ANALISAMilescoop
Trending

Teknik ‘Mengadali’ itu Bernama Social Engineering

Milesia.id – Penghujung 2019 penyanyi Maia Estianty dirundung masalah. Akun aplikasi Gojek istri Irwan Mussry ini diretas. Akibatnya, saldo Gopay miliknya dikuras. Sang Penipu juga mencoba menggunakan kartu kredit Maia untuk berbelanja di Tokopedia.

Menurut Maia, peretasan ini dilakukan oleh oknum pengemudi online. Awalnya mantan istri Ahmad Dhani itu hendak membeli makanan, namun driver ojek online mengatakan bahwa motornya mogok lalu menyarankan Maia untuk mengubah driver. Ia meminta Maia mengeklik *21* 0821 78912261#. Setelah mengeklik kode itu, isi Gopay Maia pun raib.

Penipuan yang menimpa Maia Estianty ini dilakukan dengan memanfaatkan fitur call forwarding dari operator seluler. Maia diminta mengetik nomor telepon penipu dengan diawali kode *21*. Akibatnya semua SMS dan panggilan telepon dialihkan ke nomor penipu.

Keluhan penipuan dan pembobolan data pribadi seperti yang menimpa Maia Estianty memang jamak terjadi. Secara umum, orang menyebutnya peretasan. Sedang para ahli mengategorikannya sebagai penipuan melalui teknik social engineering, atau dalam bahasa Indonesia disebut “rekayasa sosial”.

Apa itu Social Engineering?

Social engineering adalah sebuah teknik mempengaruhi orang lain agar mengikuti keinginannya. Teknik ini bertujuan mendapatkan informasi rahasia (seperti hak akses akun) dengan melakukan manipulasi psikologis. Pelaku social engineering akan berinteraksi langsung dengan pemilik informasi (user) kemudian memanipulasinya secara halus tanpa user sadari.

Social engineering juga bisa diartikan sebagai aktifitas meretas (membuka, hack) informasi penting melalui psikis atau pikiran manusia. Aktifitas meretas dalam konsep social engineering berbeda dengan meretas sistem komputer (mesin). Karena untuk mendapatkan informasi berharga dari seseorang (manusia), membutuhkan suatu teknik sosial dan persuasif yang tinggi.

Persuasif sendiri bisa diartikan sebagai teknik komunikasi yang digunakan untuk mempengaruhi dan meyakinkan orang lain. Melalui persuasi setiap individu mencoba berusaha mempengaruhi kepercayaan dan harapan orang lain.

Karen J. Bannan dalam bukunya Internet World menjelaskan, “A social engineer is a hacker who uses brains instead of computer brawn. Hackers call data centers and pretend to be customers who have lost their password or show up at a site and simply wait for someone to hold a door open for them.”  

Writer dan Journalist perempuan ini menggambarkan seorang social engineer akan memilih menggunakan otaknya daripada mesin komputer. Artinya mereka meretas sistem menggunakan diri mereka sebagai manusia tanpa perantara komputer.

Namun aktifitas social engineering tidak melulu berkonotasi negatif. Seperti mengutip tulisan berjudul Apa sih Perbedaan “Hacking” dan “Social Engineering”? di laman infokomputer.grid.id, psikolog klinis dewasa, Dessy Ilsanty, menyebut social engineering tidak selalu terasosiasi dengan hal negatif.

“Social engineering adalah ketika satu orang atau sekelompok kecil orang melakukan sesuatu yang kemudian diikuti orang banyak,” ujar Dessy.

Dessy memberi contoh penerapan social engineering pada saat penumpang menunggu boarding pesawat. Meskipun waktu boardingnya masih lama, saat ada satu orang yang mulai mengantre di pintu, maka orang lain akan mengikutinya.

Namun, konsep itu menjadi berbeda ketika disertai kata attack (menyerang) di belakangnya, yang berarti bahwa di dalam kegiatan tersebut terdapat unsur manipulasi psikologis yang dapat merugikan orang lain, seperti menguak informasi rahasia.

Kenapa Melakukan Social Engineering?

Berbeda dengan metode hacking yang bermain di wilayah system, social engineering biasanya dilakukan melalui telepon atau internet, tanpa bergantung pada sistem operasi, platform, protokol, perangkat lunak ataupun perangkat keras. Pelaku hanya memanipulasi psikologis korban.

Menurut psikolog Dessy Ilsanty, manipulasi psikologis dapat terjadi karena sifat dasar manusia, salah satunya sifat respirokal (ide timbal balik), yaitu ketika seseorang diperlakukan baik maka akan membalas berlaku baik pula, penuh komitmen dan konsistensi. Selain itu, manusia memiliki kecenderungan mengiyakan bantuan saat dalam keadaan terdesak.

Untuk memanipulasi targetnya, pelaku membutuhkan interaksi dengan target. Interaksi ini bisa dilakukan melalui berbagai jalur komunikasi seperti telphon, sms, email, DM, WA, atau bahkan bertemu langsung dengan calon korban.

Sebagai contoh, untuk mendapatkan akses ke sebuah sistem (baik komputer, gedung, relasi, atau komunitas) seorang pelaku social engineering akan melakukan pendekatan kepada target (manusia) sehingga mendapatkan kepercayaan. Pada beberapa kasus, pelaku melakukan pendekatan kepada korban melalui media social (instagram, facebook) dan berlagak menjadi expert, mediator, ustad, konsultan, operator seluler bahkan kekasih.

Ketika pelaku telah mendapatkan kepercayaan dari korbannya, ia pun leluasa ‘mengadali’ dengan melakukan apa saja yang diinginkan tanpa korban sadari.

Jenis-jenis Social Engineering

Sebenarnya ada beberapa teknik social engineering yang kerap digunakan di dunia social engineering, baik yang dimanfaatkan untuk penipuan maupun intelijen. Namun setidaknya ada 10 jenis teknik social engineering yang populer.

  1. Piggyback Ride Attack (Tailgating)

Piggyback Ride Attack adalah cara mendapatkan hak akses dengan menunggangi seseorang yang memiliki akses atau wewenang agar kita mendapat hak akses yang sama.

Sebagai contoh saat kita berjalan di belakang seorang bos atau orang yang memiliki kekuasaan atau otoritas di sebuah perusahaan. Kita akan diperlakukan selayaknya bos itu atau dianggap selevel dengan orang berkuasa itu. Seperti dibukakan pintu mobil kemudian security mempersilakan masuk ke dalam kantor yang memiliki protokol keamanan ketat tanpa rasa curiga.

  1. Reverse Social Engineering Attack

Reverse Social Engineering Attack adalah cara untuk mendapatkan hak akses ke suatu sistem dengan cara meyakinkan korban bahwa jika korban punya masalah tertentu maka pelaku RSE akan memberikan solusi dan siap membantu menyelesaikan masalahnya. Padahal si pelaku sendirilah yang memanipulasi dan merusak system calon korbannya kemudian muncul bak malaikat penolong.

  1. Techie Talk Attack

Teknik ini menampilkan pelaku sebagai seorang expert (ahli) soal komputer untuk mendapatkan kepercayaan dari si korban. Pelaku akan berpura-pura sebagai bagian helpdesk dan memberitahukan kepada korban  bahwa sistem  telah diretas dan si korban harus mengganti password baru ,maka pelaku akan memandu korban nya untuk mengganti password dan menanyakan password apa yang akan digunakan untuk memastikan password yang dipilih korban aman.

  1. Phishing Attack

Phising Attack adalah tehnik untuk mendapatkan informasi sensitif atau rahasia (data pribadi atau akun) dari korban dengan cara menulis email yang seolah-olah berasal dari website resmi.

Biasanya pelaku akan menulis email yang menganjurkan korban untuk mengupdate data akun dan mengganti password akun dengan dalih akun korban disalahgunakan orang lain. Kemudian korban akan diminta mengeklik link menuju website fake mirip aslinya. Padahal website ini sebenarnya palsu dan dibuat oleh pelaku itu sendiri.

  1. Baiting Attack

Berasal dari kata bait (umpan), teknik ini nyaris sama seperti phishing, yaitu memberikan pancingan berupa hadiah barang atau hal-hal yang menarik korban untuk membuka situs yang dibuat pelaku.

Sebagai contoh, pelaku akan menawarkan korbannya beberapa umpan semisal musik gratis atau unduhan film, termasuk film porno, dengan kecepatan selangit. Setelah mengklik situs itu, korban harus memasukkan email dan password mereka.

  1. Whalling Attack

Whalling Attack adalah jenis phising attack yang mengincar korban dengan jabatan tinggai di suatu perusahaan dengan tujuan untuk mendapatkan data rahasia perusahaan,dengan pertimbangan semakin tinggi jabatan maka akan mempunyai hak akses lengkap ke data perusahaan.

Sebagai contoh, jika pelaku melihat di dalam akun facebook page calon korbannya adalah alumni Universitas bergengsi dengan hobby golf, maka pelaku akan membuat email yang seolah-olah resmi dikirim  dari universitas calon korban yang isinya ajakan untuk mengikuti turnamen golf antar alumni danmeminta untuk mengisi formulir yang telah disediakan sebagai syarat mengikuti turnamen tersebut. Formulir yang disediakan adalah data  pribadi yang harus diisi dengan mengumpulkan data pribadi korbannya itu secara bertahap sampai mendapat 100% data pribadi korban.

  1. Vishing Attack (Voice Phishing Attack)

Vishing Attack bisa dibilang kelanjutan dari Phishing dan Whalling Attack. Ketika pelaku gagal dengan 2 teknik sebelumnya, ia akan mencoba dengan teknik ketiga yaitu Vishing Attack. Dalam teknik ini pelaku menggunakan telephone untuk mendapatkan informasi dari korban. Pelaku akan berpura-pura menjadi karyawan bank dan memberitahukan bahwa kartu kreditnya bermasalah dan harus mengupdate data. Korban secara tidak sadar akan ditanyakan nomer CC dan pin serta identitas diri.

  1. Social (Engineer) Networking

Maraknya penggunaan media sosial seperti facebook, twitter, atau instagram menjadi “pelicin” bagi social engineer untuk melancarkan aksi jahatnya. Hal ini dipicu oleh kebiasaan sebagian besar pengguna medsos untuk mengexpose data pribadinya. Mulai dari tempat tanggal lahir ,hobi,tempat tinggal,relasi,sampai nomor telephon pribadi.

Pelaku akan berpura-pura mengajak berkenalan korbannya sampai mendapat kepercayaan dengan menjalin pertemanan. Setelah terjalin kepercayaan yang kuat, pelaku akan memanfaatkan si korban sesuka hatinya.

  1. Neuro Linguistic Programming (NLP)

NLP adalah metode psikologis yang digunakan para social engineer untuk memanipulasi korbannya. Teknik ini dilakukan secara bertahap dan ritmis agar korban tidak sadar bahwa pelaku tengah menyetirnya.

Dalam melancarkan aksinya, pelaku akan secara cermat memilih kata, mengatur intonasi suara, nada, dan gestur tubuhnya. Teknik ini akan membantu menjalin kepercayaan seseorang di level bawah sadar (subconscious mind), sehingga korban menaruh rasa hormat dan kagum kepada pelaku.

Tindakan pelaku, baik  gesture, visual, dan aksi verbal (biasa disebut anchoring dan reframing) memberikan pesan bawah sadar yang mempengaruhi orang untuk memiliki perasaan positif dan memperoleh keterikatan (hubungan) dengan pelaku.

Anchoring atau biasa disebut “jangkar”, yaitu sebuah jangkar emosi yang memiliki muatan emosi positif atau negatif dimana seseorang mengalami kembali (asosiasi) suatu pengalaman saat suatu ‘pemicu’ diaktifkan. Pemicu (stimulan) itu dapat berupa: apa yang kita lihat (orang, benda, binatang), dengar, rasa, bau dan kecap. Teknik ini banyak kita temui dalam kehidupan sehari-hari semisal lampu lalu lintas, aroma nasi goreng, lagu-lagu masa kecil, dan foto kenangan yang menjadi stimulus membawa pada pengalaman subjektif di masa lalu.

Di sekeliling kita ada banyak contoh anchor yang mempengaruhi keadaan emosi kita. Senyuman adalah contoh sederhana dari visual anchor. Ketika seseorang tersenyum kepada kita maka kecenderungan kita akan membalas tersenyum. Contoh lain dapat berupa kinestetic anchor seperti suatu perasaan bahagia pada saat ketemu dengan orang yang dicintai atau auditory anchor seperti pada saat seseorang memanggil nama kita dan kita langsung menoleh pada orang yang memanggil.

Bau atau wewangian juga menjadi bagian dari anchor alias olfactory anchor. Banyak orang yang teringat kembali kepada kenangan masa kecilnya ketika mencium bau tanah setelah hujan (petrichor) atau wangi parfum tertentu. Ada lagi gustatory anchor, yaitu suatu anchor yang bekerja berdasarkan rasa yang dikecap oleh lidah. Misalnya, saat makan gudeg mengingatkan kita pada masakan gudeg yang dimasak oleh ibu kita.

Nah, bagaimana dengan framing? Frame dalam NLP adalah cara pandang seseorang dalam memaknai suatu hal atau pengalaman dalam konteks tertentu. Sedangkan Framing berarti suatu teknik untuk membuat seseorang memaknai suatu hal dengan “bingkai” yang diberikan.

Cara pandang kita terhadap sesuatu atau pengalaman akan mempengaruhi cara berpikir dan perilaku kita.  Ketika kita memandang dengan cara “salah” maka kita akan mendapat makna yang “salah” pula, berlaku untuk sebaliknya. Sebagai contoh, seorang pengusaha yang pernah mengalami kegagalan, ia cenderung takut untuk memulai bisnis baru dan memiliki seribu alasan untuk tidak memulai bisnis lagi.

Framing juga dapat digunakan sebagai suatu teknik untuk membuat lawan bicara berpikir dan berprilaku sesuai dengan konteks yang kita berikan. Contohnya, dalam suatu rapat perusahaan yang membahas tentang kinerja perusahaan yang menurun, pemimpin rapat hendak mencari akar permasalahan secara akurat. Ketika rapat itu dimulai, ia langsung melakukan frame: “Oke, sekarang kita fokus mencari akar permasalahan, silakan memberikan data-data yang akurat, bukan sekedar asumsi, Setuju!?“

Hasilnya, semua peserta rapat yang memiliki asumsi-asumi yang tidak memiliki data-data yang akurat tidak berani untuk mengukapkan asumsinya. Dengan framing, hasil yang diharapkan dari rapat itu dapat sesuai dengan tujuannya.

  1. Sex Sells

Sex Sells adalah manipulasi psikologis yang memanfaatkan fakta bahwa semua orang akan mau melakukan apapun bahkan hal-hal bodoh jika sudah tertarik (jatuh cinta) dengan seseorang. Baik dalam konteks sebagai kekasih maupun sebagai mentor atau guru.

Teknik ini banyak digunakan para Sugar Baby untuk mendapatkan Sugar Daddy demi kepentingan materi alias finansial. Di beberapa kasus penipuan berkedok asmara, kebanyakan wanita begitu mudah ‘dikadali’ lelaki hidung belang melalui media sosial. Pada kasus lainnya, teknik ini juga bisa digunakan penyebar aliran kepercayaan atau agama tertentu untuk melakukan doktrinase demi menyerbarluaskan kepercayaannya.

Mencegah Social Engineering Attack

Kiwari, Social Engineering Attack menjadi suatu keniscayaan. Perkembangan teknologi, keterbukaan informasi dan komunikasi telah mengikis batas-batas dan menghilangkan tabu. Manusia modern seolah menjadi ikan di dalam akuarium besar yang sewaktu-waktu dapat memicu penyalahgunaan dalam interaksinya.

Agar tidak mudah terpancing dan “dikadali” pelaku social engineer, dibutuhkan beberapa langkah taktis untuk membentengi diri. Setidaknya ada 2 (dua) hal yang bisa menjadi pondasi.

  1. Kritis dan Jangan Mudah Percaya

Kebiasaan bersikap kritis terhadap suatu informasi akan menyelamatkan kita dari informasi yang tidak kredibel dan menyesatkan. Seperti misal tiba-tiba mendapat email, telepon, atau pesan singkat memenangkan hadiah dan mengarahkan untuk melakukan langkah-langkah tertentu sebaiknya tak perlu ditanggapi.

Di ranah media social (Instagram, Facebook) biasakan untuk tidak mudah percaya kepada orang atau kenalan baru. Jangan mudah terbujuk oleh iming-iming manis yang menjual wajah cantik, ganteng, dan cool sehingga dengan mudah memberikan nomor WA (pribadi) serta membagikan informasi pribadi lainnya.

  1. Hindari Pola Pikir Instan

Di dunia nyata tidak ada istilah kaya secara instan, semua membutuhkan effort alias proses. Iming-iming investasi bodong dengan dalih cepat kaya tanpa usaha kerap memakan korban kaum rebahan.

Tentu 2 (dua) barikade di atas tidak sepenuhnya ampuh untuk membendung aksi social engineering attack. Namun setidaknya bisa menjadi langkah awal untuk mencegah terjadinya aksi kadal-mengadali alias penipuan. Pun bukankah mencegah itu lebih baik daripada mengobati?

(Milesia.id/Kelik Novidwyanto, disarikan dari berbagai sumber)

Tags

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Close
Close