Penipuan masih dan akan selalu jadi ancaman. Bentuknya bisa berupa “social engineering“, memanfaatkan aspek psikologis baik di ranah daring maupun luring, demi mendapatkan data pribadi. Data-data pribadi tersebut, kemudian digunakan untuk mencuri aset korban.
Awalnya, bisa dari fitur di media sosial yang populer di mata pengguna, seperti “Add Yours” dari Instagram. Fitur yang menghebohkan netizen Indonesia, ini membuat pengguna lupa ada beberapa informasi yang seharusnya haram dibagikan ke publik.
Lantaran fitur seperti ini, data-data pribadi tersebar secara sukarela. Stiker lewat Stories yang diumumkan Instagram per 1 November 2021 itu memungkinkan pengguna memulai tren atau tantangan. Bisa berbentuk gambar atau video (disertai teks), agar diikuti pengikutnya (follower).
Salah satu kasus mencuat ketika tantangan yang direspons adalah variasi nama panggilan pengguna. Beramai-ramai Instagramer menyebarkan nama panggilannya kepada publik. Rupanya bukan sekadar publik pengguna biasa yang memantau, tetapi juga pelaku kejahatan.
Hebohlah pengakuan penipuan lantaran nama panggilan ini. Seseorang mengaku dikontak oleh pelaku yang menyaru sebagai temannya, lalu meminjam uang. Karena si penipu menyebut korban dengan nama panggilan yang (awalnya) hanya diketahui oleh teman akrab, si korban tak berpikir panjang.
Belum diketahui persisnya bagaimana kejadian ini berawal, tapi diduga kuat tantangan “variasi nama panggilan kamu” telah dieksploitasi pelaku. Si korban merasa pernah mengikuti tantangan tersebut di Instagram. Selain tantangan ini ada pula yang ramai beredar, mengungkap tanggal lahir, hingga nama pasangan.
Terlepas kasus barusan sebuah aksi terencana untuk mencuri data pribadi, atau hanya kebetulan belaka, ini adalah cara sempurna memanipulasi pengguna menyerahkan data pribadinya. Data seperti tanggal lahir, nama orang tua sebelum menikah, atau info lain yang lazim menjadi “super password” dalam urusan kependudukan.
Ternyata ada penjelasan mengapa pengguna, atau aspek manusia, menjadi celah keamanan yang paling rentan dimanfaatkan pelaku kejahatan, khususnya melalui rekayasa sosial.
Kesalahan fitur atau pengguna?
Tentang “Add Yours” Instagram
Fitur baru Instagram ini sudah menampakkan celahnya sejak awal diluncurkan. Awal November lalu muncul utas tantangan bertajuk “Kami akan menanam 1 pohon untuk setiap gambar hewan peliharaan”. Setelah lebih dari 4 juta kiriman turut berpartisipasi, mulai muncul pertanyaan, siapa sebenarnya yang akan menanam pohon?
Akun Instagram Plant A Tree Co mengaku bertanggung jawab atas tren tersebut. Mereka mengatakan bahwa kiriman tersebut dimulai untuk meningkatkan kesadaran tentang menanam pohon. Belakangan mereka menyadari kampanye itu meledak melebihi harapan, dan tidak cukup sumber daya untuk menanam seperti yang dijanjikan. Mereka pun menghapusnya.
“Kami hanya ingin mencoba fitur stiker Instagram baru dan berpikir dapat menggunakannya secara menyenangkan dan bermanfaat bagi lingkungan. Jadi kami membuat postingan meski belum terlalu paham cara kerja ‘Add Yours’,” kata Zack Saadioui, sarjana ilmu komputer berusia 23 di belakang aksi Plant A Tree Co itu kepada Vice.
Namun stiker itu telanjur menyebar, tanpa nama, dan tak terkendali. Instagram yang tersadar, akhirnya turun tangan. “Utas ‘Tanam satu pohon untuk setiap gambar hewan peliharaan’ ini dinonaktifkan untuk membatasi kesalahpahaman tentang siapa yang membuatnya,” kata juru bicara Meta, perusahaan induk Instagram seperti dikutip BBC Newsround.
Bukan sepenuhnya salah Instagram
Apakah dalam kasus ini, fitur Instagram memiliki celah keamanan? Secara teknis, mungkin tidak. Belum ada berita tentang data pengguna yang dicuri dari server Instagram, setidaknya hingga artikel ini ditulis. Publik pun berpaling pada trik rekayasa sosial, penyebab pengguna masuk ke dalam “perangkap”.
Anggaplah si pembuat utas tak bermaksud jahat, sekadar seru-seruan di linimasa. Godaan untuk turut berpartisipasi dalam ajang seru-seruan di linimasa, telah membuat pengguna lengah. Pasalnya, jenis informasi yang dijadikan tantangan adalah informasi sensitif.
Trik yang sangat menggoda, adalah salah satu modus lazim dalam penipuan. Aksi jahat di internet tidak sekadar melibatkan urusan teknis dalam sistem komputer (misalnya, packet sniffing dan pengumpulan data), juga mengeksplorasi fitur psikologis pengguna. Social engineering termasuk dalam ekspoitasi dari sisi psikologis.
Social engineering, atau diterjemahkan sebagai rekayasa sosial, populer di kalangan hacker atau peretas. Saat mencuri kata sandi semakin sulit dilakukan secara teknis, rekayasa sosial bisa membuat pemilik password (tanpa sadar) menyerahkan kata sandinya secara sukarela.
Beragam bentuk rekayasa sosial
Kelemahan manusia jadi incaran
Teknik rekayasa sosial berlaku dengan mengincar mata rantai terlemah dalam sistem keamanan: manusia. Berbagai cara, daring maupun luring, digunakan untuk memanipulasi pengguna, misalnya agar mentransfer uang seperti yang sedang diramaikan netizen.
Metode seperti ini belakangan sering ditemukan di Indonesia. “Tren keamanan digital saat ini, kebanyakan yang terjadi sekarang itu penipuan dengan teknik social engineering. Istilahnya memang keren, padahal artinya penipuan,” kata CEO Digital Forensic Indonesia, Ruby Alamsyah, dalam diskusi virtual yang ditayangkan lewat akun YouTube AJI Indonesia, Selasa (16/11/2021).
Pernyataan Ruby itu seperti mengonfirmasi laporan Proofpoint pada 2019 bertajuk The Human Factor. Laporan itu menunjukkan 99 persen serangan siber menggunakan teknik rekayasa sosial untuk mengelabui pengguna agar menginstal malware. Lewat peranti jahat inilah, data-data sensitif dikirim ke pelaku kejahatan.
Menginstal malware hanya salah satu contoh. Masih banyak jenis manipulasi psikologis lain dalam rekayasa sosial. Di antaranya phishing, yang menjerat korban lewat situs tiruan. Saat korban “terperangkap”, merasa mengisi data pribadi ke situs yang disangkanya resmi, pelaku memanen data-data tersebut.
Trik-trik social engineering
Metode phishing bermacam-macam. Di antaranya angler phishing, serangan yang dilakukan melalui akun customer service palsu via media sosial. Ada pula BEC (business email compromise), yang mengirim email dengan mengaku sebagai karyawan senior atau bahkan atasan di tempat kerja.
Kemudian ada yang menggunakan pendekatan pharming, atau mengarahkan lalu lintas web dari situs yang sah ke situs tiruan yang berbahaya (untuk mencuri data yang diserahkan pengguna). Atau spear phishing, serangan yang menargetkan organisasi atau individu tertentu.
Lain lagi dengan metode tabnabbing atau reverse tabnabbing. Cara ini lebih canggih, karena pelaku menarget tab peramban yang sedang menampilkan situs resmi, sehingga tidak menimbulkan kecurigaan. Situs resmi tersebut (secara tidak sengaja) memuat tautan ke halaman baru (target), yang telah direkayasa pelaku.
Saat pengguna mengeklik tautan ke situs target, halaman baru terbuka, tetapi dijadikan pemicu untuk membuat tiruan dari laman sah yang sudah terbuka sebelumnya–menggantinya dengan situs phishing. Karena pengguna awalnya berada di halaman situs yang sah, mereka cenderung tidak menyadari situs tersebut telah jadi phishing.
Cara lainnya, penipuan dengan whaling atau CEO fraud. Serangan ini menargetkan individu berprofil tinggi, seperti anggota DPR atau pejabat tinggi di pemerintahan maupun lembaga swasta. Dengan berbagai kecanggihan teknik rekayasa sosial, siapapun bisa jadi korban.
Mengapa cara ini efektif
Ahli hukum Jonathan J. Rusch, pernah menjelaskan di situs Internet Society mengapa penipuan seperti beragam metode phishing berhasil mengelabui korban. Menurutnya ada tiga aspek psikologis yang paling berpengaruh: (1) Rute alternatif menuju persuasi; (2) Sikap dan keyakinan; serta (3) Teknik mempengaruhi dan persuasi. Ketiga aspek, bisa disebut sebagai kelemahan yang “sangat manusiawi”.
Pertama, dalam mempersuasi. Saat seseorang berusaha membujuk orang lain untuk melakukan sesuatu, psikologi sosial mengidentifikasi dua rute alternatif: Rute pertama, persuasi melalui argumen sistemik dan logis, dan rute sebaliknya. Kedua rute bukan berarti jalan menuju kejahatan.
Argumen sistemik dan logis dapat merangsang respons yang menguntungkan, mendorong pendengar atau pembaca berpikir secara mendalam, dan menyatakan persetujuan. Rute ini kemungkinannya kecil dilalui penjahat atau pelaku penipuan, karena melibatkan paparan argumentatif yang intens.
Sebaliknya, rute periferal untuk persuasi bergantung pada isyarat mental yang mengarah pada jalan pintas. Argumen logis dan kritis pun terlewati, langsung memicu penerimaan tanpa berpikir mendalam tentang masalah tersebut. Ini mirip dengan cara kerja hoaks.
Pelaku penipuan akan memilih skema rute periferal ke persuasi. Salah satu caranya, dengan membuat beberapa pernyataan yang memicu emosi yang kuat, seperti kegembiraan atau ketakutan berlebihan.
Misalnya, memikat calon korban dengan janji hadiah besar senilai ratusan juta atau miliaran rupiah. Iming-iming hadian menjadi gelombang emosi yang kuat–seperti bentuk gangguan psikologis lain–menghambat kemampuan korban untuk berpikir logis, misalnya untuk membantah.
Dimensi kedua dari psikologi sosial dalam penipuan melibatkan perbedaan antara sikap dan keyakinan korban tentang orang yang menipunya. Korban cenderung percaya pada siapa (penipu) yang berbicara dengan mereka, bukan tentang apa (isi pesan) yang dibicarakan.
Eksperimen psikologi sosial menunjukkan bahwa pada beberapa orang yang cenderung tidak meneliti pesan persuasif dengan cermat, sikap mereka setelah terpapar informasi tidak terlalu bergantung pada hasil penelaahan pesan, karena mereka menganggap sumbernya jujur.
Dengan demikian, beberapa korban penipuan mungkin cenderung bergantung terutama pada keyakinan atau kesan bahwa orang yang berurusan dengan mereka ini jujur, sehingga tidak terlalu memikirkan isi pesan.
Dimensi ketiga, terkait pengaruh psikologis yang dimanfaatkan penjahat terhadap korban. Sejumlah literatur menunjukkan setidaknya ada enam faktor yang mempengaruhi proses persuasi untuk membujuk atau mempengaruhi orang lain.
Keenam faktor ini memudahkan penjahat menjalankan aksinya. Rusch mengutip rumusan Robert B. Cialdini, dalam Influence (1993), tentang keenam faktor yang bisa menjelaskan mengapa rekayasa sosial berhasil mengelabui korbannya.
Enam faktor proses persuasi
Untuk membantu mencegah Anda menjadi korban serangan dan/atau meminimalkan kerusakan dari setiap serangan telanjur terjadi, kita perlu memahami mengapa ia bisa terjadi. Berikut keenam faktor yang memudahkan rekayasa sosial berlaku.
1. Otoritas
Dalam situasi yang tepat, orang menjadi sangat responsif terhadap otoritas, bahkan ketika orang yang mengaku berada dalam posisi itu tidak hadir secara fisik. Dalam sebuah studi, sejumlah perawat pernah diuji oleh dokter gadungan untuk memberikan obat kepada pasien tertentu.
Setidaknya ada empat faktor yang seharusnya mencegah perawat mempercayai begitu saja instruksi lewat telepon dari dokter gadungan tersebut. (1) Instruksi itu berasal dari “dokter” yang belum pernah bertemu atau berbicara dengan perawat.
Lalu (2) “dokter” itu mengirimkan resep melalui telepon, yang melanggar kebijakan rumah sakit; (3) obat yang bersangkutan tidak diizinkan untuk digunakan; dan (4) dosis yang ditentukan oleh “dokter” itu jelas-jelas berbahaya, dua kali lipat dari dosis maksimum.
Namun, apa yang terjadi. Dalam 95 persen kasus, perawat tetap menjalankan instruksi itu, hingga akhirnya pengamat penelitian menghentikan mereka untuk memberikan dosis palsu itu.
2. Kelangkaan
Penelitian oleh Dr. Jack Brehm dari Universitas Stanford menunjukkan bahwa orang semakin menginginkan barang itu karena sejumlah sebab. Dua di antaranya ketika mereka merasa bahwa kebebasan untuk mendapatkannya dibatasi, atau mungkin memang terbatas karena beberapa kondisi.
Ini yang membuat orang-orang sangat responsif bila barang tersebut sangat mereka inginkan. Keyakinan bahwa orang lain mungkin bersaing untuk barang langka dapat meningkatkan keinginan, bahkan dengan cara-cara yang tidak masuk akal.
3. Kesukaan dan kesamaan
Ini adalah kecenderungan manusiawi, bahwa terhadap seseorang yang memiliki karakteristik identik atau mirip dengan kita sendiri — tempat lahir, atau selera olahraga, musik, seni, atau minat pribadi lainnya — memberikan insentif yang kuat untuk mengadopsi mentalitas, jalan pintas, dalam berurusan dengan orang itu.
Unsur-unsur persamaan itu menimbulkan anggapan bahwa mereka yang mirip secara identitas atau persamaan nasib ini adalah orang yang bisa dipercaya. Ini kemudian menghilangkan rasa curiga. Alhasil, membuat orang cenderung menurunkan rasa kehati-hatian mereka.
4. Pertukaran
Naluri manusiawi menyatakan bahwa jika seseorang memberi (atau berjanji untuk memberi) sesuatu, kita merasakan kecenderungan yang kuat untuk membalas kebaikan itu dengan memberikan sesuatu. Bahkan saat balasan itu jauh lebih mahal daripada bantuan asli.
Meskipun bantuan yang ditawarkan tersebut tidak diminta, orang yang mendapat bantuan akan merasakan ada kewajiban untuk menghormati aturan “timbal balik” ini, semacam utang budi yang harus dibalas. Dengan mudah ia akan menyetujui balasan saat ditagih oleh pemberi tawaran bantuan.
5. Komitmen dan konsistensi
Jika kita berjanji untuk melakukan sesuatu, dan gagal memenuhi janji itu, hampir pasti kita dianggap tidak dapat dipercaya. Oleh karena itu, manusia cenderung bersusah payah untuk bertindak secara konsisten, meski dalam kondisi tertentu akhirnya menyadari bahwa beberapa konsistensi sebenarnya adalah tindakan bodoh.
Salah satu praktik sosial yang membuat kita rentan terhadap daya tarik konsistensi adalah penggunaan tulisan. Seorang psikolog sosial, Profesor Robert B. Cialdini, mengamati bahwa kecuali ada bukti kuat yang bertentangan, “Orang memiliki kecenderungan alami untuk berpikir bahwa sebuah pernyataan tertulis mencerminkan sikap yang sebenarnya dari sang penulis.”
Maka, saat seseorang menerima pernyataan tertulis yang dianggap meyakinkan, ia cenderung percaya pada apa yang telah ditulisnya saat merespons dengan pernyataannya sendiri. Ini menambah kesan bahwa kedua belah pihak telah menunjukkan sikap dan keyakinan mereka yang sebenarnya.
6. Bukti sosial
Dalam banyak situasi sosial, salah satu jalan pintas yang diandalkan untuk menentukan tindakan yang paling tepat, adalah dengan melihat apa yang dilakukan atau dikatakan orang lain. Fenomena ini dikenal sebagai “bukti sosial”, mampu mendorong manusia mengambil tindakan meski bertentangan dengan kepentingannya sendiri.
Pembenaran bahwa apa yang ia lakukan merujuk pada apa yang sudah dilakukan orang lain, membuatnya mengambil tindakan tersebut tanpa meluangkan waktu untuk mempertimbangkannya lebih dalam. Kultus dari Kuil Jonestown ke Gerbang Surga, misalnya, membuktikan tentang efek dari fenomena ini dalam situasi yang tepat.
Mengantisipasi Social Engineering
Mengurangi ancaman rekayasa sosial adalah komponen penting dari program keamanan siber. Selain memperkuat pertahanan dari sisi sistem, manusia adalah celah yang paling sulit diamankan. Ini karena metode untuk memanfaatkan celah keamanan pada manusia terlalu beragam dan sulit diduga.
Setidaknya ada empat hal penting yang disarankan sebuah lembaga bernama IT Governance, yang menyediakan pengelolaan risiko di dunia maya, dalam rangka meningkatkan pertahanan dari rekayasa sosial. Tips dari mereka konteksnya untuk staf perusahaan, tetapi diringkas kembali di sini menjadi tiga butir penting agar bisa dimanfaatkan publik yang lebih luas.
Budaya keamanan yang positif
Bila merasa menjadi korban rekayasa sosial, penting bagi korban untuk melaporkan insiden sesegera mungkin. Bila data pribadinya yang tersebar, setidaknya ia melaporkan kejadian tersebut ke penyedia layanan. Misalnya, bila terjadi di Instagram, segeralah melaporkan kiriman yang dicurigai telah melakukan rekayasa sosial, ke pihak Instagram.
Bila penipuan itu terjadi di luar jaringan, sebaiknya segera melaporkan ke polisi. Meskipun, saat ini citra kepolisian sedang tak menggembirakan dalam hal menindaklanjuti laporan warga, kita tak punya pilihan lain. Mengumumkan ke publik lewat media sosial, sebaiknya jadi pilihan terakhir, dengan mempertimbangkan segala risikonya.
Waspadai taktik rekayasa sosial
Serangan rekayasa sosial tidak selalu mudah dideteksi, jadi penting untuk memahami taktik yang mereka gunakan, seperti:
- Menyamar sebagai entitas tepercaya, seperti merek atau orang yang dikenal;
- Menciptakan rasa urgensi yang salah untuk membingungkan korban, seringkali dengan memprovokasi mereka menjadi ketakutan atau kegembiraan berlebih sehingga bertindak cepat tanpa berpikir dengan benar; dan
- Mengambil keuntungan dari keingintahuan alami orang, rasa berhutang budi, atau respons terkondisi terhadap otoritas.
Ubah kebiasaan
- Waspadai komunikasi yang tidak diminta dan orang yang tidak dikenal;
- Memeriksa apakah email benar-benar berasal dari penerima yang disebutkan (periksa ulang nama pengirim dan perhatikan adanya kesalahan ejaan dan tata bahasa dalam penulisan);
- Hindari membuka lampiran email yang mencurigakan;
- Berpikirlah berkali-kali sebelum memberikan informasi sensitif;
- Periksa keamanan situs web sebelum mengirimkan informasi, meskipun tampaknya sah; dan
- Perhatikan URL, dan ‘salah ketik’ (situs yang terlihat asli tetapi alamat webnya sedikit berbeda dari situs sah yang mereka tiru).
*Photo by Sebastiaan Stam from Pexels