Batam - Tanpa menggunakan social engineering, pelaku phising sulit mengelabui korban. Mudahnya mendapatkan data perbankan dan data kependudukan di Indonesia, membuat aksi penipuan terus terjadi.

Istilah social engineering atau rekayasa sosial merujuk pada upaya manipulasi psikologis dengan memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga.

Korban yang terpedaya digiring untuk mengungkapkan data, menyebarkan infeksi malware, hingga memberikan akses ke sistem yang terjaga. Social engineering dibagi dalam dua tujuan utama yakni untuk menyabotase dan mencuri.

Baca juga: Heboh Pengakuan Fetish Foto KTP, Beneran Seks Menyimpang atau Modus Penipuan?

Dalam konteks kejahatan phising, social engineering dibutuhkan sebagai langkah awal agar calon korban masuk dalam 'perangkap'.

Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Polri Kombes Reinhard Hutagaol memaparkan, sindikat pelaku mendapatkan data-data awal yang cukup lengkap calon korban yang banyak diperjualbelikan di dark web. Salah satunya dari forum breached. Mereka kemudian memilih target.

"Data yang mereka miliki itu cukup lengkap sekali. Nomor rekening dia dapat, alamat dia dapat, nomor telepon dia dapat, nama orang tua, nama ibu. Satu saja yang belum dia dapat ya tadi itu PIN," jelas Reinhard.

Baca juga: Sindikat Penipuan Lowongan Kerja Lewat Aplikasi Belanja Online di Malaysia Sasar WNI

Dari kasus-kasus yang pernah ditangani, Reinhard menyebut dua tipe social engineering yang dilakukan pelaku. Pertama melalui iming-iming. Dalam kasus nasabah BRI misalnya, korban ditawarkan tarif murah biaya transaksi dengan cara mendaftar melalui link yang disediakan.

Tipe kedua adalah, korban ditakut-takuti menggunakan kalimat yang mengagetkan atau mendesak. Misalnya dengan mengatakan rekening korban di bank telah dibobol. Dan untuk mengeceknya, korban diberi link yang harus diisi sejumlah data-data.

"Intinya agar korban tertarik untuk mengklik link itu. Pokoknya gini, untuk cara masuk itu tergantung kreativitas lah itu, kalau kita bilang social engineering," kata Reinhard.

Saat username dan password korban sudah didapatkan, dalam hitungan menit, isi rekening langsung dikuras hingga habis.

Selanjutnya: Dulu Akun Medsos, Kini Situs Palsu...

Sebelum marak situs palsu yang meniru situs resmi suatu instansi, cara sindikat phishing menipu adalah dengan menggunakan akun media sosial palsu. Belakangan cara itu sudah jarang dilakukan karena masyarakat semakin waspada.

"Kalau dulu kan mereka mainnya medsos palsu. Misalnya Twitter atau Instagram halo BCA misalnya. Itu gampang nirunya karena di medsos. Tapi kalau yang di website ini ada keahlian khusus dan kita sudah bisa ungkap yang ini," kata Reinhard.

Dari penyidikan sejumlah kasus, situs palsu yang dipakai sindikat phising biasanya di-hosting dengan menggunakan ISP (internet service provider) di luar negeri.

"Jadi sebenarnya perpaduan antara teknologi dan social engineering. Social engineering diperlukan untuk memancing seseorang agar tertarik masuk ke website itu," ujar Reinhard.

Chairman Lembaga Riset Keamanan Siber dan dan Komunikasi CISSReC, Pratama Dahlian Persadha mengungkapkan, banyak penyedia domain website gratis di internet. Demikian juga malware dan web phising. Malware adalah perangkat lunak yang diciptakan untuk menyusup atau merusak sistem komputer, server atau jejaring.

Para pelaku yang mahir, mengirimkan link yang bisa mengarahkan korban untuk menginstal malware atau diarahkan ke web phising berisi malware. Malware inilah nanti yang akan mengambil data username dan password aplikasi perbankan.

Selain itu, link asing yang menyamar dari layanan perbankan selain mengarahkan ke web phising, juga sering mengarahkan korban untuk menginstal aplikasi palsu. "Dari aplikasi palsu inilah nanti kegiatan sedot data dan uang dilakukan oleh para pelaku," kata Pratama.

Menurut Pratama, salah satu malware yang terkenal dipakai dalam mencuri uang nasabah adalah cerberus. Cerberus dikenal sebagai trojan banking. Biasanya pelaku mengirimkan pesan berisi URL lewat email, SMS, maupun WA. Saat korban melakukan klik, maka URL tersebut mengarahkan ke web phising di mana cerberus akan masuk ke ponsel dan laptop korban lalu melakukan dormant di web browser korban.

Ketika kemudian korban mulai mengakses internet banking, maka cerberus akan mengambil semua data perbankan yang dibutuhkan, mulai username dan password, juga nomor rekening bahkan kode keamanan tambahan, bahkan berbagai data terkait kartu kredit.

"Dari sinilah akhirnya pelaku bisa menyedot uang nasabah sebanyak mungkin," ujarnya.