BERAPA banyak penipuan online terjadi di Indonesia? Data Polri menyebutkan sepanjang paruh pertama 2019, kejahatan siber yang paling banyak diterima dan ditangani adalah penipuan online. Jumlahnya mencapai 1.243 kasus.

Kejahatan dunia maya tak melulu berkaitan dengan pembobolan firewall atau eksploitasi kerentanan (bug) sistem atau aplikasi. Namun, penjahat siber cukup dengan teknik “permainan psikologis” dengan tujuan korban dengan sukarela memberikan uang tunai. Dan, terjadilah penipuan online.

Teknik tersebut di dunia maya seringkali disebut dengan istilah social engineering atau rekayasa sosial. Dalam lingkup ini rekayasa sosial cenderung bermakna buruk (peyoratif), cenderung dimaknai sebagai teknik kejahatan memanipulasi korban.

Media sosial sangat pas sebagai medium penyebaran rekayasa sosial, terlebih saat ini penggunaan pembayaran elektronik (dipicu tren belanja online) orang begitu mudah mentrasfer uang. Tak sedikit orang mulai mengalihkan uangnya dari dompet biasa ke aplikasi dompet digital.

Tawaran menarik di Instagram atau Facebook: barang-barang murah dengan tata letak serta desain foto yang aduhai, sangat menarik hati untuk dibeli dan dimiliki. Tanpa disadari, kita menawar, lalu melakukan pembayaran. Sayangnya, barang tidak terkirim ke rumah kita.

Pendek kata, serangan rekayasa sosial adalah membujuk seseorang agar mau melakukan suatu tindakan atau memberikan informasi secara dunia maya.

Ada banyak cara penjahat siber melakukan mekanisme serangan rekayasa sosial. Namun, umumnya, penjahat siber melakukan serangan jenis ini dengan tiga cara: phishing, vishing, dan fisik.

Serangan melalui phishing biasanya dilakukan melalui surat elektronik atau media sosial. Penjahat akan mengirimkan pesan elektronik yang tampaknya asli atau sah, dengan harapan penerima email mengklik atau mengisi kredensial yang diminta pada tautan tersebut. Jika korban mengisi informasi kredensial, secara otomatis informasi itu telah terekam oleh penjahat siber.

Dengan memanen informasi sensitif atau kredensial, peretas bisa melakukan penyerangan berikutnya yang lebih dalam. Bahkan, bisa menggasak seluruh uang di dalam rekening bank korban.

Bentuk pesan-pesan elektronik tipuan ada dalam berbagai rupa: ada yang meminta pulsa dengan alasan anak atau saudaranya tertangkap polisi atau sakit. Ada yang terlilit utang. Ada pula yang tampak lebih sedikit “urgent”, pengguna medsos diminta mengganti nama pengguna dan kata sandi.

Serangan phishing tak hanya menargetkan orang awam, bahkan kalangan profesional pun menjadi korban. ProofPoint, Inc., perusahaan keamanan siber asal California, AS dalam risetnya pernah menemukan, bahwa 83 persen profesional keamanan informasi saja pada 2018 pernah mengalami serangan phishing; meningkat dari 76 persen pada 2017.

Kedua, vishing atau voice phishing. Serangan menggunakan telepon atau layanan telepon internet (VoIP) yang juga menargetkan pada informasi data pribadi. Teknik ini sudah jamak beredar dan kita ketahui. Misal, ada telepon terkait hadiah mobil, peluang investasi, permintaan sedekah atau amal, atau lain-lain.

Yang cenderung orang tak sadari adalah jika vishing tersebut mencatut bank tertentu. Masyarakat awam yang tak paham akan sangat mudah percaya menerima informasi telepon yang mengaku dari orang bank. Biasanya penyerang akan meminta perbaikan akun rekening korban.

Ketiga, serangan rekayasa sosial dalam bentuk fisik. Di sini, peretas menyamar sebagai petugas ke perusahaan atau organisasi yang menjadi target. Mereka akan menarik informasi dari sistem elektronik korban bisa melalui jaringan wifi atau bluetooth. Atau, mereka bisa menancapkan USB drive ke jaringan organisasi atau perusahaan. Bisa pula melalui orang dalam, inilah serangan sangat mengkhawatirkan: insider attack. Karena kita tak pernah bisa menjamin, bahwa orang dalam organisasi pasti lebih aman dan tak mungkin berlaku jahat.

Lalu, apa yang bisa dilakukan oleh perusahaan atau individu agar tidak terjerat serangan rekayasa sosial?

Terpenting, kita harus sadar dan memahami sebuah pesan yang kita terima baik email, SMS, MMS, telepon, maupun melalui aplikasi olah pesan. Terlebih lagi, pesan yang mencurigakan di media sosial. Dalam banyak kasus, media sosial adalah tambang emas bagi peretas untuk menjangkau korban.

Selanjutnya, selalu mawas diri dan tidak pernah mengisi atau menyebarkan informasi kredensial kita. Jika ingin mengakses log-in media sosial atau email atau akun rekening bank kita, masuklah langsung ke aplikasi. Jangan masuk melalui tautan apa pun.

Jika mendapati nomor telepon mencurigakan dengan bahasa yang hiperbola, jangan terburu-buru bahwa itu benar adanya. Pastikan lagi ke perusahaan terkait, jika itu bank, misalnya, Anda lebih baik menelepon kembali atau mengkroscek informasi ke perbankan yang disebut.

Terkait keamanan internal, perusahaan harus memiliki standar operasional keamanan. Siapa-siapa saja orang yang memiliki akses dalam data sensitif. Selain itu, memiliki jadwal reguler dalam mitigasi serangan. Rutin mengecek apakah ada sesuatu yang ganjil dalam sistem atau tidak.

Kehati-hatian, selalu cek dan ricek sistem jaringan, dan tidak mudah tergoda dengan apa pun di dunia maya adalah kunci kita selamat dari serangan rekayasa sosial.