Jangan Kalah Pintar dengan Pelaku Penipuan Digital
Tahukah kamu bahwa penipuan digital di Indonesia sudah masuk ke dalam kategori ekstrem? Menurut catatan Polda Metro Jaya, ada 2.300 laporan penipuan daring yang dialami oleh masyarakat sepanjang tahun lalu. Jika dibandingkan dengan laporan kriminal lainnya, angka penipuan digital jauh meninggalkan laporan kasus kriminal lainnya sehingga tergolong ekstrem.
Hal ini semakin memprihatinkan jika kita melihat temuan dari Direktorat Tindak Pidana Siber Bareskrim Polri. Selama 2019, mereka menerima 1.617 laporan penipuan dalam tindak pidana siber. Dari angka tersebut, 351 laporan di antaranya terkait dengan pengambilalihan akun berbagai aplikasi yang total nilai kerugiannya mencapai Rp73 miliar. Tidak menutup kemungkinan, jumlah kasus dan kerugian yang sebenarnya timbul bisa lebih banyak, mengingat korban penipuan digital belum tentu melaporkan kasusnya ke pihak berwajib.
Social engineering, atau dikenal juga sebagai rekayasa sosial, menjadi modus yang dilakukan oleh para pelaku kejahatan siber ini. Lantas, apa itu social engineering? Secara umum, ia merupakan bentuk pengelabuan untuk membuat korban memberikan informasi pribadinya yang sifatnya sensitif melalui sebuah sistem. Modus ini menjadi berbahaya karena ia memanfaatkan kelengahan korban, dan saat ini masih banyak pengguna internet yang tak menyadari nilai informasi pribadi dan tidak mengetahui bagaimana mengamankannya.
Pada umumnya, praktik social engineering memiliki pola yang khas. Para pelaku awalnya melakukan investigasi terhadap korbannya untuk mencari channel mana yang digunakan untuk melancarkan aksinya. Kemudian, pelaku berupaya untuk mendapatkan kepercayaan korbannya dan memberikan stimulus untuk mengarahkan korban agar melakukan tindakan-tindakan tertentu, seperti melakukan klik pada tautan. Setelahnya, pelaku meminta korban memberikan informasi pribadinya dengan iming-iming memberikan imbalan setelahnya.
Walau punya pola yang konsisten, ada banyak jenis social engineering di dunia maya, sehingga kita harus waspada agar tidak terjebak pada salah satunya. Berikut beberapa di antaranya:
1. Baiting
Melalui teknik baiting, pelaku mengharapkan korbannya untuk mengambil umpan yang diberikannya. Untuk lebih memahaminya, bayangkan kamu sedang browsing di internet. Kemudian, kamu melihat iklan yang menarik perhatianmu, misalnya tentang aplikasi trading yang menjanjikan untung besar.
Kamu tertarik dengan umpan tersebut dan mengklik iklannya, lalu mengunduh aplikasinya. Ternyata, aplikasi tersebut sudah diisi oleh malware yang tidak hanya bisa merusak sistem ponsel, namun juga dapat diprogram untuk mengeruk berbagai informasi pribadi penggunanya.
2. Phishing
Teknik yang paling umum dijumpai dan bisa dibilang paling sukses menjerat korban. Phishing dapat dijalankan dengan mengirim pesan kepada korban dalam berbagai bentuk, mulai dari SMS hingga email.
Biasanya SMS atau email tersebut mengatasnamakan pelayanan pelanggan dari perusahaan ternama dan memberi tahu bahwa kamu akun kamu terkunci, ada transaksi mencurigakan atau juga pengumuman kalau kamu sudah telah memenangkan undian berhadiah. Di situ, pengirim menyertakan tautan yang bisa mengarahkan kamu ke sebuah situs palsu. Lalu, kamu akan diminta untuk login dengan informasi akun asli kamu, yang dapat mereka gunakan untuk mengambil alih akun tersebut, atau bahkan akun lainnya yang menggunakan email serupa.
Phishing juga bisa dilakukan dengan memanfaatkan fitur autofill pada browser yang dapat memunculkan informasi tidak hanya di kotak yang tampak pada laman yang diakses oleh pengguna. Ayo kita kembali lagi ke situs e-commerce palsu di atas.
Anggap kamu sudah berada di dalamnya, dan dihadapkan pada laman yang berisi kotak untuk mengisi nama dan email. Fitur autofill yang ada di browser secara otomatis memberikan rekomendasi begitu kamu mengetik huruf awal dari nama atau email kamu. Ternyata, fitur ini juga memberikan informasi lain seperti nomor telepon hingga alamat kepada pemilik situs walaupun laman yang kita kunjungi tidak meminta untuk memberikan informasi tersebut.
3. Vishing
Vishing dapat diartikan sebagai voice phishing, yakni phishing yang menggunakan panggilan suara. Pelaku akan menelepon korban untuk mendapatkan informasi sensitif. Contohnya, bayangkan kamu bekerja di sebuah perusahaan media online.
Suatu waktu kamu mendapat telepon dari pelaku yang berpura-pura sebagai rekan kerja kamu. Ia mengeluhkan akunnya tidak dapat digunakan untuk masuk ke dalam content management system (CMS) perusahaan dan ingin meminjam akun milikmu. Kamu pun menyerahkannya, dan dia dapat memiliki akses menuju CMS, atau bahkan sistem perusahaan lainnya.
4. Spear Phishing
Spear phishing merupakan teknik phishing yang lebih terarah. Pelaku sudah merancang pesan yang dikirim kepada korban berdasarkan karakteristik, pekerjaan, hingga relasinya. Ini bisa dibilang lebih berbahaya karena lebih saru sehingga sulit dideteksi.
Skenarionya bisa seperti ini. Pelaku berpura-pura sebagai konsultan IT perusahaan kamu, lalu mengirim email ke kamu dan karyawan lainnya dengan pesan yang sudah dirancang semirip mungkin dengan konsultan IT perusahaan kamu yang sesungguhnya. Email tersebut dapat berupa pemberitahuan mengenai pembaruan akses wi-fi dan meminta karyawan untuk melakukan penggantian password, sehingga pelaku bisa memiliki akun kantor sejumlah karyawan untuk mengakses sistem perusahaan.
Salah satu variasi dari spear phishing adalah whaling attack yang menyasar petinggi sebuah bisnis. Pelaku bisa berpura-pura menjadi mitra strategis dari perusahaan yang dipimpin korban untuk mendapatkan informasi sensitif dari korban.
5. Account Hacking
Mirip dengan spear phishing, account hacking juga tampak saru. Bedanya, pelaku benar-benar mengambil alih akun milik orang lain untuk mengelabui korbannya.
Contoh yang sedang marak dari account hacking adalah penipuan melalui aplikasi ojek online. Beberapa selebritas bahkan pernah menjadi korban penipuan ini yang mengakibatkan saldo dompet digital mereka dikuras lantaran akunnya dibajak oleh pelaku, yang diketahui juga sudah membajak akun milik mitra ojek online terlebih dahulu. Pembajakan akun dapat dilakukan dengan meminta korban mengirimkan kode one-time password (OTP) yang dikirimkan ke ponsel korban.
6. Pretexting
Pretexting mirip dengan spear phishing terkait dengan penyampaian pesan yang meyakinkan. Bedanya, pretexting tidak mementingkan relasi korbannya.
Contohnya, pelaku berpura-pura menjadi polisi dan mengirimkan pesan atau email kepada kamu, mengatakan bahwa kamu melakukan pelanggaran lalu lintas. Pelaku pun meminta informasi pribadi kamu atau bahkan bisa meminta kamu untuk melakukan transfer uang dengan dalih sebagai bagian dari proses persidangan.
7. Scareware
Melalui teknik scareware, pelaku menyerang korban dengan berbagai peringatan maupun ancaman palsu. Salah satu implementasi yang paling jamak ditemukan adalah peringatan palsu yang mengatakan bahwa perangkat korban telah terinfeksi malware.
Bayangkan kamu sedang browsing dan menemukan ada banner yang muncul secara pop-up bertuliskan “HP kamu telah terinfeksi virus!”. Dari situ, pelaku menawarkan korban untuk mengunduh tool sebagai solusinya. Begitu banner tersebut diklik, perangkat korban justru akan benar-benar terinfeksi malware yang berpotensi dapat mengeruk berbagai informasi sensitif.
8. Evil Twin
Evil twin menjaring korban berbekal wi-fi palsu. Pelaku akan membuat access point palsu yang tampak asli dengan meniru alamat MAC (media access control) dan nama SSID (service set identifier) dari jaringan sungguhan yang tersedia.
Begitu korban sudah menghubungkan perangkatnya dengan wi-fi palsu tersebut, pelaku bisa melakukan intervensi di traffic yang terhubung antara korban dengan hosting internet. Tujuannya adalah untuk mencuri informasi pribadi yang dapat berdampak pada pengambilalihan akun hingga pembobolan rekening bank maupun dompet digital.
9. SIM Swap
Praktik ini bisa dibilang komplementer dengan metode social engineering lainnya. Pasalnya, pelaku membutuhkan berbagai informasi pribadi korban terlebih dahulu, seperti nama, email, hingga alamat, sebelum bisa melakukan SIM swap.
SIM swap sendiri merupakan pemindahan nomor telepon korban ke kartu SIM pelaku. Untuk melakukannya, pelaku yang bermodalkan informasi pribadi milik korban bisa menghubungi pihak operator untuk mengaktifkan kartu SIM baru yang diisi oleh nomor telepon korban. Setelahnya, pelaku dapat mengakses dompet digital hingga rekening.
Ancaman social engineering memang berbahaya, namun bukan berarti modus operandi ini tidak bisa dicegah. Berikut beberapa tips yang bisa kamu terapkan untuk menghindarinya:
1. Teliti
Pastikan kredibilitas sumber informasi yang kamu dapatkan.
2. Tenang
Jangan buru-buru mengikuti perintah pelaku yang menyangkut informasi pribadi hingga pembayaran, apalagi jika disertai dengan iming-iming yang tampak too good to be true.
3. Melindungi perangkat
Perbarui sistem operasi, antivirus, hingga browser di dalam perangkat dan menggunakan tools yang membantu seperti anti-spam filters hingga ad blocker.
4. Memaksimalkan keamanan akun
Menggunakan multifactor authentication untuk meningkatkan pengamanan akun.
5. Punya email terpisah
Jika diperlukan, kamu bisa punya paling tidak dua email untuk pribadi dan publik.
Selain itu, kamu juga perlu mengetahui apa saja yang perlu dilakukan jika kamu atau kerabat menjadi korban social engineering. Berikut beberapa tindakan yang bisa dilakukan:
1. Melaporkan tindakan tersebut ke polisi.
2. Ganti password berbagai akun kamu jika kamu menyadari informasi sensitif terkait dengan akun-akun kamu sudah berpindah tangan. Pastikan password baru ini lebih aman dan lebih terjaga kerahasiaannya.
3. Menghubungi institusi finansial, penyedia aplikasi, hingga operator bersangkutan jika informasi sensitif terkait sudah berpindah tangan.
4. Apabila pelanggan Telkomsel merasakan telah terjadi aktivitas mencurigakan yang melibatkan penggunaan nomor pelanggan tanpa sepengetahuan dan sepersetujuan pelanggan ataupun terdapat indikasi aktivitas penipuan, pelanggan juga dihimbau untuk melaporkan kejadian tersebut kepada layanan pelanggan Telkomsel dengan berbagai cara:
- Menghubungi 188 (layanan call center 24 jam). Bagi pengguna prabayar dikenakan biaya Rp 300 saat terhubung dengan customer service.
- Mengirimkan SMS pengaduan ke 1166 (gratis) dengan format PENIPUAN#NO. MSISDN PENIPU#ISI SMS PENIPUAN
- Mengirim Email ke cs@telkomsel.com, mention melalui akun resmi sosial media Telkomsel di facebook.com/telkomsel atau twitter di @telkomsel
Praktik social engineering ada di sekitar kita. Meski demikian, tugas kita bukan untuk menyalahkan perkembangan teknologi, namun memanfaatkan teknologi semaksimal mungkin untuk mencegah berbagai bentuk kejahatan siber. Untuk itu, mari kita tingkatkan literasi digital untuk diri sendiri dan orang-orang sekitar agar kita semua memahami betapa berharganya informasi pribadi kita, sehingga kita bisa menjaganya agar tidak berpindah tangan.