Menjadi Nasabah Bijak Dengan Mengenal Social Engineering: Modus, Jenis dan Tips

Di tempat sampah, Max mencari beberapa kardus pembungkus donat yang masih ada struk belanjanya.

Setelah menemukan kardus yang cocok, ia bergegas ke toko donat yang lokasinya tak terlalu jauh dari tempat sampah tersebut.

Sebelum masuk ke dalam toko, Max mengambil kacamata dari saku kirinya lalu memakainya. Ia membuka pintu dan langsung menuju pelayan yang sedang melayani seorang pelanggan wanita.

Ia meminta maaf kepada wanita yang sedang mengantri tersebut sembari menunjukkan gestur seperti sedang terburu-buru dan langsung komplain ke pelayan laki-laki yang bertugas.

“Saya tak dapat dua donat coklat sebelumnya” lalu menyodorkan kardus donat tersebut beserta struknya. “Saya tak akan bayar kalau seperti ini!”.

Pelayan tampak ragu dengan perkataan Max. Dengan sedikit memprovokasi pelanggan lain Max berujar, “Apa ini promo baru kalian? Beli 10 hanya dapat 8?”.

“Kamu belum dapat donat coklatnya?” Tanya pelayan. Dengan cepat Max menjawab, “Kalau sudah, untuk apa saya disini?”

Si pelayan masih tak percaya. Ia yakin betul kalau semua pelanggan sudah dilayani dengan baik. Ia balik bertanya, “Siapa yang melayani anda tadi?”

Max dengan cepat melirik ke pelayan lain yang ada saat itu. Ada tiga orang yang berjaga saat itu, salah satunya seorang wanita berambut pirang yang tampak sibuk membungkus donat untuk pelanggan. Max menunjuk wanita tersebut.

Pelayan tetap belum yakin dengan perkataan Max. Dengan tegas Max berujar, “Apakah harus kutemui manajer anda?” Sembari menatap mata si pelayan dengan yakin.

Tak mau ada masalah dengan pelanggan dan dapat teguran dari Manajer, si pelayan mengambil dua donat berwarna coklat dari lemari pajangan, memasukkannya ke kardus yang tadi dipungut Max dari tong sampah lalu menyerahkannya dengan kesal.

Setelah mendapatkan donat tersebut, Max menuju pintu keluar diikuti Benjamin yang sedari tadi berdiri dibelakang Max.

Donat tersebut kemudian diberikan kepada tunawisma yang sedang berdiri di depan toko tempat Max mempraktekan rekayasa sosial atau social engineering, yang disebut Max sebagai hacking manusia.

Cerita diatas bukanlah sungguhan melainkan salah satu adegan dalam film Who am I? No system is safe (2014) yang keseluruhan ceritanya mengulas cara kerja social engineering.

Film yang disutradarai oleh Baran bo Odar itu benar-benar menggambarkan bahwa tidak ada sistem dan program komputer yang benar-benar aman.

Meski demikian, kerentanan terbesar bukan pada sistem atau program tetapi pada manusianya, dalam hal ini, pengguna akhir.

Pengguna akhir diartikan sebagai orang-orang yang menggunakan suatu program atau aplikasi untuk berbagai keperluan, chat atau transaksi antar rekening misalnya.

Artinya, sekalipun suatu sistem atau program sudah bagus, diperbaharui terus menerus, sudah melibatkan pihak ketiga untuk mencari dan menyelesaikan bug, tapi jika kesadaran penggunanya masih kurang maka tak usah heran kalau tiba-tiba terjadi kasus penipuan.

Misalnya, penipuan yang menargetkan nasabah bank dengan tujuan untuk menguras isi rekening baik itu kartu debit atau kartu kredit.

Tapi yang jadi fokus artikel ini bukan pada korban atau resolusi yang diberikan pihak bank melainkan pada modusnya yang dikenal dengan istilah Soceng atau social engineering.

Apa itu social engineering?

Kejahatan siber perbankan hadir dalam berbagai bentuk mulai dari SIM Swap, OTP Fraud, skimming, carding, phising, cracking, ransomware hingga social engineering.

Dari berbagai bentuk kejahatan siber di atas ada satu yang paling meresahkan banyak orang, baik itu pihak bank hingga nasabah yakni Social Engineering.

Tapi, apa sih yang dimaksud dengan Social Engineering? Social engineering atau yang biasa disebut soceng adalah bentuk kejahatan siber yang menggunakan pendekatan psikologis untuk dapat akses ke berbagai data sensitif korban.

BRI, lewat video edukasi diatas, mendefinisikan Soceng sebagai suatu metode penipuan yang dilakukan melalui media sosial atau internet dengan cara memanipulasi psikologis dari seseorang yang bertujuan untuk mendapatkan informasi pribadi yang sifatnya rahasia.

Sementara, dalam rilis resmi OJK menyebutkan bahwa social engineering adalah suatu cara memanipulasi psikologis seseorang dalam rangka mengorek informasi rahasia dan memanfaatkan informasi tersebut untuk kepentingannya sendiri.

Dari dua pengertian di atas, baik dari BRI dan OJK sama-sama menitikberatkan pada informasi rahasia perbankan seseorang. Informasi rahasia perbankan seseorang ini seperti apa? Ada banyak mulai dari username, PIN, kode OTP, nomor CVV dan password.

Modus soceng sendiri cukup variatif dan yang paling sering terjadi di Indonesia ada empat, diantaranya:

  • Informasi perubahan transfer bank yang saya sendiri pernah mengalaminya dimana, pada Agustus 2022 lalu, saya dapat chat WhatsApp dari orang tak dikenal untuk menginformasikan perubahan tarif transfer bank lain mengatasnamakan Bank BRI. Isi chatnya bisa dilihat lewat dua gambar dibawah ini:
Social Engineering
© Dokumentasi pribadi
Social Engineering
© Dokumentasi pribadi
  • Tawaran menjadi nasabah prioritas atau bantuan untuk mempercepat menjadi nasabah prioritas dengan beragam keuntungan, yang biasanya menargetkan calon korban dengan nilai tabungan cukup banyak, yang contohnya bisa dilihat pada gambar dibawah:
Social Engineering
© akurat.co
  • Layanan pelanggan palsu dimana biasanya pelaku membuat satu akun media sosial atau situs web mengatasnamakan bank atau lembaga keuangan resmi lainnya, OJK atau LPS misalnya
Social Engineering
© BRI
  • Terakhir dan yang paling baru adalah promo BI fast BRImo dimana pelaku membuat satu akun media sosial, Instagram contohnya, dan menginformasikan soal BIFAST. Pelaku biasanya mengiklankan postingan tersebut yang apabila di klik akan mengarahkan calon korban ke situs phising yang sudah didesain sedemikian rupa agar menyerupai aplikasi BRImo. Apakah ada korbannya? Tentu saja ada. Bisa dilihat lewat video TikTok di bawah ini:

© TikTok Hasanbee

Jika diperhatikan, empat modus rekayasa sosial di atas mengendapkan informasi persuasif dengan harapan untuk mendapatkan umpan balik calon korban.

Jika korban memberikan feedback, maka disinilah soceng bekerja. Karena itu, tak usah heran jika pelaku sering mengatasnamakan pegawai bank atau menggunakan logo dari bank seperti yang terlihat pada surat pemberitahuan perubahan biaya transfer palsu diatas.

Tapi bagi nasabah yang jeli pasti langsung tahu kalau surat tersebut palsu. Ini terlihat dari penggunaan huruf besar di setiap kata dalam surat yang tidak sesuai kaidah kebahasaan.

Meski perlu diakui bahwasanya tidak semua nasabah jeli atas hal-hal kecil seperti ini mengingat setiap nasabah punya latar belakang pendidikan, pengetahuan dan pengalaman yang berbeda-beda.

Cara Kerja Social Engineering

Social Engineering
© Paulipu.com

Rekayasa sosial dapat terjadi apabila pelaku berhasil mengeksploitasi kecenderungan alami seseorang untuk mudah mempercayai orang lain.

Dalam situasi ini akan terjadi bias kognitif dari sisi korban sehingga mengikuti arahan pelaku. Jika tidak, dalam kasus Max diatas, maka ia bisa berbicara dengan manajer.

Di dunia nyata, apabila tidak melakukan seperti apa yang diminta, maka ada ancaman palsu yang diberikan kepada calon korban seperti pembekuan rekening dan seterusnya.

Tapi, bagaimana sih cara social engineering bekerja? Prosesnya bagaimana? Secara umum, ada empat tahap yang akan dilewati pelaku social engineering, diantaranya:

1. Mengumpulkan informasi apa saja tentang calon korban

Sebelum aksi dilakukan, pelaku akan mengumpulkan informasi apapun terkait dengan calon korban lalu mempelajarinya.

Informasi apa saja yang dikumpulkan? Dari mana pelaku bisa mendapatkan informasi-informasi tersebut? Ada banyak sumbernya.

Mulai dari media sosial, aplikasi pencari nomor telepon, internet dan setiap informasi yang dikumpulkan pelaku berasal dari informasi yang anda bagikan kepada publik.

Seperti nama lengkap, tempat tinggal, riwayat pendidikan, tempat bekerja dan informasi terkait lainnya, nama ibu kandung misalnya.

Setelah informasi pribadi dikumpulkan, pelaku akan memfilter informasi tersebut dan melakukan profiling dengan tujuan untuk mendapatkan informasi tambahan guna memperkuat informasi awal yang diperoleh.

Misalnya, setelah mendapatkan nomor telepon, pelaku bisa melakukan panggilan telepon ke nomor calon korban untuk memastikan apakah nomor tersebut masih aktif atau tidak.

2. Menyusun rencana

Cara kedua ini bergantung sama banyaknya informasi yang berhasil dikumpulkan. Misalnya, pelaku bisa menebak-nebak password akun BRImo berdasarkan data yang didapat.

Tapi karena rata-rata aplikasi perbankan hanya mengizinkan pengguna memasukkan password beberapa kali dalam sehari, maka cara ini tentu tidak efektif dari sudut pandang pelaku.

Karena itu, pada umumnya, pelaku harus menghubungi langsung calon korban. Untuk tujuan ini, maka diperlukan rencana yang matang agar aksi berjalan mulus.

3. Mencari alat pendukung untuk melancarkan aksi

Anggap saja begini, calon korban adalah nasabah BRI. Sebelum melakukan aksinya, pelaku harus memiliki beberapa alat pendukung.

Alat pendukung itu apa saja? Ada banyak mulai dari Aplikasi BRImo, informasi pribadi calon korban, komputer, ponsel dan lain sebagainya.

Hanya saja, alat yang diperlukan disesuaikan sama modus socengnya. Misalnya, dalam kasus Promo BI Fast diatas, maka pelaku harus membuat situs phising terlebih dahulu.

Dengan demikian, mereka kemungkinan harus beli domain dan hosting. Selanjutnya membuat situs web yang tampilannya persis sama dengan aplikasi BRImo.

Tujuannya agar korban percaya bahwa mereka login ke aplikasi BRImo padahal bukan dan setiap informasi yang diinput akan direkam.

4. Eksekusi

Jika semuanya sudah siap, pelaku tinggal menghubungi korban lalu melancarkan aksinya. Tentu saja pelaku menggunakan bahasa-bahasa formal, menggunakan dialog persuasif dan dalam banyak kasus, sedikit terburu-buru.

Tujuannya agar korban tak sempat berpikir bahwa ini adalah penipuan atau tidak cepat sadar bahwa dirinya akan menjadi korban soceng.

Tapi, proses eksekusi ini kembali lagi ke modusnya. Misalnya, dalam kasus modus fitur BI Fast terbaru BRImo maka pelaku tidak perlu menghubungi korban secara langsung.

Jenis-jenis social engineering

Social Engineering
© Paulipu.com

Social engineering hadir dalam berbagai bentuk dan model dengan pendekatan sendiri-sendiri tapi selalu terbagi dalam dua jenis, diantaranya:

1. Social engineering langsung

Socal engineering langsung, yang kadang juga disebut rekayasa sosial offline adalah metode hacking dimana pelaku bertemu langsung dengan calon korban seperti yang dilakukan Max.

Jika tujuan pelaku hanya untuk mendapatkan informasi nomor rekening atau PIN, maka pelaku biasanya mencari target di fasilitas penarikan tunai seperti ATM.

Misalnya, dalam kasus Skimming, dimana pelaku berpura-pura membantu korban padahal tujuannya untuk menyalin semua informasi perbankan dari ATM korban.

Dalam model social engineering, pelaku juga bisa melakukan pendekatan tailgaiting atau berkenalan dengan calon korban menggunakan orang lain atau pihak ketiga.

2. Social engineering tak langsung

Social engineering tak langsung adalah metode rekayasa sosial dengan memanfaatkan berbagai fitur yang ada di smartphone.

Misalnya, dengan menyebar SMS ke setiap nomor calon korban, dimana didalamnya terdapat link keluar menuju situs phising seperti yang terlihat pada gambar dibawah ini:

Social Engineering
© beritasatu.com

Jika diperhatikan, tautan tersebut menggunakan url shortener bit.ly yang telah di modifikasi. Artinya, ada kemungkinan pelaku sudah berlangganan versi pro dari platform tersebut.

Model ini merupakan gabungan model phising dan social engineering dimana, apabila di klik, calon korban akan diarahkan ke situs tertentu yang dibuat khusus untuk merekam data apa saja yang diinput pengunjung.

Contoh diatas juga menyertakan nomor WhatsApp yang bisa dihubungi calon korban. Dapat dipastikan kalau nomor tersebut merupakan nomor pelaku juga.

SMS bukan satu-satunya media soceng karena pelaku bisa saja menggunakan aplikasi pesan instan seperti WhatsApp, Telegram, Direct Message Instagram, Facebook Messenger dan lain sebagainya.

Jika dilihat dari prosesnya, metode rekayasa sosial tak langsung dapat dibagi lagi menjadi beberapa kategori, diantaranya:

BaitingSerangan umpan balik berbentuk janji palsu untuk memancing keingintahuan korban seperti dalam kasus perubahan transfer bank BRI palsu diatas
PretextingSerangan dengan tujuan untuk mendapatkan berbagai informasi dari korban dimana pelaku memposisikan dirinya sedang melakukan tugas penting dari bank yang sifatnya segera
PhisingMetode social engineering dengan tujuan untuk menciptakan ketakutan, keingintahuan hingga urgensi dari korban lewat serangkaian pesan email dan SMS blast
Spear-phishingSerangan phising terstruktur dengan target individu atau sekelompok orang yang dilakukan secara temporer dan berulang sampai pelaku berhasil mendapatkan informasi yang diinginkan

Cara menghindari social engineering

Sebenarnya sudah banyak ulasan, tips dan metode untuk menghindari social engineering ini baik yang ada di media sosial, di internet atau mungkin di Youtube.

Informasi tersebut bisa berasal dari otoritas pengawas keuangan seperti OJK, pihak bank itu sendiri atau mungkin para #penyuluhdigital lainnya.

Contoh sederhana bisa dilihat dari program #NasabahBijak Bank BRI yang dibuat dengan tujuan untuk melindungi diri, dan mungkin juga orang lain dan keluarga, dari berbagai kejahatan siber.

Dan secara umum, ada beberapa cara yang bisa dilakukan untuk menghindari diri atau orang lain jadi korban social engineering, diantaranya:

1. Mencegah jadi korban soceng

Seperti slogan medis paling terkenal yakni mencegah lebih baik daripada mengobati. Dengan demikian, pencegahan adalah langkah pertama yang harus dilakukan setiap nasabah agar tidak menjadi korban soceng.

Dan ada banyak cara yang bisa dilakukan untuk mencegah diri sendiri atau orang lain jadi korban soceng, diantaranya:

  • Tidak mengklik sembarang tautan keluar yang dikirim lewat aplikasi pesan instan baik itu SMS, WhatsApp, Telegram, Email atau postingan di media sosial. Siapapun bisa jadi pelaku, siapapun bisa jadi korban. Jika terpaksa untuk mengklik tautan tersebut, pastikan tautannya jelas, domainnya jelas dan tidak memakai url shortener meski poin yang terakhir opsional karena beberapa akun resmi bank juga menggunakan pemendek URL
  • Meneliti sumbernya terlebih dahulu. Misalnya, jika link tersebut berasal dari teman, pastikan anda berkomunikasi dulu dengan teman untuk memastikan bahwa benar ia yang mengirim tautan tersebut. Menaruh sikap curiga tidak masalah tapi jangan menuduh
  • Periksa ekstensi domain dari link yang dikirim. Jika domain tersebut cukup aneh seperti menggunakan ekstensi .XYZ sementara ia mengatasnamakan Bank BRI, bisa dipastikan itu adalah penipuan. Mengapa? Karena bank-bank di Indonesia selalu menggunakan ekstensi domain .CO.ID sebagai domain utama
  • Tidak memposting data pribadi yang sensitif ke media sosial. Data pribadi yang sensitif ini apa saja? Ada banyak mulai dari foto KTP, nomor KK, nomor rekening, buku tabungan, nama panggilan, nomor telepon hingga nama ibu kandung
  • Menjaga kerahasiaan data pribadi dengan tidak membagikan atau memberikan informasi kepada siapapun termasuk oknum yang mengaku sebagai pegawai bank
  • Tidak terjebak dalam iming-iming undian berhadiah dimana agar bisa klaim hadiahnya, harus mengisi formulir terlebih dahulu yang didalamnya mengharuskan calon korban mengisi berbagai informasi pribadi yang sensitif
  • Mewaspadai penipuan atas nama petugas bank yang biasanya menghubungi calon korban lewat telepon, email, SMS atau akun media sosial calon korban
  • Selalu periksa keaslian suatu panggilan atau chat entah itu SMS, telepon atau mungkin pesan email. Kalau perlu, silahkan aktifkan filter spam untuk meminimalisir email dan SMS yang tidak diinginkan, yang didalamnya ada kemungkinan terdapat link spam
  • Mengaktifkan autentikasi dua faktor (two-factor authentication) untuk mencegah pengambilalihan rekening tabungan digital secara sepihak
  • Selalu ganti password secara berkala dan usahakan untuk tidak menggunakan password yang sama ke semua aplikasi yang digunakan. Misalnya, password akun BRImo sama dengan akun Facebook atau Instagram dan pastikan password yang dipakai bukan kombinasi dari tanggal lahir dan tempat lahir atau kombinasi lain yang mudah ditebak
  • Tidak menginstal aplikasi yang aneh-aneh di ponsel atau komputer, terlebih yang tidak terpercaya. Karena bisa saja ada bug atau celah di dalamnya yang bisa dimanfaatkan hacker untuk mendapatkan berbagai informasi pribadi sensitif

Dan yang paling penting adalah dengan menambah wawasan atau pengetahuan soal bagaimana kejahatan siber perbankan terjadi dan modusnya seperti apa.

Pengetahuan ini bisa muncul dalam berbagai bentuk seperti dengan membaca artikel terkait dengan rekayasa sosial seperti yang ada di postingan ini atau mungkin follow akun #NasabahBijak BRI di Instagram, Facebook, TikTok hingga Twitter.

2. Setelah jadi korban social engineering

Social Engineering
© BRI

Ada banyak kasus dimana uang nasabah tiba-tiba raib dan baru menyadari kalau mereka telah menjadi korban social engineering.

Dan nasabah sering panik dan bingung untuk mendapatkan solusi atas masalah tersebut. Jika sudah jadi korban, langkah pertama yang harus dilakukan adalah dengan menghubungi pihak Bank.

Tujuannya untuk menyampaikan bahwa anda telah menjadi korban. Lalu buat laporan resmi ke pihak bank untuk diselidiki.

Pelaporan seperti ini sangat penting agar tidak lagi ada korban dari modus soceng yang sama di kemudian hari, terlebih jika itu adalah modus baru.

Dan tentu saja, pihak bank akan memberikan solusi berdasarkan masalah yang dihadapi. Jika ini murni kesalahan dari nasabah karena memberikan informasi pribadi kepada orang tak dikenal, maka biasanya pihak bank akan merekomendasikan agar nasabah membuat laporan ke kepolisian untuk ditindaklanjuti.

Penutup

Seperti yang dikatakan Max dalam film Who am I? No system is safe bahwa kerentanan terbesar bukan pada sistem atau program melainkan pada manusia itu sendiri.

Karena itu, pengetahuan soal modus penipuan semacam ini sangat penting sebagai bentuk antisipasi atau pencegahan agar tidak ada lagi korban soceng di kemudian hari.

Sayang, uang tabungan anda harus hilang seketika karena kelalaian dan ketidaktahuan sendiri. Semoga artikel ini bisa bermanfaat untuk anda. ****

Tinggalkan komentar