Social Engineering, Ancaman Manipulasi Psikologis di Balik IG Story Add Yours
PerbesarADVERTISEMENT
Pernahkah Anda melihat teman mengunggah foto dengan Stiker IG Story Add Yours ? Atau justru Anda pernah mencobanya?
ADVERTISEMENT
Ya, fitur yang sedang naik daun di Instagram itu berupa pertanyaan yang dapat dibalas oleh siapa pun lewat Instagram Story. Jenis pertanyaannya pun bisa dibuat oleh siapa saja.
Sebagai contoh, ada pengguna yang melemparkan challenge tentang foto masa kecil. Stiker pertanyaan itu pun viral dan dijawab oleh netizen ke netizen lain. Dus, ribuan orang pun mengunggah foto masa kecilnya ke Instagram Story.
Meski demikian, fitur yang mengasyikkan itu punya setumpuk potensi berbahaya. Terutama bila dimanfaatkan oleh pihak-pihak yang sengaja menggali informasi pribadi atau profiling kita di media sosial.
Ambil contoh cerita dari salah seorang pengguna Twitter, Dita Moechtar. Ia membuat cuitan yang menceritakan soal temannya yang baru saja terkena penipuan dengan modus telepon minta transfer.
ADVERTISEMENT
Berdasarkan cuitan itu, Dita menceritakan bagaimana temannya itu bisa percaya dengan penipu dan melakukan apa yang penipu tersebut minta. Itu karena, teman Dita tersebut dipanggil menggunakan panggilan masa kecilnya, ‘Pim’ oleh sang penipu.
Dita pun menutup cerita soal temannya di cuitan itu dengan kalimat ‘...Terus dia inget dia abis ikutan ini (Fitur Sticker Story Add Yours yang bertopik ‘Variasi Panggilan Nama Kamu’)”.
Apa yang dialami oleh teman Dita itu merupakan kasus penipuan pertama yang mencuat sejak Instagram merilis fitur tersebut pada 2 November lalu.
Namun, fenomena yang dialami teman Dita itu sebetulnya bukanlah fenomena baru. Fenomena ini dikenal dikenal luas dengan nama Social Engineering atau rekayasa sosial.
Lantas, apa itu Social Engineering?
ADVERTISEMENT
Seluk Beluk Social Engineering
Dalam jurnal berjudul Social Engineering yang ditulis Yavor Papazov, definisi social engineering dapat dilihat dari dua konteks. Yakni, konteks keamanan informasi dan konteks politik.
Meski demikian, Yavor memusatkan perhatiannya pada social engineering dalam konteks keamanan informasi. Jadi, menurut Yavor, social engineering terjadi saat orang-orang dipengaruhi dalam mengambil tindakan tertentu yang seringkali bertentangan dengan keinginan mereka sendiri.
Fenomena tersebut memang sama sekali tak menyebutkan apa pun soal teknologi, bahkan komputer atau internet seperti yang terjadi belakangan ini. Sebab, cikal bakal dari fenomena ini sudah ada jauh sebelum komputer dan internet muncul.
Yavor lalu menceritakan bagaimana kisah kuno tentang Patung Kuda Troya sebagai contoh nyata dari praktik social engineering. Padahal saat itu teknologi komputer maupun istilah social engineering itu sendiri belum ada.
ADVERTISEMENT
Nah, alkisah bangsa Yunani hampir 10 tahun tak bisa membobol gerbang pertahanan Troya. Bangsa Yanani kemudian mengatur siasat dengan membuatkan hadiah berupa patung kuda raksasa ke bangsa Troya.
Hadiah tersebut diberikan dengan dalih Troya dapat menangkal serangan bangsa Yunani selama 10 tahun. Bahkan bangsa Yunani menunjukkan gestur yang meyakinkan dengan menarik sebagian besar pasukannya untuk berlayar pulang.
Tanpa sepengetahuan bangsa Troya, patung kuda kayu yang ditinggalkan sebagai hadiah tersebut ternyata sudah diisi dengan sejumlah prajurit terbaik Yunani. Mereka memiliki misi untuk menyabotase dan melemahkan pertahanan Troya dari dalam.
Nantinya, pasukan utama yang hanya pura-pura ditarik mundur akan kembali menyerang. Dan, seperti yang sudah diketahui banyak orang tentang kisah itu, bangsa Troya pun hancur lebur.
ADVERTISEMENT
Dari kisah kuno itu, setidaknya pada tahun 90-an, rekayasa sosial dengan manipulasi psikologis itu lebih dikenal sebagai social engineering. Istilah tersebut dipopulerkan oleh Kevin Mitnick, seorang peretas terkenal di dunia yang aktif di tahun 90-an. Ia kemudian jadi peneliti keamanan dan menulis buku yang berjudul The Art of Deception.
Menurut Kevin, fenomena social engineering dalam konteks keamanan informasi adalah adalah serangan yang membutuhkan interaksi dan manipulasi manusia agar berhasil mengakses lokasi jaringan, informasi rahasia, dan sebagainya.
Contoh fenomena social engineering yang paling terkenal terkait penipuan yang menggunakan beberapa nama CEO dari beberapa perusahaan untuk menipu beberapa perusahaan tersebut yang terjadi pada 2015. Perusahaan tersebut yakni perusahaan Matell.Inc, Ubiquiti, dan The Scoular Co.
ADVERTISEMENT
Modusnya sederhana, penyerang menggunakan email yang mencatut nama CEO masing-masing perusahaan. Kemudian, pelaku meminta seorang karyawan melakukan transfer bank ke akun yang telah ditentukan penyerang yang juga menggunakan nama atasan karyawan tersebut. Hasilnya, ketiga perusahaan tersebut kehilangan USD 66,9 juta dolar atau Rp 954,7 miliar
Di Indonesia, teknis manipulasi psikologis itu juga terjadi saat tren membagikan foto sertifikat vaksin corona muncul di media sosial. Kala itu, tren tersebut sempat dimanfaatkan oleh sejumlah pinjol ilegal yang mengambil Nama dan Nomor Induk Kependudukan (NIK).
Baik kasus sertifikat vaksin, fitur IG story, hingga kaus berskala besar seperti surel CEO itu, menunjukkan bahwa fenomena social engineering memang berfokus pada faktor memanipulasi manusianya, bukan kecanggihan alat yang digunakan.
ADVERTISEMENT
Cara Kerja Social Engineering
Menurut buku The Art of Deception dari Kevin Mitnick (2003), fenomena social engineering dapat dijelaskan sebagai sebuah siklus. Kevin menyebutnya sebagai siklus menyerang yang terdiri dari 4 peristiwa, yakni:
Mengumpulkan informasi
Pada peristiwa ini penyerang akan mengumpulkan informasi sebanyak-banyaknya terkait korban.
Jika melihat kasus yang terjadi pada teman Dita, dapat diasumsikan penyerang mendapatkan informasi tersebut dari media sosial yang secara sukarela dibagikan teman Dita untuk mengikuti tren Sticker Add Yours di Story Instagram.
Membangun rasa percaya
Pada peristiwa ini penyerang akan menggunakan berbagai metode untuk mendapatkan kepercayaan korban agar mau melakukan apa yang penyerang inginkan tanpa disadari oleh korban. Informasi yang didapatkan sebelumnya punya peran krusial pada tahap ini.
ADVERTISEMENT
Hal tersebut bisa dilihat dari kasus teman Dita ketika penyerang menggunakan nama panggilan masa kecil yang hanya teman dekat dari teman Dita yang tahu untuk menangkap kepercayaan teman Dita.
Eksploitasi Kepercayaan
Pada peristiwa ini korban yang terjerat akan dieksploitasi informasinya untuk memenuhi keinginan penyerang.
Dalam contoh kasus CEO sebelumnya, penyerang menggunakan nama CEO hingga nama atasan dari korban untuk meyakinkan korban mentransfer sejumlah uang ke rekening yang sudah disiapkan oleh penyerang.
Eksekusi atau menggunakan informasi
Penyerang akan menggunakan informasi-informasi yang didapatkannya untuk menjalankan rencananya. Meskipun begitu, menurut Kevin, penyerangan yang sudah terjadi pada peristiwa ini tak serta merta menjadi akhir dari penyerangan. Sebab penyerang bisa saja harus kembali mengumpulkan informasi yang diperlukan untuk memaksimalkan serangan.
Perlu diingatkan siklus tersebut dapat terjadi tanpa sama sekali kalian sadari. Hal tersebut dapat sangat tak terlihat bentuknya dan bahkan tak terbatas lamanya waktu dari peristiwa-peristiwa tersebut.
ADVERTISEMENT
Ada yang secara cepat melalui telepon seperti kasus teman Dita. Ada juga yang tak terlihat sampai pada terjebaknya seperti kasus pinjol. Lalu, ada juga yang sangat rapi direncanakan seperti kasus penipuan CEO tiga perusahaan yang sebelumnya disebutkan di atas.
Namun apa pun bentuknya, serta seberapa lamanya hal tersebut terjadi, semuanya bermula dari ketidaksadaran atas dampak membagikan informasi personal yang terkesan remeh.
Oleh sebab itu, jangan pernah membagikan sesuatu yang personal hanya demi mengikuti tren. Sebab, bisa saja tren tengah memanipulasi kita untuk sesuatu yang merugikan di masa mendatang. Biarkan sesuatu yang personal hanya tetap jadi milik Anda sendiri.
Instagram sendiri saat ini memutuskan untuk menghapus stiker IG story yang mengumbar data pribadi. Raksasa teknologi itu pun menegaskan agar pengguna tidak mengunggah informasi pribadi atau bersifat rahasia, baik tentang diri mereka sendiri maupun orang lain.
ADVERTISEMENT
