Akhir Agustus kemarin (2022), saya tertarik memperhatikan sebuah utas twitter milik seorang warganet yang cukup ramai dikomentari warganet lainnya. Akun twitter itu rupanya milik seorang Dosen Kehutanan UGM bernama Agus Affianto. Beliau dikenal sebagai dosen nyentrik dan akrab dipanggil dengan sebutan ‘Mprof Picoez’ karena banyaknya pengetahuan yang ia miliki.

‘Mprof Picoez’ mengunggah screenshoot percakapan WhatsApp-nya dengan seorang penipu yang mengatasnamakan pihak Bank Rakyat Indonesia (BRI). Dalam unggahan screenshoot WA itu, si penipu nampak diroasting (baca: dikerjai) oleh calon korbannya. Hal ini tentu membuat saya ikut tertawa.

Saya jadi penasaran, tertarik untuk mencermati lebih detail seperti apa rupa akun palsu yang mengaku-aku sebagai pegawai Bank tempat saya menabung itu. Sebagai nasabah BRI, saya tentu perlu tahu agar tak terjebak oleh modus serupa sebab ada banyak netizen yang telah mengalami kasus yang sama. Mereka juga mengunggah screenshoot percakapan WA mereka dengan si penipu di kolom komentar akun ‘Mprof Picoez’. Usai mencermati screenshoot-screenshoot tersebut, saya melihat beberapa kejanggalan pada akun si penipu.

Si pelaku terlihat menggunakan fitur WA account business untuk memberi kesan seperti perusahaan sungguhan, padahal semua orang bisa bikin WA account business. Tapi, bagi mereka yang kurang memahami fitur WA akan mengiranya sungguhan. Apalagi foto profil yang digunakan juga sama dengan materi iklan dan logo milik BRI. File gambar semacam itu sangat mungkin telah didownload atau di-screenshoot oleh pelaku terlebih dahulu.

Kejanggalan semakin terasa saat menyadari bahwa tidak ada centang hijau, tanda akun official account WA, di samping nomor akun palsu tersebut. Beberapa akun palsu lainnya malah lebih lucu lagi, sebab menambahkan centang biru di dalam foto profilnya. Lah? Bukannya ‘centang biru’ itu adalah tanda official account pada akun Instagram, Facebook, dan Twitter ya? Lagi pula, mana ada tanda official account itu terletak di dalam foto profil. File foto jelas bisa diedit oleh siapa saja. Hehehe …

Selain itu, akun resmi WA akan otomatis, by sistem, menampilkan nama perusahaannya pada muka profil atau di kolom pesan WA pengguna meski kita tidak menyimpan nomor mereka. Nah! Ini berbeda dengan akun palsu yang hanya bisa menampilkan nomor tak dikenal di laman profilnya. Kita juga perlu tahu bahwa official account WA umumnya tidak memiliki fitur Call dan Video Call.

sumber gambar: https://www.bri.co.id/en/web/guest/waspada-modus-detail?title=kenali-lebih-dekat-akun-resmi-bri

Hal-hal detail menyangkut ciri akun resmi terkadang luput dari perhatian masyarakat, sebab mereka langsung fokus pada isi pesan yang dikirim, apalagi jika isi pesan itu mengandung informasi yang bersifat ‘bombastis’ dan mengejutkan, seperti yang terjadi pada kasus penipuan atas nama BRI yang sempat viral ini.

Dalam screenshoot itu, pelaku terlihat mengirimkan dokumen yang menginfokan perubahan tarif transfer Bank. Di dokumen itu tertulis bahwa kebijakan biaya transfer BRI ke Bank lain telah berubah, yakni semula Rp6.500 per transfer menjadi Rp150.000 per bulan untuk transaksi unlimited. Kaget tidak? Ya kaget lah. Apalagi jika membaca klausul berikutnya yang menyatakan kebijakan perubahan tarif itu akan berlaku secara otomatis dan biaya Rp150.00 akan ditarik secara auto debit dari rekening nasabah meski nasabah tidak melakukan transfer sama sekali dalam sebulan. Doorrr …!!

Namun dokumen itu ternyata memberi opsi alternatif, terlihat seperti solusi yang melegakan, yakni nasabah BRI dapat tetap memilih berada pada kebijakan biaya transfer lama (Rp6.500), alias tidak setuju dengan perubahan tarif, asal bersedia mengisi data pada tautan link formulir yang dikirimkan pelaku. Naahh … ini dia jebakannya.

Jika dicermati lagi, narasi dokumen itu memang terlihat berusaha keras mengarahkan psikologis calon korban, menggiring mereka untuk mengisi data yang diminta pada tautan link yang dibagikan pelaku. Menurut saya, ada tiga ‘jarum’ sugesti yang dipakai pelaku untuk membujuk korban dalam kasus tersebut, yakni:

1. Nominal perubahan biaya transfer yang begitu besar, yakni Rp150,000 per bulan. Tentu saja, hampir semua orang secara spontan menolak opsi perubahan biaya sebesar itu meski unlimited. Lagi pula, siapa sih orang yang setiap hari kerjaannya transferin duit sampai unlimited? Saya saja sebulan-dua bulan belum tentu melakukan transfer (maklum, kaum berdompet 'pas-pasan' wkwk…). Maka sudah pasti semua orang akan pilih tetap pada opsi lama (Rp6.500) yang oleh dokumen itu disyaratkan mengisi data pribadi pada tautan yang dikirimkan. Menurut saya, jumlah nominal perubahan biaya transfer yang amat besar itu hanyalah upaya untuk mengejutkan psikologis korban agar tak bisa berpikir jernih.
2. Adanya klausa biaya Rp150.000 akan ditarik secara auto debet dari tabungan, jika korban tak mengonfirmasi pesan pelaku, alias dianggap telah setuju dengan perubahan tarif fiktif tersebut. Informasi ini semakin memperbesar kepanikan korban dan membangkitkan naluri alamiahnya untuk segera mengatasi masalah secepat-cepatnya. Kerentanan psikologis ini dieksploitasi pelaku untuk mengarahkan korban mengisi tautan link palsu yang telah disiapkan. Korban pun terburu-buru, tidak waspada, langsung mengikuti instruksi pelaku.
3. Adanya logo-logo dan simbol-simbol resmi pada dokumen, seperti logo dan kop surat BRI, logo Otoritas Jasa Keuangan (OJK), Lembaga Penjamin Simpanan (LPS), E-pay, BUMN, tanda tangan tangan dan stempel. Semua logo dan simbol yang tercantum dalam dokumen palsu itu memang dapat mengecoh masyarakat, terutama mereka yang tidak punya pengalaman berorganisasi atau tidak terbiasa mengurus dokumen resmi. Padahal itu semua bisa diedit dengan laptop.

Bagi mereka yang punya pengalaman berorganisasi akan merasa aneh melihat deretan dan jumlah logo yang ada. Tata letak tanda tangan dan stempel pada dokumen palsu itu terkesan kurang rapi dan berlebihan. Lucunya lagi, ada materai 10.000 pada salah satu tanda tangan itu. Wah wah … kok seperti orang kampung saja, wkwkw… Mosok surat pemberitahuan resmi lembaga memakai materai? sangat tidak lazim.

Pemakaian materai 10.000 dalam dokumen penipuan malah membuat saya curiga, jangan-jangan si penipu ini telah memilih targetnya, yakni masyarakat kecil, warga kampung, yang kurang familiar dengan administrasi organisasi, tidak melek literasi digital, namun lebih familiar dengan penggunaan materai untuk urusan-urusan resmi dan keadministrasian. Jika benar begitu, tentu kasihan sekali mereka, hidupnya sudah susah ditambah jadi target sasaran penipuan pula. Sebab itu, mereka wajib ditolong dengan edukasi literasi digital.

Tiga ‘jarum’ sugesti di atas tak akan berpengaruh pada masyarakat yang telah melek literasi digital. Mereka umumnya lebih kritis dan tidak mudah ditipu. Justru sebaliknya, mereka malah gantian ngerjain si penipu seperti yang dilakukan oleh netizen-netizen di kolom komentar twitternya ‘Mprof Picoez’. Bahkan ada pula calon korban yang malah mengoreksi ejaan bahasa dan format penulisan isi dokumen yang dikirimkan pelaku. Kocak sekali :-D Ini saya ambil beberapa contohnya biar kalian ikut terhibur :-)

Pengalaman Teman

Utas twitter yang mengisahkan pengalaman lucu-lucu netizen ‘meroasting’ penipu berkedok Costumer Service BRI tersebut mengingatkan saya pada suatu pagi di Surakarta bersama teman-teman.

Kejadian itu berlangsung di rumah kontrakan, saat semua penghuninya belum lama bangun tidur. Ada yang sedang cuci muka, ada yang masih rebahan sembari memegang gadgetnya, ada pula yang membuka pintu dan merapikan motor. Saya sendiri baru saja duduk usai mengambil segelas air putih.

Telepon seluler milik teman berdering, menggetarkan meja di depan saya. Si pemilik ponsel baru saja keluar dari kamar mandi. Ia pun mengambil ponselnya sambil mengusap sisa air di muka. Ia kemudian terdiam sejenak, menatap layar ponselnya, dan sekilas mengerutkan dahi sebelum menjawab panggilan itu.

“Hallo…”

Teman saya kemudian duduk, menoleh ke arah saya sambil menyunggingkan senyum jahilnya yang khas. Ia juga memberi tanda ‘diam’ dengan mendekatkan jari telunjuknya ke bibir, meminta saya untuk menyimak. Ia lalu memencet tombol loudspeaker sehingga isi percakapan yang semula samar kini terdengar jelas.

“Apa sih maksudnya,” ucap saya dalam hati merasa heran.

Saya jadi penasaran, siapa yang menelpon teman saya itu. Saya kemudian tahu, ternyata si penelpon mengaku sebagai Costumer Service (CS) dari salah satu e-commerce ternama.

Seingat saya, pelaku menginfokan bahwa teman saya memperoleh hadiah saldo uang digital milik layanan e-commerce tersebut dan menawarkan apakah hadiah mau dicairkan dalam bentuk tunai atau tidak.

“Saya mau hadiahnya dicairkan saja kak, bagaimana caranya?”

Penelpon kemudian meminta teman saya untuk mengirimkan data pribadi, meliputi nomor KTP, nomor rekening, serta meminta untuk mengirimkan kode OTP jika ada pesan SMS masuk. Teman saya lalu menjawab:

“Loh kan data-data saya sudah diunggah di akun e-commerce kak, melalui aplikasi, jadi tinggal dicari di sistem server pusatnya saja kak. Tidak perlu meminta saya lagi.”

“Begini kak, kebetulan kami sedang ada perbaikan sistem kak. Sebab itu, kami hendak melakukan pendataan ulang data akun e-commerce-nya kakak.”

“Loh kok bisa? Sekelas e-commerce pasti teknologinya sangat canggih dong, kalau trouble tidak mungkinlah data jutaan bisa orang hilang.”

“Iya kakak, tapi sistem kami memang sedang ada perbaikan dan perlu pendataan ulang kak. Jika mau dicairkan harap mengirimkan data-data yang kami sebut”

“Tidak mungkin lah kak, saya ini juga bekerja di layanan IT e-commerce cabang Solo lho kak, saya yang maintenance sistemnya, tidak ada ceritanya data bisa hilang begitu saja” ucap teman saya kemudian disusul dengan tawa keras cekikikan. Padahal teman saya juga bukan pegawai IT disana. Ia hanya mengerjai si penipu.

Sontak saja, orang yang mengaku-aku dari pihak e-commerce itu langsung marah-marah dengan bahasa daerah yang tidak kami pahami. Ia merasa telah dipermainkan. Telepon pun ditutup.

“Tukang tipu ya? Coba lihat nomornya” ujar saya.

Saat mengamati nomor WA si penipu, saya melihat centang hijau berada dalam foto profil WA, tergabung dengan logo e-commerce, bukan di halaman akun sebagaimana lazimnya account official WA. Saya pun jadi tertawa. Ya jelas mudah ketebak kalau itu akun palsu. Wkwk

“Biar kapok, tukang tipu seperti itu enaknya dikerjain aja.”

Kasus penipuan berkedok CS BRI dan e-commerce, seperti yang telah saya ceritakan sebelumnya, adalah salah satu tindak kejahatan siber bernama Social Engineering (Soceng) atau rekayasa sosial. Usai membaca komentar di beberapa platform media sosial, ternyata ada juga masyarakat kita yang tertipu oleh pelaku Soceng dan mengalami kerugian nominal jutaan hingga ratusan juta rupiah. Hemm …

Saat melakukan aksinya, pelaku Soceng akan memanipulasi psikologi korban agar mereka membocorkan data pribadi, data akun, maupun data perbankan secara sukarela kepada pelaku. Usai data-data itu diperoleh, pelaku Soceng kemudian menggunakannya untuk menguras isi rekening, layanan paylater, uang digital maupun barang berharga korban lainnya. Guna meyakinkan korbannya, pelaku Soceng akan mengaku-aku sebagai pihak resmi dari suatu layanan perbankan, e-commerce, maupun jasa keuangan.

Pelaku Soceng biasanya mengincar data-data pribadi agar dapat meretas akun finansial korban, meliputi:

• Username aplikasi,
• Password,
• PIN,
• MPIN,
• Kode OTP,
• Nomor Kartu ATM/Kartu Kredit/Kartu Debit,
• Nomor CVV/CVC Kartu Kredit/Kartu Debit,
• Nama Ibu Kandung,
• Informasi Pribadi Lainnya.

Menurut saya, ada dua taktik yang dilakukan pelaku Soceng untuk memanipulasi psikologi korban, yakni:

Pertama, mengejutkan korban dengan menciptakan ‘kekhawatiran’ yang hebat dan mendadak, lalu disusul dengan ‘solusi yang melegakan’ tapi sebetulnya adalah jebakan. Taktik ini terlihat dalam kasus penipu berkedok CS BRI.

Kedua, menge-‘bomb’ korban dengan kebahagiaan tinggi berupa hadiah yang menggiurkan untuk menumpulkan daya nalar kritis korbannya sehingga tidak waspada dengan niat jahat pelaku. Taktik ini terlihat dalam kasus penipuan berkedok e-commerce yang tidak berhasil memperdaya teman saya.

Ya begitulah. Setahu saya, rasa takut dan rasa senang adalah dua jenis emosi yang dapat dijadikan pintu masuk manipulasi psikologi. Orang yang terlalu senang atau khawatir umumnya tak bisa berpikir jernih. Sebab itu mudah ditipu.

Kejahatan Siber Terus Meningkat Seiring dengan Besarnya Pertumbuhan Ekonomi Digital Indonesia

Selain Social Engineering, Kementrian Kominfo juga menyebut jenis kejahatan siber lainnya seperti: serangan malware, ransomware, SQL injection, dan phising. Kejahatan siber di Indonesia semakin marak terjadi pada tahun 2022.

Kapersky menyebut ada sekitar 11,8 juta atau hampir 12 juta ancaman kejahatan online yang mengintai pengguna situs website di Indonesia selama Januari-Maret 2022. Jumlah ini meningkat sebanyak 22 persen dibandingkan pada periode sama tahun lalu (2021), dimana hanya sekitar 9,6 juta pengguna Indonesia saja yang memperoleh ancaman online. Belasan juta ancamam online berbasis situs website itu telah dirasakan oleh sekitar 27,6 persen pengguna Indonesia.

Badan Siber dan Sandi Negara (BSSN) menemukan 1,65 miliar anomali trafik siber yang terjadi sepanjang 2021. Sebesar 62 persen dari anomali trafik tersebut merupakan malware, lalu 10 persennya merupakan aktivitas Trojan, dan 9 persen berasal dari upaya pengumpulan informasi target. BSSN juga mencatat ada 5.574 kasus peretasan yang terjadi sepanjang 2021, dimana 18,23 persennya menyerang situs pemerintah, 25,1 persennya menyerang situs swasta, lalu 36,49 persen menyerang situs pendidikan tinggi.

Besarnya jumlah ancaman online membuat Indonesia menempati urutan pertama di Asia Tenggara serta urutan ke 60 pada skala global sebagai negara dengan ancaman online terbanyak. Kerugian yang tercatat akibat serangan siber diperkirakan mencapai US$ 6 triliun sepanjang tahun 2020.

Potensi kejahatan siber di Indonesia akan terus meningkat seiring dengan pertumbuhan ekonomi digital negara kita pada tahun mendatang. Menko Perekonomian, Airlangga Hartanto, menyebut bahwa Indonesia adalah negara dengan ekonomi digital tertinggi di Asia Tenggara. Nilainya mencapai sekitar USD 70 miliar pada tahun 2021. Nilai transaksi e-commece Indonesia telah mencapai Rp401,25 triliun dengan volume transaksi sebesar 1,73 miliar.

Presiden RI Joko Widodo menyebut bahwa potensi ekonomi digital Indonesia diperkirakan mencapai USD 146 miliar (Rp2.050 triliun) pada tahun 2025 dan diproyeksikan akan naik delapan kali lipat pada tahun 2030, yakni mencapai angka Rp4.531 tiliun. Besar sekali bukan? Hal ini terjadi sebab digitalisasi telah menjadi kebiasaan baru pada hampir segala bidang kehidupan masyarakat. Selain itu, adanya perluasan sistem pembayaran digital, platform digital, dan digitalisasi perbankan juga mengakselerasi pertumbuhan ekonomi digital Indonesia.

Menteri Koperasi dan Usaha Kecil Menengah (UKM), Teten Masduki, menyebut bahwa 86 persen pelaku UMKM telah menjalankan usahanya melalui internet, 73 persen telah memiliki akun pada lokapasar digital, serta 82 persen mempromosikan produknya melalui internet. Data idEA menyebut bahwa jumlah UMKM yang onboard platform e-commerce telah meningkat dibandingkan sebelum pandemi, yakni dari 16 persen menjadi 29,6 persen atau 19 juta UMKM per Mei 2022. Selain itu, Indonesia juga menjadi negara ke 5 dengan jumlah start up terbanyak di dunia, yakni sebanyak 2.324 start up per Desember 2021.

Perkembangan ekonomi digital Indonesia yang luar biasa nilainya ini harus dilindungi dari berbagai macam kejahatan siber. Terlebih lagi jika teknologi digital akan dijadikan metode andalan pemerintah dalam mengkerek ekonomi masyarakat bawah agar naik kelas. Masyarakat kecil adalah kelompok terentan jadi korban kejahatan siber selama proses digitalisasi. Sebab itu, keamanan digital adalah hal yang tidak bisa ditawar, khususnya dalam bidang finansial.

Pemerintah telah melakukan beragam upaya untuk melawan kejahatan siber di Indonesia. Pada Presidensi G20 Indonesia 2022, Kementrian Kominfo memaksimalkan pertemuan global Digital Economy Working Group (DEWG) guna membahas salah isu prioritas, yaitu cross border data flow and free with trust. Substansi penting yang dibahas dalam isu prioritas tersebut adalah tata keloka dan manajemen penanganan kejahatan siber (cyber crime).

Pada tataran nasional, Kementrian Kominfo bekerjasama dengan BSSN serta Polri untuk memberantas kejahatan siber dan mengawasi platform digital agar wajib menerapkan berbagai standar tata kelola sistem elektronik, termasuk keamanan dan perlindungan data pribadi. Selain itu, Talenta-talenta digital khusus menangani gangguan siber pun juga terus dicetak guna memperkuat sekuritas digital nasional.

Jenis Kejahatan Siber yang Sedang Trending di 2022

Ternyata bukan cuma social engineering saja yang sedang marak menyerang masyarakat. Akhir-akhir ini, kita juga dikejutkan oleh ulah para hacker yang berkali-kali membocorkan data masyarakat Indonesia di internet dan viral di media sosial. Kejahatan siber seolah sedang musim-musimnya sekarang ini. Hal ini patut kita waspadai bersama.

Berdasarkan informasi yang saya tahu, ada beberapa trend kejahatan siber pada 2022 meliputi:

Ransomeware

Ransomeware berasal dari dua kata, yakni ransom yang berarti ‘tebusan’ dan malware. Menurut BSSN, tujuan ransomeware adalah menuntut pembayaran atas data atau informasi pribadi yang telah mereka curi. Pelaku juga mengancam akan menyebarkan data itu ke internet. Tapi jangan salah, pelaku belum tentu akan mengembalikan data yang dicuri atau memulihkan akun dan program yang dirusak meski tebusan sudah diberikan. Pelaku bahkan bisa saja terus menerus memeras korban dan menjadikannya sumber pendapatan.

Ransomeware adalah salah satu serangan siber yang paling merugikan saat ini terutama bagi sektor publik, layanan kesehatan, manufaktur hingga organisasi yang bernilai tinggi. Serangan ransomeware diprediksi akan terus meningkat di wilayah negara-negara Asia-Pasifik (APAC). Pratama Persadha, pakar cyber security, memperkirakan serangan ransomeware akan meningkat pada industri krusial seperti healthcare dan manufaktur.

Infostealer Kripto

Malware lain yang juga trending adalah stealer atau infostealer yang menyasar aset-aset Kripto. Malware ini mencuri informasi yang dapat menghasilkan uang bagi para penyerang.

Acronis memprediksi serangan infostealer akan terus meningkat dan menyasar program inti cryptocurrency atau mata uang digital. Acronis juga menyebut bahwa kelak serangan malware akan lebih sering terjadi pada aplikasi Web 3.0, seperti serangan pinjaman kilat (flash loan) yang memungkinkan hacker menguras jutaan dollar dari kumpulan Crypto.

Aplikasi Palsu (Malware)

Sebagian besar kita pasti pernah berburu aplikasi gratisan di website guna menghindari kewajiban registrasi dan biaya berlangganan. Tak jarang kita juga suka ogah-ogahan melakukan pembaharuan aplikasi sebab akan memenuhi memori posel dan berdampak pada kinerja sistemnya. Tapi, kita mungkin tidak waspada bahwa dua hal itu dapat membuat kita jadi korban kejahatan siber.

Aplikasi gratis yang sumber dan pembuatnya tidak jelas, seperti program antivirus gratis, sangat rentan digunakan pelaku kejahatan untuk meretas perangkat dan mencuri data pribadi korban. Pelaku menyamarkan malware dalam bungkus aplikasi gratis untuk menarik hati para pemburu gratisan.

Sebab itu, pastikan aplikasi yang kita install di gadget hanya diunduh dari tempat-tempat resmi seperti Google Play dan APP Store, guna meminimalisir potensi serangan siber meski tidak 100 persen aman. Selain itu, upayakan untuk selalu mengupdate aplikasi guna mencegah serangan siber.

Phising

Phising berasal dari kata fishing yang berarti memancing. Dalam istilah kejahatan siber, phising diartikan sebagai upaya untuk mendapatkan informasi data seseorang dengan teknik pengelabuan. Pelaku phising biasanya memancing korbannya agar memberikan informasi pribadi secara sukarela, tanpa disadari. Informasi yang diincar pelaku phising meliputi: Data pribadi, seperti nama lengkap, nama gadis ibu kandung, usia, maupun alamat. Data akun, seperti username dan password. Data finansial, seperti informasi kartu kredit dan rekening. Informasi-informasi sensitif itu dapat digunakan untuk tujuan kejahatan.

Phising adalah kejahatan siber tertinggi yang marak terjadi, paling trending, bahkan sebelum pandemi. Laporan Acronis menyebut bahwa 94% phising dikirim melalui email. Namun bentuk phising kini beralih melalui SMS dan fitur chat di social media seiring dengan semakin ketatnya teknologi anti-phising.

Teknik-Teknik Social Engineering (Soceng)

Phising adalah salah satu dari bentuk dan teknik social engineering. Ada beberapa teknik Soceng lain yang juga bisa digunakan oleh pelaku kejahatan meliputi berikut:

Online Baiting

Baiting adalah teknik Soceng yang menggunakan umpan berupa hadiah elektronik, uang, info pekerjaan sampingan maupun iklan menarik. ‘Umpan’ itu digunakan untuk menarik korban agar mengeklik tautan yang diberikan. Saat diklik, malware dalam tautan itu secara otomatis terunduh dan menginfeksi gadget atau laptop korban. Malware itu akan merusak file data atau aplikasi milik korbannya.

Phising

Phising tak menggunakan malware untuk mencuri data, namun menggunakan taktik pengelabuan agar korban menyerahkan datanya secara sukarela, tanpa disadari. Caranya dengan menyamar sebagai orang atau organisasi yang sah melalui kiriman e-mail, pesan SMS (smishing atau SMS phising), fitur chat dan telephon (vishing atau voice phising) agar terkesan lebih personal. Kasus penipuan yang mengatasnamakan pihak BRI adalah contoh phising.

Guna mengecoh korban, pelaku akan mengaku-aku sebagai perusahaan, consultan IT, instansi tertentu, layanan bank, atau e-commerce. Terkadang, pelaku bisa mengaku sebagai orang yang mengabari anggota keluarga korban sedang kecelakaan dan meminta untuk mentransfer sejumlah uang. Sebab itu, biasakan untuk mengecek informasi resmi atau mengkonfirmasi langsung kepada yang bersangkutan.

Informasi yang mengandung phising biasanya mengarahkan korban untuk mengeklik link palsu, URL maupun nomor telephon yang telah disetting dengan suara otomatis. Laman palsu phising berbentuk formulir yang memiliki kolom pengisian data pribadi, kata sandi, akun mobile banking, dan data sensitif lainnya. Terkadang laman palsu juga berbentuk laman login yang dibuat mirip dengan situs resmi instansi sehingga ketika korban login melalui laman palsu tersebut, data ID dan password akan terekam oleh pelaku.

Pretexting

Pretexting adalah teknik Soceng yang menggunakan serangkaian skenario palsu dan rekayasa peran untuk menipu kobannya melalui bidikan emosi. Teknik ini membutuhkan kecerdikan dan keterampilan seni peran sebab kunci keberhasilan teknik ini adalah membangun kepercayaan kepada korban. Pelaku harus bisa menyentuh emosi korbannya, misalnya dengan suara lembut dan kosa kata profesional ala costumer service profesional.

Pretexting berbeda dengan phising yang hanya menyebar link secara random saja. Maka tidak heran bila kita mendapati pelaku phising umumnya tidak cerdas.

Pelaku pretexting memulai aksi jahatnya dengan membangun kepercayaan pada korban melalui penyamaran. Pelaku pretexting akan mengaku sebagai pihak pemilik otoritas, seperti petugas bank, polisi, costumer service e-commerce, petugas pajak atau rekan kerja untuk mengetahui data personal korbannya.

Penipuan berkedok CS e-commerce yang hampir menimpa teman saya, seperti cerita di muka, adalah salah satu contoh pretexting.

Whaling

Whaling adalah jenis phising yang menyasar individu spesifik dan bernilai tinggi, seperti manajer eksekutif, tokoh politik, artis-artis, dan orang-orang penting sejenisnya. Sebab itu, pelaku akan melakukan persiapan matang, menggali informasi sedalam mungkin mengenai targetnya untuk membuat materi dan strategi penipuan yang sempurna.

Whaling terlihat lebih rumit, target korbannya juga lebih sulit. Namun pelaku pasti telah memperhitungkan keuntungan besar yang bisa diperoleh dari kobannya. Pelaku whaling tak hanya mencuri uang, kadang mereka juga mengincar informasi penting dan rahasia dari elit-elit tersebut.

Scareware

Sebagian besar kita mungkin sudah tak asing lagi dengan scareware. Teman-teman pasti pernah mengalami moment saat browsing di internet, membuka situs web, tiba-tiba muncul teks dan simbol alarm bahaya, banner pop up, atau teralih pada halaman yang memperingatkan adanya program atau virus berbahaya dalam gadget. Tak lama kemudian, muncul penawaran antivirus gratis yang dapat didownload. Maka berhati-hatilah, jangan mendownloadnya, sebab itu adalah scareware.

Scareware berasal dari kata scare yang berarti menakuti. Yap! Tujuan teknik ini adalah menciptakan rasa khawatir melalui ‘ancaman fiktif’ guna mendorong korban agar mengunduh malware yang telah dipersiapkan pelaku. Aplikasi anti virus palsu itu akan meretas data pribadi korbannya usai terpasang pada perangkat.

Spear Phising

Spear phising masih termasuk ke dalam kategori phising namun lebih tajam sebab ia memilih targetnya lebih spesifik, berdasarkan karakteristik, posisi pekerjaan, hingga kontak milik korbannya untuk memanipulasi jaringan sosial. Cara dan metode penipuannya juga menyesuaikan korban. Meski nampak spesifik, spear phising berbeda dengan whaling yang hanya menyasar orang-orang bernilai tinggi saja.

Spear phising biasanya melibatkan banyak orang, sebab metode ini memerlukan penyamaran sebagai konsultan IT guna menciptakan proses-proses manipulasi yang halus dan tampak autentik. Pelaku akan mengambil informasi penting, seperti kartu kredit, nomor rekening, password, dan informasi finansial.

Menjadi Nasabah Bijak dalam Menyambut Era Digital Banking

Layanan digital perbankan semakin diminati masyarakat sebab memiliki beragam keunggulan. Hasil riset goodnewsfromindonesia.id menyebut bahwa 57,2 persen responden mengaku tertarik memanfaatkan layanan digital perbankan. Alasannya pun beragam.

Sebanyak 77,7 persen responden mengaku tertarik pada digital banking sebab proses pembukaan rekening yang mudah dan cepat, yakni cukup melalui gadget. Lalu sebesar 63,3 persen responden tertarik sebab digital banking membuat transaksi menjadi fleksibel, dapat dilakukan dimana pun dan kapan pun. Sedangkan 62,8 persen responden mengaku tertarik sebab kemudahan UI dan UX yang dimiliki oleh layanan bank digital.

Perkembangan digital banking tentu harus diimbangi pula dengan peningkatan literasi digital masyarakat. Literasi digital diartikan sebagai kemampuan untuk mengakses, memahami, membuat, mengomunikasikan, dan mengevaluasi informasi melalui teknologi digital yang dapat diterapkan dalam kehidupan ekonomi dan sosial.

Dalam konteks digital banking, literasi digital berarti kemampuan nasabah (masyarakat) untuk mengenal dan mengoperasikan layanan digital perbankan, memanfaatkan produk-produk digital banking untuk meningkatkan kesejahteraannya, serta mampu melindungi diri dari kejahatan siber seperti social engineering (Soceng).

Teknologi digital ibarat pisau bermata dua. Ia membawa manfaat besar namun juga membawa segudang malapetaka bila tidak dibarengi dengan literasi digital yang baik. Tak sedikit masyarakat yang telah tertipu, rugi hingga ratusan juta rupiah akibat Soceng. Sebab itu, edukasi literasi digital sangat penting dilakukan.

Mengenal literasi digital bisa dilakukan dengan cara mengikuti gerakan #NasabahBijak yang merupakan sebuah wadah komunitas yang bertujuan untuk memberikan edukasi literasi keuangan kepada masyarakat Indonesia meliputi cara mengelola uang, melunasi hutang, suku bunga, asuransi, tabungan pensiun, pajak, dan pengenalan berbagai macam produk keuangan seperti kredit dan pinjaman.

#NasabahBijak lahir sebagai respon terhadap maraknya tindak kejahatan social engineering (Soceng) yang terjadi pada akhir-akhir ini. Sebab itu, #NasabahBijak terus mengedukasi masyarakat tentang kejahatan siber di sektor perbankan beserta tips-tips untuk mencegahnya. Harapannya, masyarakat dapat menjadi nasabah bijak berkat edukasi tersebut.

Seorang nasabah bijak harus mewaspadai 4 modus Soceng yang sedang marak digunakan pelaku untuk menipu masyarakat, meliputi:

1. Info Perubahan Tarif Transfer Bank

Contoh modus ini adalah kasus penipuan yang mengatasnamakan pihak BRI, seperti yang telah saya bahas di awal. Pelaku berusaha menyamar sebagai pegawai Bank, lalu memberi informasi kepada nasabah bahwa tarif transfer Bank telah berubah. Mereka kemudian meminta nasabah untuk mengisi link formulir dengan data pribadi nasabah, seperti PIN, OTP, dan password.

2. Tawaran Jadi Nasabah Prioritas

Pelaku akan mengaku sebagai pihak Bank dan menawari korban untuk upgrade menjadi nasabah prioritas. Tawaran itu hanyalah kedok pelaku untuk membujuk nasabah agar menyerahkan data perbankanya seperti nomor ATM, PIN, OTP, nomor CVV/CVC, dan password.

3. Akun Layanan Konsumen Baru

Saat masyarakat ramai menyampaikan keluhan terhadap layanan sebuah perbankan, situasi itu akan dimanfaatkan pelaku Soceng dengan membuat akun media sosial palsu yang mengatasnamakan Bank resmi tersebut. Mereka menggunakan logo dan beberapa gambar digital dari Bank resmi untuk mengelabui nasabah. Akun-akun palsu ini dapat dilihat dari tidak adanya logo centang biru. Melalui akun palsu tersebut, pelaku akan menawarkan bantuan guna menyelesaikan keluhan dan mengarahkan korban untuk membuka website palsu atau meminta mereka untuk memberikan data perbankan.

4. Tawaran Jadi Agen Laku Pandai

Modus terakhir adalah menawari nasabah untuk menjadi agen laku pandai. Guna membujuk korbannya, pelaku akan menawarkan persyaratan yang tidak rumit. Pelaku akan meminta nasabah untuk mengirimkan sejumlah uang dengan alasan untuk biaya pengadaan mesin EDC.

Nasabah bijak juga harus mengenal dan mewaspadai jenis-jenis kejahatan perbankan berbasis digital meliputi:

1. Skimming, yakni kejahatan menggandakan data nasabah melalui mesin ATM dengan menggunakan alat skimmer,
2. Phising, yakni kejahatan menggandakan data nasabah melalui layanan internet banking, e-mail, SMS, dan penyebaran link palsu,
3. One Time Password (OTP), yakni upaya pencurian dana nasabah melalui sejumlah situs jual-beli online (e-commerce),
4. Vishing (Voice Phising), yakni penipuan yang mengaku dari pihak Bank menghubungi korban melalui telephon lalu meminta data perbankan milik korban,
5. Sim Swap, yakni pencurian data dengan mengambil alih nomor HP untuk mengakses akun perbankan korban.

Nasabah bijak dapat melindungi diri dari kejahatan Soceng dengan melakukan tips-tips di bawah ini :

1. Harap teliti sebelum mengeklik apapun. Jangan gegabah mengeklik tautan atau link yang mencurigakan dalam e-mail, laman internet, atau kontak masuk SMS. Anda harus memverifikasi keasliannya terlebih dahulu,
2. Jangan bagikan PIN kepada siapapun, meski itu petugas Bank atau teman dekat,
3. Bayarlah transaksi anda dengan metode yang aman,
4. Waspadai nomor yang tak dikenal, jangan mudah percaya,
5. Unduhlah aplikasi hanya dari sumber resminya, seperti Google Play untuk Android, App Store untuk produk-produk Apple (iOS), serta Microsoft Store untuk Microsoft. Hal ini dapat meminimalisir risiko perangkat terinveksi malware dari aplikasi yang tidak jelas pembuat dan asal-usulnya,
6. Jangan lupa mengupdate pembaruan sistem operasi (OS) dan aplikasi dalam perangkat anda. Fungsi pembaruan adalah memperkuat imunitas aplikasi, mencegah kerentanan yang dapat menjadi celah masuk bagi pelaku kejahatan siber untuk mengeksploitasi perangkat anda,
7. Pastikan koneksi internet aman saat memasukkan username dan kata sandi login aplikasi. Jangan gunakan jaringan Wi-Fi publik saat login akun Bank Digital,
8. Pasangi perangkat anda dengan program anti virus berkualitas yang diunduh dari sumber resminya. Periksalah terlebih dahulu sumber, pembuat, dan bagaimana ulasan produk anti virus tersebut. Jangan mudah terkecoh dengan anti virus gratis atau murah sebab belum tentu efektif menghalau serangan malware.

Penyuluh Digital; Ujung Tombak BRI dalam Mendampingi Masyarakat Ultra Mikro

Masyarakat kecil, seperti pengusaha ultra mikro, adalah kelompok besar yang rentan jadi target dan sasaran tindak kejahatan Social Engineering sebab mereka umumnya belum melek literasi digital. Sebab itu, kehadiran penyuluh digital sangat membantu pengusaha kecil beradaptasi dengan perkembangan digital dan menghindarkan mereka dari Social Engineering.

BRI tak tinggal diam dengan maraknya penipuan yang mengatasnamakan perseroannya. BRI melakukan berbagai upaya dan langkah-langkah proaktif dalam memberantas kejahatan Soceng tersebut.

BRI telah melaporkan kasus tindak kejahatan social engineering yang merugikan nasabahnya kepada Siber Polda Metro Jaya. BRI bekerjasama dengan pihak kepolisian menganalisa alur transaksi, mengungkap modusnya, hingga melakukan penindakan dan penangkapan pelaku kejahatan social engineering tersebut. Langkah proaktif ini adalah wujud komitmen BRI untuk melindungi nasabah dari kejahatan siber. Harapannya, upaya ini dapat meredam kejahatan-kejahatan serupa muncul kembali.

Selain itu, BRI juga melakukan upaya preventif terhadap kejahatan Soceng melalui edukasi dan informasi pada kanal-kanal resminya meliputi; website www.bri.co.id, Instagram: @bankbri_id, Twitter: bankbri_id, kontak_bri, promo_bri, Facebook: Bank BRI, Youtube: Bank BRI, dan Tiktok: Bank BRI yang memiliki centang biru (verified) dan Contact BRI di nomor 14017/1500017. Nasabah BRI wajib follow akun-akun resmi itu biar tidak jadi korban Soceng.

Upaya BRI mencegah tindak kejahatan social engineering juga dilakukan dengan menerjunkan penyuluh digital ke masyarakat, khususnya ke kelompok ultra mikro (UMi), guna memberi edukasi literasi digital dan pendampingan secara langsung. Bagi saya pribadi, ini adalah langkah yang sangat menarik, sesuai dengan semangat Recover Together, Recover Stronger dan visi pertumbuhan yang berkelanjutan (sustainability).

Program penyuluh digital mengingatkan saya pada semangat yang dimiliki pendiri BRI sekaligus tokoh gerakan koperasi Indonesia, Raden Aria Wiraatmadja, yang ingin mengangkat nasib rakyat kecil, petani, dan pegawai rendah pada masa itu melalui perbankan. Saya merasa penyuluh digital adalah aktualisasi semangat Pendiri BRI dalam konteks digital.

BRI menyadari bahwa sebagian besar nasabahnya berasal dari pelaku UMKM dan UMi. Sebab itu, BRI tergerak untuk mengangkat kesejahteraan mereka, membuat mereka naik kelas melalui digitalisasi dan pendampingan literasi finansial. BRI melihat bahwa kelengkapan layanan digital yang telah ada perlu diimbangi dengan kesiapan masyarakat (nasabah) yang lebih melek digital, khususnya pada layanan perbankan.

Direktur Utama BRI, Sunarso, mengatakan bahwa hasil survei tahun 2018 menunjukkan 45 juta nasabah UMi di Indonesia membutuhkan pendanaan. Sayangnya, jumlah nasabah UMi yang telah terlayani oleh lembaga pembiayaan formal baru ada 15 juta nasabah.

30 juta nasabah UMi di Indonesia belum tersentuh akses layanan lembaga keuangan formal. Dari jumlah tersebut, 18 juta UMi diantaranya belum terlayani sama sekali, 5 juta lainnya masih mengakses pembiayaan dari rentenir yang bunganya mencapai 100%-500% per tahun, lalu 7 juta sisanya memperoleh pembiayaan usaha dari kerabat atau keluarga.

Guna menjangkau masyarakat UMi, BRI telah terlebih dulu menyiapkan fasilitas layanan digital yang mumpuni meliputi; digital banking BRImo, aplikasi pengajuan fasilitas dan layanan kredit BRISPOT, aplikasi BRIAPI, serta laku pandai Agen BRILink. Pada April 2022, jumlah Agen BRILink di seluruh Indonesia telah mencapai 552.709 agen.

Sebagai seorang yang tinggal di pedesaan, saya bisa mengerti bahwa masih banyak masyarakat desa yang belum familiar dengan istilah-istilah digital, terutama generasi lama. Masyarakat urban tingkat bawah pun tak menutup kemungkinan juga masih awam dengan literasi digital perbankan. Istilah seperti “OTP”, “Nomor CVV/CVC”, “Soceng”, dan sejenisnya pasti terdengar asing di telinga mereka.

Terkadang orang desa itu terlalu polos, meminta bantuan kepada orang yang tidak dikenal untuk melakukan transaksi, seperti mengambilkan uang di ATM misalnya. Secara tak sadar, mereka membagikan PIN kepada orang yang tak dikenal tersebut. Hal ini tentu berbahaya. Masyarakat kecil pun rentan jadi sasaran tindak kejahatan perbankan. Sebab itu, peran penyuluh digital sangat besar sekali.

Penyuluh digital adalah ujung tombak BRI dalam mendampingi masyarakat lapis bawah mengakses layanan digital perbankan. Ada tiga tugas utama yang diemban para penyuluh digital, yakni:

1. Mengajak dan mengajari masyarakat yang belum melek layanan perbankan digital sehingga digital savvy, seperti bisa membuka rekening secara digital,
2. Mengajari masyarakat untuk melakukan transaksi secara digital, agar dapat menyesuaikan perkembangan cashless society,
3. Menyosialisasikan dan mengajari masyarakat untuk mengamankan rekeningnya dari kejahatan-kejahatan digital.

BRI mengimbau nasabahnya untuk selalu melindungi diri dari kejahatan social engineering dengan langkah-langkah berikut:

1. Mengaktifkan fitur SMS dan Email notifikasi supaya otomatis terinformasi ketika terjadi transaksi. Jadi kita bisa langsung mengetahui apabila ada transaksi yang mencurigakan. Sebab itu, pastikan anda telah mengaktifkan fitur SMS dan Email notifikasi pada akun anda!
2. Jangan pernah memberikan data untuk transaksi seperti PIN, username, password, kode OTP, Nomor CVV/CVC, Nomor dan Expired date, Kartu ATM kepada siapapun,
3. Hiraukan SMS, email dan telepon yang mengatasnamakan BRI jika diminta PIN, Kode OTP, CVV/CVC, Nomor dan Expired Date Kartu ATM ataupun tautan yang diberikan dari pihak yang tidak dikenal,
4. Berhati-hatilah dan hiraukan jika mendapatkan kode OTP tanpa melakukan transaksi apapun,
5. Jangan pernah memposting tanggal lahir, Nama gadis ibu kandung, nomor NIK, foto KTP, dll di sosial media,
6. BRI tidak pernah melakukan pengkinian data nasabah melalui SMS maupun email dan BRI-info hanya satu-satunya media informasi promo,
7. Bila mendapatkan aktivitas ataupun tautan yang mencurigakan dengan mengatasnamakan BRI, harap lapor ke contact center BRI 14017/1500017, atau callbri@bri.co.id
8. Jangan terbuai bujuk rayu iklan palsu, hindari asal klik iklan & website yang mengatasnamakan BRI.

Apabila nasabah BRI masih awam dengan istilah-istilah digital atau kurang paham dengan tata cara mengoperasikan layanan digital perbankan, hendaknya menghubungi penyuluh digital BRI setempat atau datang ke kantor cabang terdekat supaya memperoleh informasi dan edukasi yang benar.

Beritahu keluarga, saudara, atau tetangga anda yang ultra mikro (UMi) mengenai program penyuluh digital BRI. Ini adalah cara yang bisa kita lakukan untuk membantu mereka. Kita pun juga dapat menjadi penyuluh digital dengan cara dan kemampuan kita masing-masing. Misalnya saya, selaku nasabah BRI dan seorang blogger, saya dapat menggunakan laman blog untuk berbagi sedikit hal yang saya tahu tentang literasi digital.

Melawan kejahatan siber, seperti social engineering, tidak bisa dilakukan satu arah saja, misalnya dari pemerintah. Diperlukan kerjasama dari berbagai pihak, seperti penyedia layanan, perusahaan swasta, dan masyarakat atau nasabah. Masyarakat dapat berperan aktif, minimal mengedukasi diri dengan literasi digital dan mengenali jenis-jenis kejahatan siber berikut cara mencegahnya. Hal itu akan mempersempit celah bagi pelaku kejahatan siber hingga tertutup rapat sama sekali. Dengan bekerjasama, semuanya bisa terlindungi.

Artikel ini diikutsertakan dalam Blog Competition yang diadakan oleh Gerakan #NasabahBijak bekerjasama dengan Bank Rakyat Indonesia (BRI). #NasabahBijak #NasabahBijakBloggingCompetition #MemberiMaknaIndonesia

Referensi:

https://www.djkn.kemenkeu.go.id/kpknl-medan/baca-artikel/15179/Keamanan-Informasi-dan-Tren-Serangan-Tahun-2022.html

https://tekno.kompas.com/read/2022/04/28/07000027/awal-2022-indonesia-hadapi-11-juta-ancaman-di-dunia-maya?page=all

https://www.posciety.com/jenis-jenis-social-engineering/

https://nasional.kontan.co.id/news/ajak-anggota-g20-lawan-kejahatan-siber-dengan-literasi-dan-kerjasama-luar-negeri

https://www.antaranews.com/berita/2690953/bssn-catat-16-miliar-anomali-trafik-pada-2021

https://www.kominfo.go.id/content/detail/42119/siaran-pers-no219hmkominfo052022-tentang-jadi-isu-prioritas-dewg-g20-menteri-johnny-paparkan-tata-kelola-dan-penanganan-kejahatan-siber/0/siaran_pers

mojok.co/susul/dosen-nyentrik-dari-ugm/

https://bri.co.id/en/detail-news?urlTitle=perangi-soceng-bri-turut-aktif-ungkap-kejahatan-perbankan&fbclid=IwAR3KU7gO-L9_GOgZvmBTUdOut9FLJUJMTz3pMQJI11Y9i_P1DPssCbJgTRE

https://setkab.go.id/presiden-jokowi-potensi-ekonomi-digital-indonesia-sangat-prospektif/

https://finansial.bisnis.com/read/20220215/563/1500443/rangkuman-data-perkembangan-ekonomi-digital-indonesia

https://www.antaranews.com/berita/2845081/indonesia-hadapi-11-juta-serangan-siber-pada-kuartal-pertama-2022

https://aptika.kominfo.go.id/2022/07/kominfo-siapkan-tim-khusus-tangani-serangan-siber-dan-hoaks-di-pemilu-2024/

https://www.goodnewsfromindonesia.id/2022/01/24/menelisik-perkembangan-bank-digital-yang-kian-prospektif-di-indonesia