The main vulnerability isn’t in applications or servers. Man is the main security flaw. The most effective of all hacking methods, the great art of deceiving: Social engineering -- Who Am I (2014) --
♒♓⛎
Apa itu Soceng?
Suatu hari di pertengahan tahun 2007, kakak memberi kabar tak menyenangkan. Hari itu Ayah abis kena tipu 400ribu. Kakak lalu bercerita kronologinya, aku yang baru pulang kuliah, menyimak dengan seksama sekaligus prihatin dengan apa yang menimpa Ayah. Jadi pagi hari itu, sekitar pukul 9 WIB, tiba-tiba datang seorang lelaki tak dikenal, menawarkan jasa pijat. Ayah menerima masuk "tamu" tersebut tanpa menaruh kecurigaan sedikitpun. Kurang lebih setengah jam Ayah dipijat di ruang tamu rumah kami. Dalam rentang waktu tersebut, kakak sulung 1-2 kali dipanggil Ayah untuk menyuguhkan hidangan dan memenuhi instruksi tukang pijat.
Kelar dipijat, Ayah masuk kamar & merogoh kantong celananya, 'tuk mengambil uang 400ribu, "tukang pijat"-pun pergi setelah menerima pembayaran dari Ayah. Beberapa menit kemudian, Ayah dan kakak merasa pening, sekaligus tersentak kayak abis lepas dari "guna-guna". Mereka juga sedikit mual dengan aroma menyengat yang ditinggalkan tamu misterius tersebut. Baru deh, mereka sadar telah menjadi korban hipnotis. Jadi selama "tamu" paruh baya itu di rumah kami, Ayah dan kakak berada dalam pengaruh hipnotis. Tak heran, mereka nurut-nurut aja sama apa yang diperintahkan oleh si "tamu".
Dalam kisah lain, bibiku yang lagi belanja di Pasar Pondok Gede tiba-tiba dihampiri orang tak dikenal. Beberapa saat kemudian, perhiasan emasnya berpindah tangan ke orang tersebut dengan bibi menyerahkan secara "sukarela" akibat pengaruh hipnotis.
Belakangan aku paham, penipuan dengan metode hipnotis itu salah satu bentuk soceng.
π©π» Soceng? Apa itu Soceng?
π¨π»π¦° Naik motor atau sepeda berdua, gitu?
π©π» Duh, itu mah dibonceng π€¦π»♀️
π±π»♂️ Benda yang dibunyikan saat jam pulang sekolah, bukan?
π©π» Hadeuh... kalau itu lonceng πͺ
π¨π»π¦° Terus apaan dong, Soceng itu?
Soceng a.k.a social engineering adalah salah satu tindak kriminal dengan jalan memanipulasi kondisi psikologis korban. Pelaku melakukan manipulasi guna mendapatkan keuntungan tertentu, contohnya yaa itu tadi "tarif" pijat 30 menit sebesar 400ribu, yang Qadarullah korbannya Ayahku π’π₯
Soceng tak hanya dipraktikan oleh penipu bermetode hipnotis, tapi juga dilakukan oleh hacker atau "penipu handal yang melek IT". Dalam dunia perbankan, akhir-akhir ini soceng marak terjadi. Sudah banyak orang yang menjadi korban. Kejahatan soceng umumnya dilakukan melalui telepon atau internet, seperti aplikasi medsos, email, ataupun website. Pelaku melakukan berbagai cara yang membuat korban merasa gembira atau panik sesaat, sehingga korban tanpa sadar mengikuti instruksi pelaku. Begitu pelaku mendapatkan hal yang diinginkan (misal info data pribadi/info perbankan), tahu-tahu akun medsos korban mendadak tak bisa diakses, atau rekening tabungannya dikuras seketika! Hiii... mengerikan ya? π«£
Ilustrasi hacker
Credit : pexels.com
♒♓⛎
Jenis Soceng
Man is by default trusting and confiding. Social engineering uses these two components. So that you can get anything you want : passwords, secret information, login data -- Who Am I (2014) --
Dalam sebuah relasi, menaruh kepercayaan pada orang lain adalah hal yang baik. Tapi jika dilakukan secara berlebihan, sampai membagi hal-hal yang semestinya bersifat rahasia, justru akan menjadi bumerang. Orang lain bisa memanfaatkan "kepercayaan" tersebut untuk keuntungan dia sendiri. Nah, itulah yang dimanfaatkan oleh pelaku soceng. Pelaku bukan cuma meretas gadget korban, tapi juga ngehack manusia si pemilik gadget.
"Ya Allah sumpah, kamu nggak ingat sama aku? Aku teman SD/SMP/SMA mu, lho... blablabla..."
Pernah dengar modus soceng seperti itu? Pelaku menghubungi sang target dan mengaku-ngaku sebagai teman lama korban, untuk mempengaruhi pikiran atau menipunya secara halus, sampai-sampai korban merasa 'nggak enak', lalu melunak & terpaksa mengakui bahwa ia kenal dengan "kawan lama"-nya itu. Melalui sikap melunak itulah, jalan masuk si pelaku untuk "membajak" korbannya. Itu baru satu contoh. Menurut Rinda Cahyana (dosen Sekolah Tinggi Teknologi Garut) dalam Webinar Gerakan Nasional Literasi Digital 2021, sedikitnya ada lima jenis soceng dalam dunia digital.
1] Phising ~ pelaku soceng berupaya mendapatkan data rahasia korban dengan cara mengelabuinya. Si pelaku mengirim konten atau link fiktif yang berisi iming-iming hadiah. Tujuannya agar korban memberikan data rahasianya melalui link palsu tersebut.
Contoh phising
Sumber : tangkapan layar ponsel
2] Baiting ~ pelaku menyebar umpan dengan konten berlabel "menarik" (misal konten porn*) yang telah disusupi oleh malware/spyware terlebih dulu, sehingga memancing korban untuk membuka konten tersebut, untuk kemudian dibajak & dicuri info rahasianya.
3] Tailgating ~ menguntit sang target untuk mengakses info sensitif dirinya atau organisasi dimana ia bernaung. Saat korban berselancar di dunia maya dengan akses Wi-Fi publik, si penguntit dengan cekatan meretas segala data sensitif korban atau data rahasia organisasinya.
4] Scareware ~ pelaku soceng mengelabui targetnya melalui banner pop up atau pesan notifikasi peringatan atau ancaman serangan malware. Pelaku lalu menawarkan solusi untuk menangkal malware tersebut, dengan syarat korban harus mengunduhnya. Padahal gadget korban normal-normal saja, tak ada serangan apapun. Sebenarnya peringatan tersebut buat mengecoh korban agar mau menekan link atau mengunduh "anti malware" pada notifikasi itu.
5] Quid pro quo ~ pelaku soceng mengajak korban untuk mau bertukar barang/jasa secara "timbal balik", padahal itu kedok belaka. Misalnya melalui pengadaan survei online, dengan fee/kompensasi tertentu. Pada soceng jenis ini, "fee" yang diberikan pelaku itu sebenarnya kompensasi atas data-data rahasia yang disetor korban, jadi bukan fee untuk balas jasa dari mengisi surveinya.
Itulah kelima jenis soceng yang harus diwaspadai. Jangan sampai kita nggak sadar telah menyerahkan sejumlah data rahasia kepada penjahat cyber ini.
Adegan dalam film Who Am I (2014)
Sumber : https://youtu.be/Rk-vh52Q3rk?list=PLiu-ZuTVANBNuVi6osDmyi8rdaEwvWjfO
♒♓⛎
Cara Kerja/Modus Soceng
Untuk mengelabui sang target, pelaku soceng menggunakan skill IT-nya, sekaligus memanfaatkan emosi dan kelengahan/kelalaian korban. Setelah mencuri info pribadi, pelaku bebas menggunakannya untuk apa saja, seperti mengambil alih akun medsos korban, meretas akun perbankan korban lalu memindahkan dananya ke rekening pelaku, atau menyalahgunakan data korban untuk tujuan tertentu. Pelaku soceng bisa melakukan aksinya itu dalam tempo sekejap saja!
Menurut Otoritas Jasa Keuangan (OJK), ada empat modus operandi yang marak dipraktikan pelaku soceng.
1] Tawaran menjadi nasabah prioritas
Pelaku soceng mengelabui korbannya melalui penawaran iklan menjadi nasabah prioritas yang punya berbagai keistimewaan daripada nasabah biasa. Ketika sang target tertarik, pelaku meminta korban untuk menyerahkan data perbankannya, seperti username aplikasi, password, Personal Identification Number (PIN), Mobile Banking-PIN (MPIN), kode One Time Password (OTP), nomor kartu ATM/ kartu kredit/kartu debit, nomor CVV/CVC kartu kredit atau kartu debit (merupakan tiga angka terakhir yang tercantum di belakang kartu), nama ibu kandung, serta info sensitif lainnya. Begitu data korban digenggam, pelaku langsung menguras saldo rekening korban. Tegaaa... π«π£
2] Info perubahan tarif transfer bank
Modusnya, pelaku soceng berlagak seperti petugas bank dengan menyampaikan kabar perubahan tarif transfer. Pelaku kemudian mengintruksikan korban untuk mengisi data di link formulir fiktif, untuk kemudian 'menyedot' saldo rekening korban.
3] Akun medsos customer service palsu
Pelaku soceng membuat akun medsos yang mengatasnamakan bank dan 'mendadaninya' semirip mungkin dengan akun medsos asli bank. Biasanya pelaku mengincar nasabah yang menyampaikan komplainnya di medsos resmi bank.
Dengan alasan untuk merespon keluhan, pelaku mengarahkan korban untuk menghubunginya melalui japri (jalur pribadi). Korban yang kurang jeli, akhirnya masuk perangkap pelaku & membocorkan data pribadinya tanpa ia sadari.
4] Tawaran menjadi agen Laku Pandai
Pelaku soceng menawarkan 'jasa' menjadi agen laku pandai. Lantas pelaku meminta korban mentransfer sejumlah dana untuk pengiriman mesin Electronic Data Capture (EDC).
Itulah keempat modus operandi pelaku soceng yang meresahkan masyarakat. Dibutuhkan upaya perlindungan diri agar masyarakat tak menjadi korban pelaku soceng. Upaya tersebut tercermin dari menjaga data pribadi masing-masing dengan rapat bin ketat. Yang tak kalah pentingnya adalah kita mesti paham bahwa petugas bank yang benar pasti tak akan agresif meminta atau menanyakan password, PIN, MPIN, OTP, atau data pribadi lainnya. Jadi jika ada oknum bank yang bertindak sebaliknya, patut dicurigai. π€
♒♓⛎
Contoh Kasus Soceng
Maraknya kejahatan soceng membuat kita harus lebih waspada. Jangan sampai termakan bujuk rayu atau janji-janji palsu si pelaku. Jika sampai lalai/lengah, data pribadi dapat berpindah tangan atau bahkan dikloning! Seperti yang terjadi pada nasabah BRI ini. Beliau ketipu 70 juta rupiah akibat terlalu percaya pada orang yang mengaku-ngaku sebagai teman lamanya. Si "kawan lama" itu mengajak korban berbisnis. Korban yang awalnya curiga, lambat laun percaya karena kelihaian pelaku dalam meniru suara teman lamanya yang asli. Pelaku berhasil menjebak korban karena sukses mengkloning akun medsos teman lamanya yang asli. Untuk kronologi lengkapnya, silakan bisa dibaca di sini.
Kasus lain, pelaku soceng memanfaatkan fitur stiker Add Yours Instagram yang viral beberapa waktu lalu. Pelaku "nantangin" orang-orang untuk share data pribadi melalui game tanya jawab, seperti nama panggilan masa kecil, tanggal lahir, nomor KTP, dsb. Game tersebut terlihat simpel memang, tapi berpotensi mengundang masalah di kemudian hari. Pelaku bisa beraksi melakukan penipuan dengan memanfaat hal-hal privasi yang tanpa sadar telah diumbar oleh korban.
fitur stiker Add Yours Instagram
Sumber : tangkapan layar ponsel
Kasus berikutnya, si pelaku soceng menggelar survei kecil-kecilan, padahal itu jebakan buat calon korban yang mengisi survei-surveian tersebut. Serta beragam kasus lain yang makin menegaskan bahwa di dunia maya sama rawannya dengan dunia nyata! π«£
Sebenarnya ikut-ikutan games fitur Add Yours nggak sepenuhnya salah sih, bila gamesnya berisi hal-hal fun saja. Tapi jika sudah menyangkut hal-hal privasi, mending di skip deh, daripada data pribadi kita disalahgunakan. Selektif itu perlu π
♒♓⛎
Tips Melindung Diri dari Ancaman Soceng
Kejahatan siber soceng memang tampak berbahaya, bisa terjadi pada siapa saja & kapan saja. Tapi nggak perlu takut jika kita telah waspada dan mawas diri terhadap sepak terjang soceng di dunia maya. Berikut sejumlah kiat melindung diri agar terhindar dari soceng, antara lain:
1] Jaga kerahasiaan data pribadi & data perbankan
Jangan sembarangan menyerahkan data pribadi & data perbankan kepada pihak lain. Kalaupun harus memberi data, tanyakan tujuan permintaan data tersebut untuk apa. Jika memungkinkan, beri watermark (berupa keterangan waktu & tujuan) pada data kita, agar tak disalahgunakan.
Contoh watermark pada EKTP
2] Jangan mengumbar data pribadi di medsos
Tak semua hal harus dibagikan di medsos. Ada hal-hal yang harus dijaga untuk diri sendiri saja, seperti data pribadi (foto KTP, nomor rekening, buku tabungan, nomor telepon, nama panggilan, nama ibu kandung, dsb). Medsos memang tempat sharing, tapi bukan untuk oversharing.
3] Jangan mudah tergoda untuk ikut giveaway/kuis/survei/challenge yang mencurigakan atau membahayakan.
Bonus/fee tak seberapa dibanding risiko data pribadi kita disalahgunakan.
Contoh giveaway yang mencurigakan
Sumber : tangkapan layar Twitter
4] Aktifkan two-factor authentication
Guna mencegah pelaku soceng membajak akun kita, maka perlu mengaktifkan two-factor authentication sebagai keamanan berlapis untuk melindungi data & password, sehingga keamanan akun perbankan lebih terjamin. Jangan pakai PIN yang gampang ditebak angkanya seperti tanggal lahir.
5] Aktifkan notifikasi transaksi rekening & cek histori rekening secara berkala
Gunanya untuk memantau transaksi keluar masuk dana rekening bank. Penting pula rutin mengecek histori transaksi via mobile banking ataupun internet banking.
6] Jangan gampang percaya pada orang yang mengaku-ngaku petugas bank.
Bila ada orang tak dikenal yang mengaku-ngaku sebagai petugas bank dan menanyakan data pribadi, kita mesti tenang, jangan panikan, tapi juga sekaligus waspada, serta jangan pernah berikan data yang diminta. Sebab petugas bank yang asli, tak akan meminta data pribadi nasabahnya.
7] Usahakan menghafal nomor call center, akun medsos, e-mail dan website bank tempat kita menyimpan dana.
Untuk BRI, call center resminya hanya 14017 / 1500017. Email: callbri@bri.co.id . Jika berbeda, berarti itu nomor palsu/nomor penipu dan email palsu.
8] Selalu gunakan sambungan internet yang aman saat browsing di dunia maya, jangan pakai wifi publik.
Itulah beberapa tips melindung diri dari kejahatan siber soceng. Ke depannya, modus soceng mungkin akan berkembang. Media dan cara menyusupnya dibuat se-"kreatif" mungkin. Oleh karena penjahat siber makin "cerdik", maka kita juga harus lebih pandai dalam menjaga data pribadi sebagai 'kunci' pengaman data keuangan kita. Nasabah bijak tentu tak akan membiarkan data dirinya dibajak π
Harapanku sebagai penyuluh digital, semoga tulisan ini sedikit-banyak dapat mengedukasi masyarakat tentang berbagai modus kejahatan siber soceng, serta cara untuk mencegahnya. Sehingga masyarakat bisa lebih mawas, lebih waspada dan terhindar dari modus penipuan ala soceng.