Jangan Mudah Terperdaya, Jangan Buka Semua Data

“Data gue katanya dipake buat buat kartu kredit ama orang dan udah ada transaksi dua puluh satu juta. Dan ini gue lagi berurusan dengan Bareskrim

Begitulah cerita yang saya terima tadi pagi lewat WA. Farah, kawan baik saya, menceritakan kalau ia baru saja ditelepon orang yang mengaku customer service dari sebuah bank. CS itu mengatakan bahwa data Farah telah dipakai oleh orang untuk membuka kartu kredit dan sudah digunakan untuk bertransaksi dua kali, dengan total nilai transaksi sebesar 21 juta.

Mendengar hal ini kawan saya panik dan (awalnya) sangat percaya kepada penelpon itu. Apalagi setelah itu si penelpon mengatakan kalau masalah ini tidak segera diurus, Farah nantinya harus membayar tagihan kartu kredit itu. Si penelpon pun dengan “baik hati” menyambungkan Farah dengan seseorang yang mengaku dari Bareskrim yang meminta data-data Farah untuk ditindaklanjuti.

Farah hampir saja memberi data-data itu, tapi untunglah sebelum data diberikan, ia keburu dipanggil untuk meeting. Allah save her, di tengah-tengah meeting itulah ia sempat mengabari saya perihal kasusnya. Saya—yang kebetulan sering membaca soal penipuan sejenis ini—segera mengingatkan dia untuk tidak langsung memberikan data perbankan kepada siapapun.

“Tahaan.. jangan ngasih data dulu. Ga mungkin Bareskrim serajin itu nelepon lo. Coba deh jangan panik, lo telepon call center resmi bank itu dulu. Jangan percaya orang yang nelpon begitu aja,” saya mencoba memberi alasan logis.

Awalnya ia bersikeras, dan masih mempercayai telepon itu karena katanya “Si Bareskrim” ini terlihat meyakinkan.

“Bukan cuma di WA, Ma. Mereka (Bareskim gadungan) video call gue. Orangnya tinggi gede, rambut cepak,” tukas Farah.

Tapi setelah saya berikan beberapa alasan lain soal ketidakmungkinan ini adalah Bareksrim betulan, disertai artikel soal penipuan berkedok telepon yang sama, ia mulai melunak. Dia kemudian menelpon call center resmi bank bersangkutan. Dan sudah pasti—seperti yang saya duga—bank tersebut menyangkal telah menelpon kawan saya dan mengingatkan kawan saya untuk tidak percaya hal seperti itu.

“Jangan pernah memberikan data kepada siapapun, kak. Hati-hati social engineering.” Begitu pesan si mbak-mbak CS di telepon.

Apa Itu Social Engineering?

Saya sendiri baru tahu istilah social engineering ini. Lalu saya googling soal ini dan mendapati ulasan sebagai berikut.

Social engineering (kerap disingkat dengan Soceng) atau rekayasa sosial adalah teknik yang sering kali digunakan sekarang ini. Penipu menggunakan kesalahan atau kecerobohan individu untuk mencuri data atau informasi penting yang konfidensial. Para pelaku social engineering ini dengan mudah bisa memperdaya orang lain dan membuat orang lain tidak sadar ketika bahkan melalui alat komunikasi.

Para pelaku social egineering ini biasanya memanipulasi psikologis, emosi, dan kelemahan manusia yang gampang percaya dan empati terhadap orang lain, serta mudah panik dalam keadaan terdesak.

Mereka kerap menyamar sebagai seseorang yang punya wewenang misalnya saja Bareskrim atau polisi seperti kasus kawan saya tadi. Secara psikologis, orang mudah percaya dengan orang yang memiliki kewenangan, apalagi dalam situasi yang mendesak.

Pelaku ini juga kerap menghubungi orang di jam-jam konsentrasi orang mulai menurun, misalnya di jam-jam sibuk di saat orang bekerja, atau di jam makan siang. Saat konsentrasi menurun, biasanya manusia kurang teliti dan lebih mudah mudah dimainkan emosinya.

Apa Bahaya Social Engineering?

Walau namanya terkesan keren, efek yang ditimbulkan social engineering ini tidak sementerang namanya. Setelah mendapatkan data pribadi melalui berbagai cara, misalnya dengan menelpon dan mengaku sebagai petugas berwenang seperti yang dialami Farah, para pelaku social engineering ini bisa menggunakan data pribadi itu untuk melakukan pencurian identitas atau penipuan finansial.

Mereka bisa menggunakan data untuk melakukan transaksi yang tidak sah, atau mengakses rekening bank korban dan mengambil dana dari sana. Banyak, kan cerita yang beredar soal dana yang terkuras habis di bank setelah korban mendapat telepon, mengisi data, atau mengklik situs tertentu. Dan ini berlangsung hanya dalam waktu sekian menit saja.

Bukan hanya soal finansial. Jika pelaku berhasil mendapatkan akses ke sistem, mereka juga dapat mencuri atau merusak data penting atau bisa juga mengakibatkan rusaknya reputasi seseorang.

Macam-Macam Modus Social Engineering

….

Social Engineering ini bisa berbentuk macam-macam, bukan hanya seperti yang dialami kawan saya tadi. Melansir dari situs BRI, setidaknya ada empat modus Social Engineering yang akhir-akhir ini kerap menimpa para nasabah bank.

  • Tawaran Menjadi Nasabah Prioritas.
    Penipu mengaku CS bank dan menawarkan upgrade kepada calon korban untuk menjadi nasabah prioritas dan mengiming-imingi calon korban dengan berbagai keuntungan. Setelah calon korban setuju, ia akan diminta mengisi data-data rahasia yang “katanya” dibutuhkan untuk menjadi nasabah prioritas.
  • Akun Palsu Layanan Konsumen.
    Biasanya ini dialami para calon korban yang “komplain” atau bertanya di kolom komentar akun media sosial bank. Penipu yang membaca komplain atau pertanyaan ini akan menghubungi calon korban dengan menggunakan media sosial yang mengatasnamakan bank tersebut dan menawarkan untuk membantu menyelesaikan masalah yang dialami calon korban tersebut.

    Media sosial dibuat semirip mungkin dengan yang asli (nama maupun logo, dan bahkan isi feed-nya) sehingga kadang calon korban tidak menyadari kalau media sosial itu bukan milik bank. Dan kemudian, calon korban diminta memberikan data agar masalah bisa diselesaikan.

  • Undangan Pernikahan/Foto Palsu Berbentuk File APK. Modus penipuan ini terjadi melalui permintaan untuk mengklik sebuah file undangan pernikahan berformat APK melalui aplikasi chat WhatsApp (WA).  Ketika korban meng-klik aplikasi bodong tersebut, tanpa disadari ia memberikan persetujuan untuk mengizinkan aplikasi tersebut mengakses SMS dan apilikasi lain di handphone

    Kejahatan pun dapat terjadi karena data transaksi perbankan (kode OTP) yang bersifat pribadi dan rahasia dikirimkan melalui sms. Alhasil, transaksi perbankan dapat berjalan dengan sukses.

  • Info Perubahan Tarif Transfer Bank. Penipu memberi tahu lewat telepon atau WA/SMS yang mengatasnamakan bank dan memberitahukan akan ada perubahan tarif transfer bank atau perubahan kebijakan bank lainnya.

    Jika calon korban tidak menyetujui perubahan itu, calon korban “diharuskan” mengisi form yang berisi data rahasia seperti PIN, OTP dan atau password. Atau bisa jadi, link yang diberikan adalah link yang mengarah ke aplikasi bodong, yang bisa mengakses SMS dan apilikasi perbankan lain di handphone
Contoh edaran palsu perubahan tarif transfer bank. Sumber: IG BRI
Info palsu soal tarif baru transfer yang mengatasnamakan bank BRI. Kalau kita cermati, logonya salah dan nomer teleponnya pun nomer telepon pribadi, bukan dari WA resmi bank BRI (biasanya ada tanda verifikasi dari WA).

Ingat, Social Engineering Tidak Hanya Menimpa Orang-Orang yang Awam!

Apakah social engineering hanya bisa menimpa orang-orang yang awam? Tidak, belum tentu. Kawan saya itu adalah seorang ahli perangkat lunak yang punya pendidikan mumpuni. Yang pastinya punya pengetahuan luas soal data dan keamanan siber. Tapi nyatanya, ia hampir saja tertipu.

Sebanyak 88% kasus perbankan di dunia dan 99 persen kasus penipuan perbankan di Indonesia terkait erat dengan social engineering.

Kepala Departemen Perlindungan Konsumen Otoritas Jasa Keuangan (OJK) Rudy Agus Raharjo, sebagaimana dikutip oleh Kompas.com,

Jadi, sapapun kita, apapun pekerjaan dan pendidikan kita, tetap mesti berhati-hati terhadap kemungkinan social engineering ini.

Bagaimana Menghindari Social Engineering?

Saya menghubungi Nico, kawan saya yang pernah bekerja di bank, dan Irwan Sembiring, dosen Digital Forensic dari UKSW Salatiga yang pernah saya kenal saat peliputan di Sulawesi. Mereka memberikan tip-tip ini untuk menghindari social engineering.

  • Tidak mengangkat nomer-nomer yang tidak dikenal. Kalau memang orang tersebut punya kepentingan dan benar orangnya (alias bukan penipu), pasti mereka akan mengirimkan pesan lewat SMS atau WhatsApp.
  • Jika ada yang menelpon dan mengaku dari bank, pastikan telepon itu dari nomor call center resmi bank. Jika ada penawaran-penawaran dari nomor handphone pribadi, meskiun dia mengaku karyawan resmi bank, sebaiknya tidak perlu diladeni. Tutup saja, karena bisa jadi kita terpancing oleh dia.
  • Crosscheck balik ke nomor call center resmi bank jika ditelepon oleh orang yang mengaku dari bank.
  • Jangan pernah memberikan data-data perbankan (KTP, password, PIN, OTP, dll) kepada orang yang menelpon kita, meskipun dia mengaku dari bank atau dia memang karyawan bank sekalipun.
  • Ganti secara berkala PIN dan password yang kita gunakan.
  • Hindari untuk men-klik tautan dari SMS, email, dan media sosial yang tidak dikenal untuk mencegah adanya tindakan hacking.
  • Jangan mengunggah data pribadi di sosial media, terutama tanggal lahir, nama orang tua kandung dan hal rahasia lainnya.

Terkait dengan telepon penipuan dari seseorang yang mengaku karyawan bank, Nico memberikan insight ini.

  • Jika rekening atau kartu kredit kita dibobol, pihak bank tidak akan mungkin menghubungkan ke Bareskrim atau polisi. Itu jelas penipuan. Karena prosedur internal bank dalam menangani pembobolan rekening ataupun kartu kredit tidak begitu.
  • Saat apply kartu kredit pasti ada proses verifikasi dan kontrol di internal Bank. Jadi kalau ada orang mengaku data kita dipalsukan untuk bikin kartu kredit dan sudah digunakan, maka jangan langsung percaya. Segera crosscheck ke contact center resmi bank.

***

Jadi, berhati-hatilah terhadap social engineering. Jangan sampai rekening kering karena social engineering!!

..

Sumber:

  • https://www.bri.co.id/en/web/guest/waspada-modus-detail?title=kenali-4-modus-social-engineering
  • https://elitery.com/articles/apa-itu-social-engineering
  • https://money.kompas.com/read/2023/08/03/161100126/99-persen-kasus-penipuan-perbankan-di-indonesia-karena-social-engineering-

Leave a Reply

Your email address will not be published. Required fields are marked *

error: Content is protected !!