Pendahuluan

Seiring dengan pesatnya perkembangan teknologi, keamanan siber menjadi perhatian utama bagi individu dan organisasi. Salah satu ancaman yang sering kali diabaikan adalah social engineering. Serangan ini tidak mengandalkan teknologi canggih untuk menembus sistem keamanan, melainkan memanfaatkan kelemahan psikologis manusia. Security Operation Center Universitas Islam Indonesia (SOC UII) turut berperan dalam meningkatkan kesadaran dan kewaspadaan terhadap serangan ini. Dengan memahami apa itu social engineering, jenis-jenis serangannya, serta cara mencegahnya, kita dapat melindungi diri dari ancaman ini.

Apa Itu Social Engineering?

Social engineering atau rekayasa sosial adalah teknik manipulasi psikologis yang digunakan oleh penyerang untuk mendapatkan informasi rahasia atau akses ke sistem tertentu. Alih-alih meretas sistem menggunakan perangkat lunak berbahaya, pelaku social engineering mengecoh korban agar secara sukarela memberikan informasi sensitif, seperti kata sandi, data pribadi, atau akses ke jaringan perusahaan.

Jenis-Jenis Social Engineering

Terdapat beberapa teknik yang sering digunakan dalam serangan social engineering, antara lain:

  • Phishing – Serangan ini dilakukan melalui email, pesan teks, atau situs web palsu yang menyerupai sumber terpercaya untuk mencuri informasi pengguna.
  • Pretexting – Pelaku menciptakan skenario palsu untuk memperoleh informasi pribadi korban dengan berpura-pura sebagai pihak berwenang.
  • Baiting – Pelaku menggunakan serangan umpan dalam bentuk janji palsu untuk memancing keserakahan atau keingintahuan korban, seperti unduhan gratis berisi malware untuk menginfeksi sistem korban.
  • Quid Pro Quo – Sesuatu untuk sesuatu. Pelaku menawarkan sesuatu yang bernilai (jasa atau barang) dengan imbalan akses atau informasi sensitif.
  • Tailgating (Piggybacking) – Teknik ini memanfaatkan akses fisik dengan mengikuti seseorang ke dalam area terbatas tanpa izin resmi.

Contoh & Kasus Social Engineering

  1. Pemulihan Akun DANA

DANA – Pada tahun 2024, aplikasi dompet digital DANA menjelaskan salah satu aksi penipuan, salah satunya phishing yang dilakukan oleh pelaku kejahatan siber melalui pesan teks. Modus yang digunakan adalah link palsu untuk memulihkan akun yang akan dibekukan. Tanda bahwa ini adalah social engineering adalah:

  • Pelaku tergesa-gesa mendesak target
  • Bahasa buruk dan pesan tidak profesional karena tergesa-gesa.
  • Nomor pengirim tidak resmi dan tidak ceklis hijau.
  • Tautan pemulihan akun palsu.
  • Email palsu, bukan dari email resmi.

  1. Rekrutmen Dosen UII

Pada tahun 2024, Universitas Islam Indonesia (UII) menjadi target serangan phishing yang mengatasnamakan proses rekrutmen dosen melalui Instagram. Pelaku membuat situs palsu yang menyerupai portal resmi UII dan meminta data pribadi calon pelamar. Akibatnya, civitas akademika UII khawatir data tersebut disalahgunakan. Tim SOC UII menindaklanjuti kasus tersebut dan memastikan bahwa portal rekrutmen dosen tersebut adalah palsu.

  1. Penipuan Berkedok Artis

Pada tanggal 16 Januari 2025, terjadi kasus penipuan yang mengatasnamakan aktor Hollywood ternama, Brad Pitt. Pelaku penipuan berhasil mengumpulkan 800 euro atau setara dengan 13 miliar rupiah dari korban dengan mengaku sebagai Brad Pitt dengan cara merekayasa menggunakan ai seolah-olah Brad Pitt sedang dirawat dirumah sakit dan membutuhkan pertolongan. Modus yang digunakan dalam kasus ini adalah teknik pretexting, di mana pelaku membuat identitas fiktif untuk meyakinkan korban. Brad Pitt sendiri telah membuka suara terkait insiden ini, menyatakan bahwa dirinya tidak terlibat dan mengecam tindakan penipuan yang menggunakan namanya.

  1. Penipuan Hadiah Tiktok

Pada tahun 2021, banyak pengguna TikTok menjadi korban penipuan dengan iming-iming giveaway uang tunai atau produk gratis. Penipu membuat akun palsu yang meniru influencer atau brand terkenal, lalu mengirim pesan langsung kepada korban, lalu meminta informasi pribadi bahkan pembayaran detail untuk mengklaim hadiah. Ini adalah teknik pretexting, di mana korban dibuat percaya bahwa mereka memenangkan hadiah.

Salah satu pesan yang beredar luas ini menyebar melalui pesan teks, dengan isi narasi sebagai berikut:

  1. Penipuan Penawaran Centang Biru Instagram

Tahun 2025 ini, banyak akun diretas melalui phising dengan menawarkan verified badges atau yang biasa dikenal “Centang Biru” oleh akun palsu yang mengaku sebagai meta, penyerangan ini dimulai melalui manipulasi sosial dengan menawarkan korban melalui direct message instagram. Pelaku mengirimkan link phising yang kemudian menyuruh korban untuk mengisi email dan password, setelah mendapatkan data dari korban, akun instagram langsung bisa dihack oleh penyerang.

Kasus ini mendapat perhatian dari tim SOC UII, yang memberikan peringatan kepada civitas akademika UII untuk lebih berhati-hati terhadap pesan mencurigakan dan selalu melakukan verifikasi melalui kanal resmi.

Cara Pencegahan Social Engineering

Agar terhindar dari serangan social engineering, berikut beberapa langkah pencegahan yang dapat dilakukan:

  • Selalu Waspada – Jangan mudah percaya pada email, pesan, atau telepon yang meminta informasi pribadi atau login.
  • Verifikasi Identitas – Jika seseorang mengaku sebagai pihak resmi, hubungi langsung instansi atau perusahaan terkait untuk memastikan keabsahannya.
  • Gunakan Autentikasi Dua Faktor (2FA) – Lapisan keamanan tambahan ini membuat akun lebih sulit diretas.
  • Jangan Sembarangan Mengklik Tautan – Periksa URL sebelum mengklik untuk memastikan situs yang dikunjungi benar-benar sah.
  • Edukasi dan Pelatihan Keamanan Siber – Baik individu maupun perusahaan perlu meningkatkan kesadaran akan social engineering melalui pelatihan keamanan siber.

Kesimpulan

Social engineering merupakan ancaman serius yang dapat merugikan individu dan organisasi. Serangan ini mengeksploitasi kelemahan manusia, sehingga kesadaran dan kewaspadaan menjadi alat pencegahan utama. Dengan memahami berbagai teknik yang digunakan oleh pelaku, mengenali tanda-tanda serangan, dan menerapkan langkah-langkah pencegahan yang tepat, kita dapat melindungi diri dari kejahatan siber ini. Tim SOC UII terus mengingatkan pentingnya kesadaran akan keamanan siber agar tidak ada yang menjadi korban selanjutnya. Jangan sampai menjadi korban. Selalu berhati-hati dalam berbagi informasi dan pastikan keamanan data pribadi Anda tetap terjaga!