Membongkar Penipuan Klik Link: Social Engineering dan Phising

Merdeka.com - Tanpa menggunakan social engineering, pelaku phising sulit mengelabui korban. Mudahnya mendapatkan data perbankan dan data kependudukan di Indonesia, membuat aksi penipuan terus terjadi.

Istilah social engineering atau rekayasa sosial merujuk pada upaya manipulasi psikologis dengan memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga.

Korban yang terpedaya digiring untuk mengungkapkan data, menyebarkan infeksi malware, hingga memberikan akses ke sistem yang terjaga. Social engineering dibagi dalam dua tujuan utama yakni untuk menyabotase dan mencuri.

Dalam konteks kejahatan phising, social engineering dibutuhkan sebagai langkah awal agar calon korban masuk dalam 'perangkap'.

Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Polri Kombes Reinhard Hutagaol memaparkan, sindikat pelaku mendapatkan data-data awal yang cukup lengkap calon korban yang banyak diperjualbelikan di dark web. Salah satunya dari forum breached. Mereka kemudian memilih target.

"Data yang mereka miliki itu cukup lengkap sekali. Nomor rekening dia dapat, alamat dia dapat, nomor telepon dia dapat, nama orang tua, nama ibu. Satu saja yang belum dia dapat ya tadi itu PIN," jelas Reinhard kepada merdeka.com, pekan lalu.

Dari kasus-kasus yang pernah ditangani, Reinhard menyebut dua tipe social engineering yang dilakukan pelaku. Pertama melalui iming-iming. Dalam kasus nasabah BRI misalnya, korban ditawarkan tarif murah biaya transaksi dengan cara mendaftar melalui link yang disediakan.

Tipe kedua adalah, korban ditakut-takuti menggunakan kalimat yang mengagetkan atau mendesak. Misalnya dengan mengatakan rekening korban di bank telah dibobol. Dan untuk mengeceknya, korban diberi link yang harus diisi sejumlah data-data.

"Intinya agar korban tertarik untuk mengklik link itu. Pokoknya gini, untuk cara masuk itu tergantung kreativitas lah itu, kalau kita bilang social engineering," kata Reinhard.

Saat username dan password korban sudah didapatkan, dalam hitungan menit, isi rekening langsung dikuras hingga habis.

Dulu Akun Medsos, Kini Situs Palsu

Sebelum marak situs palsu yang meniru situs resmi suatu instansi, cara sindikat phishing menipu adalah dengan menggunakan akun media sosial palsu. Belakangan cara itu sudah jarang dilakukan karena masyarakat semakin waspada.

"Kalau dulu kan mereka mainnya medsos palsu. Misalnya Twitter atau Instagram halo BCA misalnya. Itu gampang nirunya karena di medsos. Tapi kalau yang di website ini ada keahlian khusus dan kita sudah bisa ungkap yang ini," kata Reinhard.

Dari penyidikan sejumlah kasus, situs palsu yang dipakai sindikat phising biasanya di-hosting dengan menggunakan ISP (internet service provider) di luar negeri.

"Jadi sebenarnya perpaduan antara teknologi dan social engineering. Social engineering diperlukan untuk memancing seseorang agar tertarik masuk ke website itu," ujar Reinhard.

Chairman Lembaga Riset Keamanan Siber dan dan Komunikasi CISSReC, Pratama Dahlian Persadha mengungkapkan, banyak penyedia domain website gratis di internet. Demikian juga malware dan web phising. Malware adalah perangkat lunak yang diciptakan untuk menyusup atau merusak sistem komputer, server atau jejaring.

Para pelaku yang mahir, mengirimkan link yang bisa mengarahkan korban untuk menginstal malware atau diarahkan ke web phising berisi malware. Malware inilah nanti yang akan mengambil data username dan password aplikasi perbankan.

Selain itu, link asing yang menyamar dari layanan perbankan selain mengarahkan ke web phising, juga sering mengarahkan korban untuk menginstal aplikasi palsu. "Dari aplikasi palsu inilah nanti kegiatan sedot data dan uang dilakukan oleh para pelaku," kata Pratama.

Menurut Pratama, salah satu malware yang terkenal dipakai dalam mencuri uang nasabah adalah cerberus. Cerberus dikenal sebagai trojan banking. Biasanya pelaku mengirimkan pesan berisi URL lewat email, SMS, maupun WA. Saat korban melakukan klik, maka URL tersebut mengarahkan ke web phising di mana cerberus akan masuk ke ponsel dan laptop korban lalu melakukan dormant di web browser korban.

Ketika kemudian korban mulai mengakses internet banking, maka cerberus akan mengambil semua data perbankan yang dibutuhkan, mulai username dan password, juga nomor rekening bahkan kode keamanan tambahan, bahkan berbagai data terkait kartu kredit.

"Dari sinilah akhirnya pelaku bisa menyedot uang nasabah sebanyak mungkin," ujarnya.

Sulitnya Mengejar Sindikat Phising

Dalam banyak kasus, korban penipuan phising hanya bisa pasrah saat uang di rekeningnya habis digasak maling. Pelaku akan memindah-mindahkan uang korban melalui beberapa rekening di bank berbeda dalam waktu singkat.

Saat korban sadar dan meminta pemblokiran rekening, uang sudah pindah berkali-kali.

"Dalam hitungan detik sudah pindah lagi ke rekening ini, pindah lagi ke rekening itu, pindah lagi, pindah lagi ke sana. Jadi mereka sudah lihai lah orang ini, hebat pokoknya," kata Reinhard Hutagaol.

Sementara polisi, membutuhkan otorisasi dari PPATK untuk melacak aliran dana atau mengungkap identitas pemilik rekening. Pun jika pemilik rekening terungkap, ternyata mereka tidak tahu-menahu. "Kalau untuk rekening mereka memanfaatkan orang-orang kampung yang disuruh buat rekening ke bank," ujarnya.

Buku rekening dan ATM kemudian dikuasai oleh sindikat phising. "Jadi kadang-kadang kalau polisi menangkap pemilik rekening-rekening ini, orangnya benar tapi bukan dia pelakunya karena dia cuma disuruh buka rekening," tambah Reinhard.

Plt Deputi Analisa dan Pemeriksaan PPATK, Danang Prihartono menyatakan, kesulitan penelusuran dana komplotan phising terjadi saat uang di rekening ditarik tunai oleh pelaku.

"Kalau dari penelusuran dana enggak ada kesulitan sama sekali. Cuma begitu diambil tunai kan sulit. Kalau sudah ditarik tunai, mau cari ke mana?" ujarnya.

Menghindari Kejahatan Phising

Berhasil tidaknya aksi kejahatan phising selalu bermula dari korban yang mengklik link. Jangan sembarang mengklik apalagi membagikan melalui aplikasi percakapan maupun media sosial.

"Yang sering terjadi adalah ada kolega membagikan link di grup WA yang URL-nya aneh, ini jangan pernah di klik. Selain itu, karena banyaknya kebocoran data masyarakat, maka para pelaku bisa bebas mendownload data nomor telepon calon korban. Ini yang mudah saja dijadikan bahan dasar tindak kejahatan," kata Pratama Persadha.

Beberapa tips di bawah ini bisa menjadi panduan agar terhindar dari kejahatan phising seperti dirangkum dari berbagai sumber.

1. Menjaga data pribadi

Jangan pernah membagikan data pribadi dalam bentuk apapun kepada orang yang tidak dikenal. Demikian juga nomor handphone sebaiknya tidak dipajang di media sosial.

2. Jangan sembarang mengklik link

Saat menjelajahi dunia maya, ada banyak kemungkinan kamu mengklik link yang disertakan dalam sebuah website. Pastikan link yang diklik aman dengan mengecek URL-nya. Caranya, arahkan kursor ke link yang akan dikunjungi, kemudian cek bagian bawah kiri di halaman monitor untuk mengetahui tautan (link) apa yang akan dikunjungi.

Jika kamu menggunakan perangkat HP, klik lalu tahan sekitar 2-3 detik pada link yang akan dikunjungi, kemudian akan muncul beberapa menu, termasuk alamat lengkap dari tautan yang akan kamu kunjungi.

3. Jangan gampang tergoda

Banyak pesan singkat dari nomor yang tidak dikenal memberitahukan Anda memenangkan hadiah. Jika tidak merasa pernah mengikuti suatu undian, perlombaan dan sejenisnya, abaikan saja pesan tersebut. Jangan tergiur.

4. Meningkatkan keamanan data

Salah satu cara yang paling ampuh mengamankan data dari upaya phising di internet dengan mengaktifkan two-factor authentication (2FA) untuk akun yang kamu daftarkan di internet.

Cara ini akan memberitahukan jika ada yang berupaya membobol data-data Anda di internet. Hindari melakukan transaksi keuangan atau mengakses website dan aplikasi perbankan saat menggunakan Wi-Fi publik.

Bila menjadi korban phising, segera laporkan ke polisi dan ke bank. Minta pemblokiran nomor rekening pelaku.

"Di bank itu ada namanya blokir sementara sesuai laporan polisi. Korban bisa meminta bank memblokir uang yang sudah ditransfer. Itu yang harus cepat, jangan menunggu besok," pungkas Reinhard.