"Kerentanan terbesar tidak terletak pada program atau server. Kerentanan terbesar terletak pada manusia." - Max (Who Am I)
"Who Am I: No System is Safe". Film yang bercerita tentang petualangan grup hacker CLAY dengan ciri khas topeng yang terinspirasi dari "V for Vendetta".
Layaknya setiap kisah superhero, Benjamin (Tom Schilling) sudah tidak memilliki orang tua. Remaja introvert tersebut hidup bersama neneknya. Dia telah belajar internet sejak usianya masih 14 tahun.
Suatu ketika Benjamin tidak sengaja berjumpa dengan Max (Elyas M'Barek). Keduanya memiliki ketertarikan yang sama dalam dunia hacker, lalu mereka mendirikan CLAY atau "Clowns Laughing At You", dengan misi utama meretas seluruh dunia.
Film tersebut menekankan pada bagaimana konsep social engineering diterapkan dengan melakukan infiltrasi ke dalam gedung lembaga intelejen Jerman dengan sistem keamanan top level untuk meretas server mereka. Hal itu menunjukkan bahwa tidak ada sistem yang benar-benar aman.
Social engineering adalah sebuah seni memanipulasi kerentananan pada aspek psikologis manusia untuk mendapatkan akses pada informasi rahasia melalui mekanisme interaksi sosial.
"Social engineering bypasses all technologies, including firewalls." - Kevin Mitnick
Motif social engineering didasarkan kepada akses untuk memperoleh kepercayaan dari manusia yang lebih mudah daripada harus menemukan cara untuk meretas jaringan komputer.
Dengan kata lain, akan jauh lebih mudah membodohi seseorang agar memberikan informasi rahasia atau kata sandi mereka daripada harus meretas kata sandi itu sendiri, kecuali jika kata sandinya memang benar-benar lemah.
Social engineering mengonsentrasikan diri pada rantai terlemah sistem komputer, yaitu manusia--bukan pada teknik hacking. Karena tidak ada sistem komputer yang tidak melibatkan interaksi manusia sama sekali.
Terlebih lagi, celah keamanan ini bersifat universal, tidak tergantung sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem memiliki kelemahan yang sama, yakni pada faktor manusia (human error).
Untuk memuluskan aksinya, tak jarang pula mereka memancing pengguna komputer untuk memasang backdoor atau malware tanpa korban sadari dengan teknik social engineering.
Dalam laporan cyber crime FBI pada tahun 2018, 26.379 orang melaporkan menjadi korban serangan social engineer yang menelan kerugian hampir 50 juta USD atau setara Rp 700 miliar hanya dalam tempo satu tahun. Sebuah kerugian yang teramat besar.
Mantan hacker berpengaruh AS yang saat ini bekerja sebagai konsultan sekuritas komputer, Kevin Mitnick, mempopulerkan istilah 'social engineering' di tahun 90-an. Meskipun teknik itu sudah lama dipraktikkan.
Teknik tersebut telah mengubah citra hacker yang selama ini identik dengan seseorang yang berlama-lama duduk di depan komputer dan menghindari interaksi sosial di luar rumah.
Seiring berkembangnya isu keamanan komputer, para pakar IT saling berlomba untuk menguatkan sistem sekuritas agar terhindar dari kejahatan siber (cyber crime). Sehingga hacker tak bisa lagi hanya mengandalkan cara lama untuk meretas komputer.
Seorang social engineer akan memanipulasi target mereka menggunakan email, media sosial, telepon, sms, atau interaksi sosial secara langsung untuk mendapatkan informasi. Dengan mengamati pola perilaku, rutinitas keseharian, dan hubungan sosial. Mereka bahkan dapat berperan sebagai orang yang bisa kita percayai untuk memuluskan aksinya.
Taruhlah sebuah rumah yang mempunyai sistem kemananan tingkat tinggi yang dilengkapi pagar berduri, anjing penjaga, dan personel keamanan bersenjata yang berjaga 24 jam non-stop.
Namun jika kita memercayai orang yang mengaku ojek online (ojol) misalnya, lalu mempersilakannya masuk rumah tanpa adanya pemeriksaan lebih dulu sehingga dia dapat melakukan aksinya. Maka semua sistem keamanan tersebut tidak berguna dan kita telah menjadi korban social engineering.
Sebagaimana yang dialami oleh Maia Estianty waktu lalu. Saat itu ia memesan makanan dari platform ojol yang sudah terhubung dengan dompet digital. Tiba-tiba oknum ojol itu mengaku motornya mogok. Agar bisa ganti driver, oknum ojol tersebut memintanya untuk menekan kode tertentu di smartphone-nya. Ia pun menurutinya.
Ternyata kode itu adalah fitur untuk mengaktifkan SMS forward. Ketika oknum ojol memaksa masuk ke akun Maia, secara otomatis kode OTP akan terkirim ke smartphone-nya dan di saat yang sama oknum ojol itu juga menerimanya--akibat fitur SMS forward.
Seketika saldo dompet digitalnya dikuras, bahkan ia mengaku akun pribadi lainnya juga diretas, seperti WhatsApp, akun e-commerce lainnya, bahkan kartu kreditnya juga tak luput menjadi target. Beruntung dia langsung memblokirnya.
Apa yang dialami Maia adalah contoh kecil praktik social engineering yang sangat jamak terjadi. Celah keamanannya bukan terletak pada jaringan atau penyedia platform digital, tapi manusia itu sendiri.
Jika Maia tidak menekan kode itu di smartphone-nya, kejadian itu bisa dicegah. Ketidaktahuan dan 'mudah percaya' adalah celah terbesar yang bisa dimanfaatkan oleh social engineer. Sekalipun dia tidak memiliki keahlian teknis di bidang hacking.
Yang mana peretasan tersebut akan sangat sulit dilakukan tanpa campur tangan Maia. Sang pelaku memainkan aspek psikologis mantan istri Ahmad Dhani tersebut untuk melakukan apa yang diminta oleh oknum ojol. Dan itu berhasil.
Sebagian besar masyarakat Indonesia masih belum mengenal social engineering. Meskipun teknik itu sudah ada sebelum tahun 2000-an, hanya saja tidak pernah terekspos dikarenakan sulitnya identifikasi kasus yang melibatkan praktik social engineering.Â
Seringkali target favorit mereka adalah perusahaan yang memiliki basis data user basar (big data), artinya dengan sekali infiltrasi yang sukses akan memberikan mereka akses korban yang melimpah.
Alih-alih berusaha menemukan kerentanan jaringan komputer, social engineer akan memanfaatkan karyawan dan berpura-pura sebagai tim IT. Lalu mencoba menipu karyawan itu agar memberikan kata sandi atau informasi rahasia lainnya.
Agar terhindar dari serangan social engineer, hindari memberikan informasi pribadi kita pada orang lain. Percayakan komputer kita hanya kepada orang-orang yang berhak dan bisa bertanggung jawab.
Pastikan kata sandi terdiri dari kombinasi huruf, angka dan simbol. Gunakan otentikasi dua faktor (2FA) dengan kode OTP, serta jangan berikan kode itu kepada siapapun dan dengan cara apapun.
Jangan membuka tautan pada email, media sosial atau web yang mencurigakan. Hati-hati terhadap penawaran yang menggiurkan baik melalui email, medsos ataupun web tertentu agar tidak disusupi program berbahaya.
Selalu perbarui antivirus/antimalware dan sistem operasi komputer kita. Periksa secara berkala untuk memastikan bahwa pembaruan telah terinstal dan pindai sistem untuk kemungkinan infeksi. Pastikan semua sistem keamanan perangkat komputer kita dalam keadaan prima.
Semoga artikel ini mampu meningkatkan kesadaran dan kewaspadaan para pembaca agar terhindar dari praktik social engineering.
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
