang berarti "sesuatu untuk sesuatu" yang menggambarkan situasi ketika dua belah pihak sepakat untuk bertukar barang atau jasa secara timbal balik. Melalui serangan ini, para pelaku akan menawarkan sebuah kerja sama yang menjanjikan keuntungan.

Kebanyakan dari pelaku ini akan menyamar sebagai orang dari sebuah perusahaan dan memberikan penawaran khusus kepada calon korbannya. Jika korban tergiur, pelaku akan langsung mengambil semua data dan juga informasi pribadi yang nantinya akan digunakan untuk mengancam korban tersebut.

Kiat Mencegah Serangan Social Engineering

Sebagai seorang blogger, saya selalu mengandalkan internet untuk membantu menyelesaikan pekerjaan saya. Tidak jarang juga, saya kerap menerima berbagai penawaran yang mencurigakan melalui email. Biasanya email yang mencurigakan secara otomatis akan masuk ke spam. 

Namun ada juga email penipu yang masuk ke inbox utama dan terkadang cukup mengecoh saya. Nah, bagaimana cara mengetahui kalau email tersebut berasal dari penipu? Di sinilah saya akan berbagi sedikit pengalaman bagaimana cara untuk mencegah kejahatan social engineering. 

Setidaknya dengan menerapkan tips-tips di bawah ini, kamu memiliki langkah preventif agar tidak menjadi korban social engineering yang sangat merugikan tersebut. Jadi, simak baik-baik tipsnya ya di bawah ini :

1. Perbanyak literasi digital, agar tidak kudet dan gaptek

Seperti dikutip dari buku "Peran Literasi Digital di Masa Pandemik (2021)" karya Devri Suherdi, literasi digital adalah pengetahuan serta kecakapan dalam memanfaatkan media digital, mulai dari alat komunikasi, jaringan internet dan lain sebagainya. Kecakapan yang dimaksud meliputi kemampuan untuk menemukan, mengerjakan, mengevaluasi, menggunakan, membuat serta memanfaatkannya dengan bijak, cerdas, cermat serta tepat sesuai dengan kegunaannya.

Saya akui, zaman sekarang kita memang tidak bisa lepas dari yang namanya perkembangan teknologi digital. Mau tidak mau, kita harus beradaptasi dengan perubahan tersebut, agar kita mampu mengimbangi bahkan menggunakan teknologi tersebut secara tepat sesuai kebutuhan.

Perbanyak literasi digital dengan ikut gabung bersama komunitas yang relevan. Atau kamu juga bisa mengunjungi situs web terpercaya seperti situs web milik Bank BRI yang kerap membagikan artikel seputar edukasi finansial. Melalui situs web tersebut, kamu bisa membaca artikel paling update, termasuk informasi seputar social engineering.

Berikut cara yang bisa kamu terapkan untuk memperkaya literasi digital, sehingga tidak kudet (kurang update) dan gaptek (gagap teknologi) :

1. Gabung komunitas relevan, bisa lewat WhatsApp Group, Telegram atau Facebook
2. Kunjungi website terpercaya, salah satunya website Bank BRI
3. Ikuti akun media sosial yang sering memberikan informasi teknologi digital
4. Ikutan webinar dan seminar 

2. Jangan asal klik link yang mencurigakan

Belum lama ini, saya mendapat kiriman di WhatsApp Group mengenai penipuan berkedok SPT Pajak. Lagi-lagi dokumen yang dikirimkan ekstensi APK. Jelas-jelas ini adalah jenis penipuan yang termasuk social engineering. Modus penipuan ini ternyata tidak hanya berupa kiriman paket saja (seperti kasus Salmah), tetapi juga SPT Pajak, undangan pernikahan dan lain sebagainya.

Jika kamu mendapatkan kiriman berupa file ekstensi APK seperti di atas atau link mencurigakan lainnya, jangan pernah sekali-kali klik link tersebut. Nah, berikut ada beberapa langkah yang bisa kamu lakukan ketika menerima kiriman file ekstensi APK atau link aneh :

1. Jika kamu tidak yakin, jangan ragu untuk bertanya ke orang yang lebih paham
2. Perhatikan nomor si pengirim. Jika benar dari instansi terkait, biasanya nomor WA sudah terverifikasi centang biru dan langsung muncul namanya
3. Selanjutnya kamu bisa cek nomor WA si pengirim melalui aplikasi Getcontact, agar tahu siapa pengirim sebenarnya
4. Kamu bisa blokir dan laporkan nomor WA si pengirim 

3. Jangan asal bagikan data pribadi

Dari beberapa form job endorses yang disebar di media sosial, saya kerap menemukan form yang meminta alamat rumah untuk dikirimkan produk yang akan di-endorse. Jika kamu para influencer menemukan form seperti ini, lebih berhati-hati dan teliti. Jika kamu tidak yakin, sebaiknya jangan terburu-buru membagikan alamat rumah, karena belum tentu juga kamu keterima untuk job endorse tersebut, iya kan??. 

Selain alamat rumah, jaga kerahasiaan data krusial lainnya, misalnya saja nama ibu kandung, foto KTP, nomor KTP hingga nomor NPWP. Apalagi nama ibu kandung merupakan data paling rahasia yang tidak boleh sembarangan disebarkan ke publik. Oh iya, kamu bisa baca artikel ini untuk mengetahui alasannya ya Fakta Mengapa Bank Menggunakan Nama Ibu Kandung untuk Sandi Keamanan.

Berikut adalah 7 jenis data pribadi yang tidak boleh kamu sebarluaskan di media sosial :

1. Nomor identitas pribadi, seperti NIK, KTP, SIM, nomor KK, NPWP, nomor Paspor, nomor plat kendaraan, nomor kartu kredit, hingga nomor keanggotaan (rumah sakit, klinik, gym dan lainnya)
2. Foto dokumen pribadi, seperti foto KTP, SIM, paspor, akta kelahiran, ijazah, tiket perjalanan, buku tabungan, slip gaji, boarding pass, sertifikat tanah dan dokumen pribadi lainnya
3. Nama panggilan atau nama masa kecil atau nama gadis ibu kandung
4. Tanda tangan, bisa digunakan oleh para pelaku cybercrime untuk membobol rekening tabungan dan berbagai kejahatan lainnya
5. Alamat rumah lengkap dan nomor kontak (WhatsApp, nomor telepon rumah)
6. Informasi medis, seperti riwayat penyakit, alergi dan foto rontgen, karena bisa disalahgunakan untuk mengakses rekam medis kamu, ataupun data kamu akan digunakan untuk menjual produk kesehatan
7. Geolocation atau lokasi kamu saat ini, misalnya rumah, kantor ataupun lokasi penting lainnya

4. Pasang antivirus pada device yang kamu gunakan

Berbagai cara dilakukan pelaku cybercrime untuk menjerat korban sebanyak-banyaknya. Salah satunya dengan menyebarkan malware melalui perangkat yang digunakan calon korban, misalnya saja PC, laptop atau ponsel. Tidak ada salahnya kamu memasang antivirus pada beberapa perangkat untuk mencegah virus maupun malware masuk.

Pilih software antivirus dari perusahaan legal dan terpercaya, agar perangkat kamu benar-benar terlindungi secara maksimal sekaligus bisa menggunakan fitur-fitur yang ada secara lengkap. Cara ini cukup efektif untuk meminimalisir serangan siber maupun kejahatan social engineering. Namun meski demikian, kamu tetap harus selalu waspada pada akun ataupun website yang mencurigakan. 

Manfaat yang akan kamu dapatkan jika memasang antivirus pada perangkat :

1. Pencegahan terhadap serangan malware, ransomware dan lainnya
2. Memberikan perlindungan firewall
3. Peningkatan kinerja sistem
4. Mengurangi risiko kehilangan data
5. Memantau aktivitas mencurigakan
6. Memberikan perlindungan yang kuat untuk pencadangan dan enkripsi file penting
7. Keamanan transaksi online
8. Perlindungan dari upaya serangan phishing
9. Peningkatan privasi
10. Keamanan yang komprehensif

5. Lakukan verifikasi akun

Cara mencegah bahaya serangan social engineering yang bisa kamu lakukan adalah melakukan verifikasi akun media sosial, akun mobile banking dan akun penting lainnya. Langkah ini penting dilakukan agar mengurangi risiko akun kamu dibobol oleh hacker yang ingin mencuri data penting. 

Biasanya bentuk verifikasi pada setiap platform berbeda-beda, ada yang melalui kode OTP yang dikirimkan melalui email atau nomor ponsel dan ada juga yang meminta memasukkan nomor PIN. Untuk WhatsApp pun sudah tersedia verifikasi dengan memasukkan PIN 6 digit agar lebih aman dan terlindungi.

Adapun jenis verifikasi yang bisa kamu lakukan adalah sebagai berikut :

1. Verifikasi berbasis PIN atau password, pengguna diminta memasukkan PIN atau password yang telah dibuat untuk mengakses akun
2. Verifikasi biometrik terdiri dari sidik jari, pengenalan wajah atau pemindaian retina
3. Verifikasi dua faktor (Two-Factor Authentication/TFA), dengan menggabungkan dua metode verifikasi, seperti memasukkan password lalu mengonfirmasi dengan kode yang dikirim melalui SMS
4. Verifikasi berbasis dokumen, metode yang melibatkan penggunaan dokumen identitas resmi, seperti KTP, paspor atau SIM yang dipindai dan diverifikasi secara digital
5. Verifikasi melalui kecerdasan buatan (AI), menganalisis pola perilaku pengguna dan menelusuri aktivitas dalam internet

6. Aktifkan filter spam email dan kenali email palsu (scammer)

Tahun 2020 lalu, saya pernah menerima email yang isinya undangan tahapan tes seleksi dari salah satu perusahaan ternama. Kebetulan saat itu saya memang sedang mencari pekerjaan. Namun sebelum lanjut membalas email tersebut, saya agak curiga dengan alamat email si pengirim yang masih memakai email gratisan (masih menggunakan @gmail.com), bukan menggunakan email perusahaan resmi.

Akhirnya saya tidak membalas email tersebut, karena terindikasi penipuan yang meminta bayaran di depan sebelum saya bekerja. Mau kerja, tapi kok malah disuruh bayar.

Nah, untuk meminimalisir terjadinya penipuan atau serangan hacker melalui email, kamu bisa menggunakan filter spam email untuk menyaring email dengan domain mencurigakan atau email yang sudah terindikasi spam. Hal ini dinilai mampu mengurangi risiko terjadinya social engineering pada akun email kamu.

Sekali lagi, waspada dan teliti ketika kamu menerima email masuk, apakah memang asli dari perusahaan atau akun hacker yang sedang menyamar. Hal ini bisa ditandai dari jenis domainnya yang digunakan dan juga informasi yang tercantum pada email tersebut.

Berikut cara mengenali ciri-ciri email palsu :

1. Cek format alamat email, perhatikan dengan seksama alamat email yang digunakan. Misalnya email asli @apple.com, sementara scammer mengelabuinya jadi appleinc.com
2. Perhatikan tautan atau lampiran yang dikirim oleh email tersebut. Jangan pernah klik link atau lampiran yang mencurigakan
3. Perhatikan bahasa yang digunakan biasanya tidak profesional atau terlihat aneh
4. Cek alamat email melalui situs web : https://email-checker.net/validate
5. Pengirim email tidak menyebutkan nama kamu langsung, karena biasanya mereka akan mengirim email secara acak. Kalaupun mereka mengenali nama kamu, pastikan kamu lakukan ke-4 langkah di atas ya

7. Jangan asal download file

Cara mencegah social engineering yang terakhir adalah hati-hati ketika kamu mengunduh file asing dari sebuah situs web. Tidak sedikit kasus social engineering yang menggunakan media file untuk bisa mengakses data-data pribadi dari perangkat yang kamu gunakan. 

Sebelum mengunduh file, pastikan double check situs web yang dikunjungi sudah aman dan terbebas dari link mencurigakan, sehingga kecil kemungkinannya bagi hacker untuk menyusupkan malware ke dalam file tersebut.

Cara agar tidak terjebak dengan situs web scam :

1. Perhatikan URL situs web, situs web yang asli biasanya menggunakan HTTPS dan top-level domain (.com, .net, .co.id dan lainnya)
2. Perhatikan tanda gembok, pastikan situs web yang dikunjungi memiliki tanda gembok yang menyatakan "secure connection" atau "connection is secure"
3. Perhatikan kalimat yang digunakan, coba kamu baca kalimat atau artikel dari situs web scam, biasanya susunan katanya masih berantakan, aneh dan tidak jelas
4. Situs web scam biasanya terlalu banyak menampilkan iklan yang memenuhi seluruh halaman situs web. Iklan yang tampil pun tidak jelas
5. Verifikasi dengan menghubungi situs web yang bersangkutan, situs web kredibel biasanya mencantumkan kontak yang bisa dihubungi, berupa nomor ponsel atau alamat email
6. Cek pemilik domain lewat situs web www.whois.net, agar kamu tahu informasi pemilik situs web tersebut secara detail

Selalu Waspada Terhadap Kejahatan Social Engineering

Dampak kerugian dari kejahatan social engineering ini sangat besar. Tidak hanya saldo rekening di aplikasi perbankan saja yang ludes, tetapi data pribadi juga bisa dicuri. Hal ini tentu saja menimbulkan rasa trauma bagi beberapa orang.

Lantas, apakah kita tidak perlu menggunakan aplikasi m-banking biar tidak jadi korban social engineering? 

Konsepnya tidak seperti itu ya. Ingin menghindari bahaya cybercrime bukan berarti harus menghindari memanfaatkan teknologi, tetapi menurut saya justru kita yang mesti upgrade knowledge dan sistem keamanan data di perangkat juga perlu dijaga.

Saya selama ini pakai m-banking BRImo pun masih aman-aman saja loh. Apalagi setiap perusahaan perbankan, seperti BRI misalnya pastinya sudah memiliki sistem keamanan yang canggih untuk menjaga data para nasabahnya.

Aplikasi BRImo menyediakan laporan transaksi secara detail

Enaknya nabung di BRI itu banyak benefit yang bisa kita dapatkan, misalnya saja promo di beberapa merchant yang bisa menghemat pengeluaran. Aplikasi BRImo juga sangat mempermudah dalam melakukan berbagai transaksi digital. 

Sebagai bank yang paling unggul di sektor UMKM, Bank BRI terus menjaga pertumbuhan bisnis dan berkontribusi secara economic maupun social values. 

Tidak hanya itu saja, BRI juga telah berhasil mendapatkan berbagai pencapaian dan kontribusi dalam #MemberiMaknaIndonesia, di antaranya adalah sebagai berikut :

1. Perusahaan BUMN penyumbang deviden dan pajak terbesar ke negara 
2. Telah memberdayakan lebih dari 2.182 desa
3. Economic sharing melalui agen BRILink
4. Menyelamatkan pelaku UMKM melalui restrukturisasi kredit
5. Unggul dalam pemberdayaan UMKM
6. Kontribusi holding UMi (Usaha Mikro) jangkau nasabah lebih luas
7. Dukung transaksi cashless dengan menggunakan QRIS
8. Konsisten terapkan ESG (Environmental, Social and Governance)

Konklusi

Setelah membaca penjelasan di atas, social engineering merupakan kejahatan siber yang bisa menimpa siapa saja. Tidak peduli kita jago teknologi sekalipun, rasanya tidak luput dari serangan kejahatan siber. Maka dari itu, sebagai pengguna internet, kita harus lebih hati-hati, teliti, cermat, bersikap kritis, smart dalam mengakses internet menggunakan ponsel maupun device lainnya, agar tidak terjebak dengan serangan social engineering.

Kita memang tidak bisa lepas dari yang namanya ponsel dan teknologi. Maka dari itu, bijaklah dalam menggunakan media sosial dan internet. Jika ada orang yang kamu anggap mencurigakan mengirimkan sesuatu melalui media sosial, email ataupun mengajak bertemu langsung, kamu bisa #BilangAjaGak agar kamu tidak menjadi korban social engineering.

And, last but not least, sampai kapanpun, kejahatan siber akan terus ada dan mengancam setiap saat. Sebagai pengguna internet, kita juga perlu upgrade pengetahuan dan rajin-rajinlah membaca informasi seputar teknologi, agar kita tidak gaptek alias gagap teknologi.

Semoga bermanfaat.

• Tweet
• Share
• Share
• Share
• Share

Related Post