KEJAHATAN siber dengan modus spoofing-social engineering kembali terulang. Korban terbaru bermodus pengiriman file APK yang disarukan seolah-olah surat pemberitahuan tilang, membuat korban mengalami kerugian hingga Rp 2,3 miliar setelah rekening banknya dikuras pelaku.
Realitas menunjukan, dalam menjalankan aksinya, pelaku kejahatan siber tidak melulu mengandalkan teknologi. Ia juga memanfaatkan kelengahan dan faktor psikologis korbannya. Hal inilah yang disebut social engineering yang salah satu modusnya berupa spoofing.
“Spoofing”
Referensi tentang spoofing antara lain dipublikasikan oleh Federal Bureau of Investigation (FBI) AS dengan judul “Spoofing and Phishing” (2023).
FBI menyebut, spoofing adalah tindakan di mana seseorang menyamarkan alamat email, nama pengirim, nomor telepon, atau URL situs web.
Menurut FBI, spoofing adalah salah satu teknik kejahatan siber yang tujuannya sama dengan phishing. Modusnya mengelabui atau memikat korban agar mengambil umpan tersebut.
Penipuan ini dirancang agar korban memberikan informasi seperti username dan password mobile banking secara tanpa sadar.
Awalnya, spoofing adalah modus berupa menyarukan URL atau nama domain internet. Penipu seringkali hanya mengubah satu huruf, simbol, atau angka untuk meyakinkan dan membuat korban mengira bahwa ia berinteraksi dengan email atau web terpercaya.
Pelaku secara cerdik kemudian mengarahkan korban untuk melakukan tindakan tertentu, atau berkunjung ke web palsu untuk mengisi data pribadi.
Spoofing secara umum merupakan tindakan pelaku kejahatan siber menyamar sebagai entitas atau perangkat tepercaya, sehingga korban kemudian melakukan sesuatu bagi peretas.
Setiap kali pelaku melakukan penyamaran identitas sebagai orang lain, maka itulah yang disebut spoofing.
Spoofing dapat dilakukan dengan formula dan tingkat kerumitan teknis beragam, termasuk dengan kombinasi elemen social engineering.
Pelaku memanipulasi korbannya secara psikologis dengan mempermainkan kerentanan individu seperti rasa takut, keinginan dan ambisi, atau kondisi gagap teknologi.
Spoofing secara teknis saat ini dilakukan lebih canggih karena dikombinasikan dengan pendekatan tebar aplikasi. Pelaku mengirim file APK, yang jika diklik berakibat fatal karena bisa menyedot data pribadi dan sensitif, seperti data mobile banking korban.
Belakangan, dengan perkembangan teknologi digital, modus spoofing banyak dilakukan juga melalui WA, Telegram, atau jenis media perpesanan lainnya yang dengan mudah menggunakan profil atau foto palsu pihak lain.
Jika korban berhasil terperdaya karena mengklik tautan APK yang dikirim, maka pelaku bisa melakukan penyadapan, mengambil data, dan informasi korban secara ilegal melalui jaringan internet.
“Social Engineering”
Modus rekayasa sosial yang secara internasional dikenal dengan social engineering atau “soceng”, adalah aksi pelaku kejahatan memanipulasi korban seperti mengatasnamakan petugas tilang, jasa ekspedisi atau surat undangan pernikahan.
Masyarakat harus hati-hati, karena fraudster bisa mencuri data apapun seperti SMS, One Time Password (OTP) termasuk data rahasia keuangan korban.
Data tersebut akan terkirim kepada penipu secara otomatis melalui pesan SMS dan menjadi awal modus pencurian uang di rekening mobile banking.
Setelah pelaku mendapatkan kode OTP, maka pencurian rekening korban mulai dilakukan. Tentu saja pelaku terlebih dulu mengambil alih mobile banking milik korban.
Seperti dijelaskan oleh pihak Kepolisian yang bergerak dengan cepat, dalam kasus terakhir pelaku juga tak kalah canggih, termasuk dalam mengelola rekening.
Setelah berhasil menguasai rekening korban, saldo kemudian dikirim pelaku ke rekening yang juga dibeli lewat Facebook, bukan atas nama dirinya.
Setelah dana masuk, pelaku kemudian memindahkannya ke rekening atas nama orang lain lagi. Hal yang mencengangkan adalah, uang hasil kejahatan menurut pengakuan pelaku, digunakan antara lain untuk bermain judi slot dan membeli narkoba.
Dalam kasus di Palembang, pelaku yang berhasil ditangkap mengaku, membeli file APK untuk meretas data pribadi korban senilai Rp 500.000, dari seseorang lewat Facebook (Kompas.com 27/9/2023).
Modus seperti ini sebenarnya sudah diketahui banyak orang, tetapi tak menyurutkan jumlah kasusnya. Hal ini tidak terlepas dari perkembangan teknologi dan masifnya modus social engineering yang terus dikembangkan oleh pelaku.
Model “Soceng”
Dikutip dari The European Union Agency for Cybersecurity (ENISA), social engineering atau rekayasa sosial dikonstruksikan sebagai teknik membujuk target, agar mengungkapkan informasi spesifik atau melakukan tindakan tertentu. Informasi ini kemudian menjadi awal modus kejahatan berikutnya.
Rekayasa sosial saat ini berkembang secara signifikan dengan dua karakter. Pertama, dalam bentuk manipulasi psikologis terhadap korban dengan menyamar sebagai mitra penting melalui panggilan telepon, atau pesan singkat untuk memikat target agar menelusuri situs web jahat untuk menebar virus.
Kedua, menggunakan teknologi sebagai dukungan terhadap teknik manipulasi psikologis untuk mencapai tujuan, misalnya, memperoleh data-data perbankan melalui serangan phishing untuk kemudian mencuri uang target.
Selain spoofing yang telah saya jelaskan, ENISA juga menyebut, beberapa teknik yang paling umum dalam rekayasa sosial, yaitu pre-texting, baiting, quid pro quo, dan tailgating yang dapat diuraikan sebagai berikut:
Pertama, Pre-texting adalah teknik berupa tindakan untuk mengelabui korban. Sebagai contoh pelaku berpura-pura sebagai petugas teknologi informasi dan meminta kata sandi target untuk tujuan pemeliharaan.
Kedua, Baiting adalah tindakan membujuk korban untuk melakukan hal tertentu. ENISA mencontohkan, modus untuk menjebak korban, di mana USB flash drive yang terinfeksi keylogger dan diberi label “Foto pribadi saya” tertinggal atau disimpan di depan pintu rumah korban. Hal ini sudah bisa diduga sebagai bentuk jebakan.
Ketiga, Quid Pro Quo adalah penipuan berupa permintaan informasi dengan imbalan kompensasi. Sebagai contoh penyerang menanyakan kata sandi korban dan mengaku sebagai peneliti yang melakukan eksperimen, dengan imbalan uang.
Keempat, Tailgating, yaitu tindakan mengikuti orang yang berwenang atau petugas resmi ke dalam area atau sistem terlarang. Sebagai contoh, pelaku sengaja berpakaian seperti pegawai dan meyakinkan korban untuk membuka pintu pusat data.
ENISA merekomendasikan agar semua organisasi mengidentifikasi aset penting mereka dan menerapkan kebijakan dan protokol keamanan yang tepat, termasuk dengan dukungan teknologi.
Tindakan yang paling efisien terhadap serangan rekayasa sosial menurut ENISA adalah, pelatihan staf, dan kampanye kesadaran yang terus dilakukan.
Di samping itu, perlu dilakukan tes penetrasi untuk menentukan kerentanan organisasi terhadap serangan social engineering. Hasil tes ini harus ditindaklanjuti oleh organisasi.
Kiat cegah
Beberapa langkah dapat dilakukan untuk mencegah terjadinya spoofing-social engineering.
Pertama, siapapun agar tidak gampang mengklik tautan yang tidak jelas, apalagi jika dikirim oleh orang yang tidak dikenal.
Jika menerima pesan seperti itu abaikan dan segera hapus link dan blokir nomor HP pengirimnya.
Jika menerima pesan yang terkesan penting seperti bukti tilang, atau berisi informasi perbankan, juga jangan langsung diklik. Lakukan cek-ricek kepada pihak resmi dan minta konfirmasi.
Kedua, jangan lalai melakukan pengecekan mobile banking secara berkala. Lakukan cek saldo dan transaksi secara rutin. Gunakan fitur notifikasi via SMS untuk apapun transaksi mobile banking Anda.
Jika telanjur terjadi penipuan, segera lapor ke bank penyelenggara dan uninstall mobile banking anda.
Cek juga apakah ada aplikasi tak dikenal di ponsel pintar. Jika ada aplikasi asing, segera uninstal.
Ketiga, untuk mencegah korban lebih banyak dalam masyarakat, maka otoritas berwenang, termasuk di bidang keuangan, perbankan, dan penegak hukum, perlu terus mendesiminasikan dan mengampanyekan kiat-kiat menghindari kejahatan siber ini.
Terakhir, ekosistem masyarakat digital berlogika cerdas perlu terus ditumbuhkan. Masyarakat juga perlu memahami bahwa tingkat keamanan siber penyelenggara sistem elektronik juga sangat korelatif dengan perilaku pelanggannya.
Oleh karena itu, peran individu untuk menghadapi modus social engineering adalah keniscayaan. (kompas)
Penulis: Prof. Dr. Ahmad M Ramli Guru Besar Cyber Law & Regulasi Digital UNPAD