Oleh: Aditya Aziz Fikhri*
Dengan kata lain, social engineering adalah kejahatan yang dilakukan dengan tujuan memanipulasi psikologi korban dengan tindakan tertentu untuk keuntungan pelaku.
Perkembangan teknologi dan platform berbasis digital semakin melejit dari masa ke masa, tak terkecuali dalam masa pandemi. Work from home (WFH) yang menjadi alternatif kegiatan saat pandemi ini tidak akan terlaksana tanpa perkembangan teknologi. Selanjutnya, hampir semua lini kehidupan seperti pendidikan, perekonomian, komunikasi, dan hiburan telah menggunakan teknologi. Dalam dunia pendidikan, malah ada bentuk kolaborasi teknologi yang digunakan. Zoom adalah terobosan penggunaan aplikasi video conference yang menfasilitasi berlangsungnya pertemuan daring menggunakan video dan audio. Sekarang ini, aplikasi zoom sudah banyak digunakan dalam webinar atau seminar daring.
Perkembangan teknologi baik itu perangkat keras, perangkat lunak, sampai keamanan data dan jaringan sangatlah masif sehingga sudah minim sekali celah kekurangan dari teknologi. Perkembangan teknologi pada level tersebut tidak membuat para penjahat diam diri, mereka terus melakukan upaya-upaya untuk menggali celah-celah dan kelemahan teknologi guna mendapatkan keuntungan pribadi.
Aktivitas ini nantinya akan mengarah pada jenis kejahatan digital (cyber crime). Salah satu bentuk kejahatan digital yang terjadi adalah rekayasa sosial atau social engineering.
Menurut Kaspersky, rekayasa sosial adalah sebuah teknik manipulasi yang memanfaatkan kesalahan dan keteledoran seseorang untuk mendapatkan akses informasi pribadi atau data-data berharga orang tersebut. Dengan kata lain, social engineering adalah kejahatan yang dilakukan dengan tujuan memanipulasi psikologi korban dengan tindakan tertentu untuk keuntungan pelaku.
Di Indonesia social engineering dilakukan ketika calon korban sedang dalam kondisi tidak normal (abnormal) karena sangat gembira atau sangat sedih. Kondisi ini dimanfaatkan oleh pelaku sehingga tanpa disadari korban direkayasa/dikelabui yang berakhir dengan bocornya data pribadi.
Salah satu kasus rekayasa sosial yang kerap terjadi berupa pemberian hadiah dari pelaku kepada calon korban. Untuk meyakinkan korban, pelaku mengatasnamakan dirinya sebagai perwakilan instansi/organisasi besar dan terkenal. Pelaku menghubungi korban melalui telepon genggam (handphone) dan memberitahukan bahwa korban adalah salah satu pemenang dalam sebuah undian dengan hadiah uang tunai miliaran atau kendaraan-kendaraan mewah. Selanjutnya ketika si calon korban mulai terpancing dan tergiur dengan iming-iming tersebut, pelaku menginformasikan bahwa ada beberapa persyaratan yang harus dipenuhi oleh si calon korban untuk mendapatkan hadiah tersebut.
Beberapa persyaratan yang kerap diminta oleh pelaku adalah nomor rekening bank, alamat rumah, tanggal lahir, dan lain-lain yang menjadi data pribadi korban agar hadiah bisa dikirimkan kepada korban. Calon korban yang sudah dimabuk kepayang dan gelap mata itu tentu sudah hilang akal sehatnya karena sangat bahagia. Ia dengan serta merta akan memenuhi apapun permintaan si pelaku asal ia bisa segera mendapat dan memiliki semua harta benda yang dijanjikan.
Sampai tahap ini, semua informasi pribadinya sudah tergadai. Kasus tersebut dalam social engineering disebut human hacking, pelaku tidak mengelabui sistem, tetapi merekayasa sang korban. Penipuan ini terlaksana dengan memanipulasi psikologis korban dan selanjutnya strategi serangan dibangun berdasarkan cara korban berpikir dan bertindak.
Serangan Social Engineering
Menurut imperva.com (diakses 3/11/2021), ada lima bentuk serangan rekayasa sosial yang paling umum ditemukan. Pertama, baiting; merupakan serangan social engineering yang paling sering ditemukan. Sesuai namanya, baiting menggunakan serangan umpan dalam bentuk janji palsu untuk memancing keserakahan atau keingintahuan korban. Penyerang akan memikat korban ke dalam perangkap, di mana nantinya mereka akan mencuri informasi pribadi atau menyebabkan sistem device korban untuk terkena malware.
Kedua, pretexting; pelaku memperoleh informasi melalui serangkaian kebohongan yang dibuat dengan cerdik. Penipuan rekayasa sosial ini sering kali diprakarsai oleh pelaku yang berpura-pura membutuhkan informasi sensitif dari korban untuk melakukan tugas penting.
Ketiga, phishing; merupakan jenis serangan social engineering yang paling berbahaya. Sering kali, bentuk penipuan ini hadir dalam kampanye email dan pesan teks yang bertujuan untuk menciptakan urgensi, keingintahuan, atau ketakutan pada korban. Kemudian, penyerang akan mendorong korban untuk mengungkapkan informasi sensitif, mengklik tautan ke situs web berbahaya, atau membuka lampiran yang berisi malware.
Keempat, spear-phishing; adalah versi penipuan phishing yang lebih terstruktur, di mana penyerang akan memilih individu atau perusahaan tertentu. Penyerang kemudian akan menyesuaikan pesan mereka berdasarkan karakteristik, posisi pekerjaan, dan kontak milik korban agar serangan mereka tidak terlalu mencolok. Spear-phishing membutuhkan lebih banyak upaya, dan mungkin membutuhkan waktu berminggu-minggu hingga berbulan-bulan untuk melakukannya.
Masyarakat digital harus sadar akan bahaya yang mengancam data pribadi mereka. Oleh karena itu, untuk menghindari bentuk social engineering, mdsny.com (diakses 3/11/2021) memberikan langkah-langkah yang dapat dilakukan untuk menghindari social engineering.
Pertama, jangan mengklik tautan yang mencurigakan. Kedua, periksa kembali sumber situs yang ingin dibuka. Ketiga, hindari percakapan dengan orang asing. Keempat, hindari mengunduh dokumen yang tak dikenal. Kelima, anggap saja bahwa seluruh tawaran hadiah itu palsu. Keenam, tolak request email atau pesan dari orang yang tak dikenal. Terakhir, Selalu ingat akan risiko kehilangan informasi penting.
Dalam era digital seperti sekarang, hampir semua informasi disimpan dalam bentuk digital. Begitu pula hampir semua kegiatan manusia modern dilakukan dengan mudah menggunakan media digital. Karena itu mustahil kita sebagai masyarakat untuk menghindari penggunaan perangkat digital. Terlebih lagi dimasa pendemi seperti sekarang yang dituntut untuk bekerja, belajar dan beraktifitas dengan perangkar elektronik dari jarak jauh.
Dengan masifnya penggunaan media digital dan betapa seluruh manusia menggantungkan aktifitasnya pada gawai dan perangkat elektronik lainnya ternyata telah memicu pencurian informasi digital melalui berbagai cara oleh orang-orang yang tidak bertanggung jawab. Social engineering bukanlah sesuatu yang baru dalam teknologi. Dari zaman HP jadul pun, social engineering sudah ada.
Media yang digunakan dalam social engineering pada saat itu juga beragam, pelaku dapat mengelabui korban dengan media telepon, SMS, e-mail, website maupun berbagai media sosial. Cara kerja serangan juga sangat terstruktur dan tidak berantakan. Karena itu sangat penting tidak mudah diprovokasi oleh situasi-situasi tertentu yang menyebabkan kelengahan kita sebagai individu.
Di dalam dunia pendidikan, penggunaan data berbasis digital saat ini telah marak digunakan untuk berbagai keperluan. Sebut saja, data siswa dan orangtua di dalam bank data sekolah sebagai salah satu kelengkapan administrasi sekolah yang mencakup semua informasi pribadi siswa dan data orang tua tersimpan secara digital.
Selain itu, penilaian hasil belajar siswa juga sudah dilakukan secara digital. Tidak hanya disimpan melalui aplikasi, penilaian hasil belajar siswa juga seringkali dilaporkan secara digital kepada orang tua atau pihak berwenang lainnya. Maka dari itu menjaga data pribadi seluruh warga sekolah dan hasil belajar siswa perlu terus diupayakan demi keamanan diri pribadi siswa, orangtua dan lembaga pendidikan. Wallahu a’lam.
