Kerentanan terbesar tidak terletak pada sistem, tetapi pada manusia. Kata sandi paling rumit sekalipun, menjadi sia-sia jika Anda lengah.
Social engineering atau rekayasa sosial, ialah sebuah seni dalam memanipulasi sisi psikologis pada diri manusia untuk memperoleh informasi rahasia melalui mekanisme interaksi sosial.
Motif dari rekayasa sosial dilandaskan pada ide bahwa mendapat kepercayaan manusia lebih mudah ketimbang harus menemukan cara untuk meretas suatu sistem atau jaringan komputer.
Sederhananya, akan jauh lebih "enteng" untuk membodohi dan mengeksploitasi manusia agar mereka memberikan data pribadinya secara "sadar dan sukarela" tinimbang lewat pendekatan teknologi.
Mantan peretas berpengaruh AS, Kevin Mitnick, mempopulerkan frasa "social engineering" pada tahun 90-an kendati teknik tersebut telah lama dipraktikkan, termasuk pula di Indonesia.
Meski demikian, masyarakat Tanah Air masih cukup asing dengan praktik social engineering karena sulitnya identifikasi kasus yang melibatkan metode tersebut.
Teknik itu telah sukses mengubah citra peretas yang selama ini identik dengan seseorang berkacamata yang berlama-lama duduk di depan komputernya dan menghindari interaksi sosial dunia luar.
Layaknya kelelawar yang berburu pada siang bolong, seorang perekayasa sosial atau social engineer akan meminta data pribadi yang mereka inginkan langsung kepada calon korbannya atau pihak lain yang memiliki akses atas informasi itu.
Cara itu dianggap lebih praktis daripada harus meretas sistem komputer, kecuali password atau akses masuknya memang benar-benar lemah.
Social engineering bertumpu di atas rantai paling lemah dari suatu sistem komputer, yakni manusia, bukan metode peretasan atau hacking. Pasalnya, tidak ada satupun sistem komputer yang tanpa melibatkan interaksi manusia sama sekali.
Terlebih lagi, celah keamanan itu bersifat universal, tidak mengenal sistem operasi, protokol, software, dan hardware. Artinya, setiap sistem komputer punya kelemahan yang sama: manusia atau human error.
Perekayasa sosial tak harus mempunyai keahlian dalam bidang peretasan untuk melancarkan aksi karena mereka hanya butuh kelengahan calon korbannya.
Social engineer akan memanipulasi para calon mangsanya melalui media sosial, email, telepon, SMS, atau lewat interaksi secara langsung guna memperoleh data-data pribadi yang mereka butuhkan.
Serumit apapun sistem keamanan atau kata sandi, tidak akan berguna jika kita memberikan akses terhadap informasi pribadi itu kepada pelaku kejahatan.
Beberapa hari ini linimasa Twitter ramai oleh topik penipuan atas sejumlah akun yang "menyaru" jadi layanan konsumen perusahaan, mulai dari bank, ojek online (ojol), berbagai platform belanja daring, hingga entitas BUMN.
Pelanggan memang kerap menggunakan Twitter guna memperoleh informasi atau menyampaikan keluhannya kepada akun layanan pelanggan (customer care) resmi sejumlah perusahaan.
Namun, sayangnya, kemudahan itu juga bisa memancing pelaku kejahatan siber untuk melancarkan modus penipuan via interaksi di media sosial.
Kalau akun resmi telat menjawab cuitan para pelanggan, akan dimanfaatkan oleh pelaku (social engineer) guna melakukan infiltrasi. Mereka bisa bertindak seolah akan menjawab dan membantu keluhan para pelanggan perusahaan terkait.
Satu pelanggan, menurut Fahmi, dapat dikerubungi lima hingga delapan akun palsu. Bahkan, ada pula yang mengaku pernah dikeroyok hingga sepuluh akun abal-abal sekaligus.
Dengan metode penipuan semacam itu, Fahmi menyebut, pelaku akan memakai program bot yang otomatis mengawasi, me-reply, dan meminta para pelanggan guna berkomunikasi melalui WhatsApp. Selain itu, mereka juga dapat meminta calon mangsanya untuk menghubungi mereka lewat fitur direct messages (DM).
Akun-akun palsu yang menyaru sebagai layanan konsumen itu akan meyakinkan calon mangsanya bahwa mereka benar-benar akun ofisial perusahaan. Mereka juga menggunakan username yang amat identik dengan akun resmi sehingga bisa dengan mudah mengecoh calon korban.
Target utama mereka adalah data-data pribadi yang bisa membawanya menuju brangkas finansial kita: rekening bank.
Melalui penelusuran singkat, kita bisa menemukan sejumlah akun palsu yang menyaru sebagai akun HaloBCA. Mereka akan menyerobot cuitan dari pelanggan yang bertanya kepada akun resminya.
Kendati kesadaran kita penting agar tak menjadi korban dari penipuan rekayasa sosial, perlu adanya sebuah mekanisme pengawasan. Perusahaan terkait harus meminta tim IT-nya untuk melakukan penelusuran akun-akun palsu di media sosial, lalu melaporkannya agar segara diblokir oleh pihak media sosial.
Selain itu, mereka pun bisa memakai bot di media sosial, terutama Twitter, untuk mendeteksi kicauan pelanggannya yang ditanggapi oleh customer service palsu.
Jadi, saat pelanggan didekati oleh akun layanan pelanggan imitasi, perusahaan terkait bisa cepat mengingatkan bahwa yang menimpalinya bukan akun resmi mereka. Dengan begitu, penipuan yang merugikan pelanggan bisa dicegah.
Di luar hal itu, kiranya tugas polisi siber juga harus lebih dimaksimalkan untuk memberangus akun-akun penipu yang sudah banyak merugikan masyarakat.
Agar terhindar dari penipuan rekayasa sosial yang berkedok layanan pelanggan di media sosial, simak hal-hal berikut.
#1 Deteksi Akun Resmi dan Palsu
Mendeteksi akun costumer service resmi sangatlah mudah. Cukup pastikan akun sudah terverifikasi biru. Logo verifikasi biru akun resmi berada tepat di sebelah username, bukan di foto profil atau area yang lain. Mereka juga memiliki banyak pengikut (follower).
Jika ada akun layanan pelanggan tanpa verifikasi biru dengan sedikit pengikut sedang mencoba untuk menghubungi Anda, abaikan, lantas laporkan!
#2 Jangan Bagikan Data Pribadi
Terlepas dari apapun keluhan yang Anda hadapi, jangan mudah percaya, terlebih pada akun palsu. Jangan pernah bagikan informasi pribadi apapun.
Perlu diingat, pihak bank tidak meminta data seperti PIN ATM, nomor kartu ATM, PIN "mobile banking", CVV kartu kredit, kode OTP, dan data pribadi lainnya. Oleh karena itu, jangan pernah membagikan data-data sensitif itu kepada siapapun.
Seburuk-buruknya keluhan Anda terkait dengan layanan perusahaan, tidak perlu panik berlebihan. Pasalnya, para pelaku justru dapat memanfaatkan kepanikan Anda untuk memuluskan aksinya.
Saat Anda dalam keadaan panik, pelaku akan melakukan aksinya dengan modus berniat baik dan membantu mencarikan solusi dengan meminta kode OTP Anda. Jadi, tetaplah tenang dan berpikir jernih.
Ketidaktahuan, kepanikan, serta sikap mudah percaya adalah celah keamanan terbesar yang dapat dieksploitasi oleh para perekayasa sosial.
Kejahatan itu akan amat sulit dilakukan tanpa campur tangan kita. Para pembaca mulai kini harus sadar bahwa kejahatan siber bermodus social engineering benar-benar ada di sekitar kita.
Sebuah sistem keamanan tingkat tinggi yang disertai dengan kata sandi super-rumit pun, akan sia-sia jika kita lengah. Jadi, tetaplah waspada!
