Layanan digital banking memang menjanjikan kemudahan. Tapi, ketika transaksi berlangsung lewat aplikasi, nasabah juga semakin rentan terhadap penipuan. Kerentanan ini tergambar dalam sebuah utas yang viral tentang seorang nasabah Jenius yang saldonya terkuras ratusan juta. Utas tersebut membuka rangkaian pengalaman serupa yang dialami nasabah lainnya. Umumnya mereka dihubungi oleh seseorang yang mengaku sebagai pegawai bank, baik lewat telepon maupun mention di media sosial, dan meminta nasabah memberikan data pribadi. 

Berbekal data personal, penipu dapat mengendalikan akun dan memindahkan uang nasabah dengan mudah lewat aplikasi, tanpa proses verifikasi. Pelaku mendapatkan akses akun nasabah bukan dengan membobol jaringan, tetapi memanipulasi psikologi pengguna. Modus penipuan ini sering disebut dengan istilah social engineering atau rekayasa sosial.

Pengguna media elektronik di Indonesia ternyata berisiko tinggi menghadapi rekayasa sosial. Indonesia merupakan negara di Asia dengan jumlah spam calls terbanyak, di mana 9% diantaranya merupakan penipuan. Penelusuran Drone Emprit mendeteksi setidaknya 331 akun bodong di Twitter yang mengatasnamakan diri sebagai Halo BCA--belum termasuk akun bodong yang mengatasnamakan BNI, BRI, Mandiri, dan Jenius. Tak pelak, sepanjang tahun 2019 saja, unit kejahatan siber Polda Metro Jaya telah mencatat 2.300 kasus penipuan dengan modus rekayasa sosial.  

 

Manipulasi Psikologis 

Dalam rekayasa sosial, penipuan dilakukan dengan memanfaatkan gawai elektronik, tetapi yang menjadi target penyerangan bukanlah jaringan atau infrastruktur perangkat, melainkan sisi psikologis manusia, bagian paling rentan dari sistem informasi (Hadnagy, 2011). Inilah yang membedakan rekayasa sosial dengan serangan siber (hacking), di mana pembobolan dilakukan tanpa interaksi langsung dengan pemilik akun. 

Rekayasa sosial memiliki spektrum luas dengan modus beragam. Setidaknya ada empat strategi yang sering digunakan untuk memanipulasi psikologi korban:

  1. Phishing, yaitu memancing pengguna untuk memasukkan data personal atau akun finansial ke tautan website imitasi

  2. Baiting, yaitu memancing pengguna lewat penawaran barang atau jasa

  3. Quid pro quo, yaitu meminta informasi sebagai imbalan dari suatu manfaat, misalnya seperti menang undian

  4. Pretexting, yaitu berpura-pura menjadi seseorang untuk memancing agar pengguna membeberkan data pribadinya. 

Saat menghadapi tautan web palsu atau menerima telepon dari orang yang mengaku dari pihak bank, tentu tidak semua orang secara otomatis akan masuk dalam jebakan. Penipuan baru berhasil dilakukan saat korban rentan termanipulasi. Frauenstein (2013) mengidentifikasi empat pemicu psikologis yang membuat kondisi korban lebih rentan:

  1. Pemicu pertama adalah pernyataan dramatis untuk mengguncang emosi korban, contohnya rasa panik yang ditimbulkan ketika diberitahu bahwa ada masalah dalam transaksi keuangan kita. 

  2. Kedua overloading, yaitu ketika pelaku memberikan informasi yang terlalu banyak sehingga korban tidak memiliki waktu untuk mencernanya dan menjadi pasif secara mental. 

  3. Ketiga adalah karena adanya pertukaran, di mana korban akan merasa memiliki kewajiban untuk memberikan timbal balik setelah dijanjikan menerima sesuatu. 

  4. Keempat yaitu otoritas, di mana korban akan merespon tuntutan apabila tuntutan tersebut datang dari pihak yang dipercayai sebagai pihak berwenang. 

Artinya, pengguna menjadi rentan ketika rekayasa sosial berhasil mendorong mereka untuk bertindak secara instan berdasarkan emosi yang dirasakan. Dalam kajian komunikasi, teknik mengeksploitasi emosi untuk mempengaruhi perilaku juga dikenal sebagai peripheral route of persuasion, di mana dalam komunikasi tidak ada proses berpikir secara logis dan mengolah informasi secara rasional. Manipulasi emosi, terutama perasaan takut dan cemas, adalah mekanisme klasik untuk mempengaruhi berbagai keputusan ekonomi--mulai dari menyelamatkan uang di bank hingga berinvestasi karena terdorong iklan.

 

Memudahkan Penipuan

Modus rekayasa sosial ikut berkembang mengiringi perkembangan teknologi gawai. Kita pasti pernah menerima telepon, SMS, atau surel yang mengklaim kita memenangkan undian atau mendapatkan warisan. Setelah telepon dan surel, para penipu kini ekspansi ke media sosial, di mana korban cenderung lebih rentan masuk dalam jebakan. Temuan ini ditunjukkan oleh penelitian Shafahi dkk (2016) yang meluncurkan delapan bot yang digunakan untuk phishing, dan dalam waktu dua minggu bot tersebut berhasil memancing 437 pengguna. Artinya, media sosial memberikan ruang bagi penipu untuk bermanuver tanpa terdeteksi. 

Selain mempermudah interaksi dengan calon korban, teknologi juga mempermudah penipu untuk menggali data. Kemudahan ini krusial karena langkah kunci dalam serangan rekayasa sosial adalah pengumpulan informasi (Hadnagy, 2011). Pelaku mempelajari profil pengguna yang akan menjadi sasaran, dengan memanfaatkan semua jenis informasi yang bisa mereka temukan. Informasi pun bisa didapat dari mana saja, mulai dari website perusahaan, profil LinkedIn, linimasa media sosial, atau bahkan membeli dari perusahaan pemasaran digital. Setelah mengumpulkan informasi, pelaku kemudian melakukan pretexting, yaitu berpura-pura menjadi orang lain dengan menciptakan sebuah persona baru. Pelaku menggunakan penanda yang bisa membangun identitas palsu mereka, seperti misalnya memasang profile picture logo perusahaan dengan username yang sangat mirip agar terlihat kredibel dan lebih mudah memancing korban tanpa dicurigai. 

Kedua temuan di atas menunjukkan dua hal. Pertama, terlepas dari aspek manipulasi psikologis, penipuan dalam dunia digital sangat mudah untuk dilakukan. Walaupun psikologi pengguna adalah kunci kerentanan, tapi cara kerja media digital yang menghapus limitasi arus informasi menjadi modal penipu untuk menggali data pengguna. Kedua, masih banyak aspek dari penggunaan teknologi yang semestinya dimanfaatkan untuk menjamin keamanan pengguna. Jaring pengaman ini semestinya jadi tanggung jawab penyedia teknologi.

 

Tidak Cukup Edukasi Pengguna

Jika penipu menyasar psikologi pengguna, bagaimana langkah perlindungannya? Langkah dominan yang digaungkan adalah mengedukasi pengguna agar mengenali resiko dan memproteksi diri. Namun, literasi dan proteksi diri tidaklah cukup karena penipu juga memanfaatkan kebocoran data untuk mengidentifikasi pengguna dan menentukan target. Dalam kasus nasabah Jenius, misalnya, meski pelaku membutuhkan data username dan password untuk mengakses akun, pelaku sudah mengetahui nomor telepon, alamat, dan nomor rekening nasabah. Selain itu, pelaku menggunakan layanan pop-up call Telkomsel untuk mengelabui korban agar terlihat seperti nomor resmi kantor. Kemudian pada kasus akun bot layanan pelanggan di Twitter, pelaku bisa dengan mudah membuat akun dan berkomunikasi dengan target tanpa terdeteksi. 

Respon dari para ahli teknologi yang melabeli korban sebagai pengguna yang “mudah dibodohi,” mengabaikan fakta bahwa pelaku juga memanfaatkan kelemahan sistem informasi, salah satunya yaitu interface yang buruk atau ketidakmampuan menyaring pesan mencurigakan (Hong, 2012). Selain itu, kasus nasabah Jenius juga menunjukkan kelemahan sistem verifikasi identitas nasabah dalam bank digital, di mana aplikasi hanya meminta kata sandi tanpa verifikasi lebih lanjut untuk menjalankan transaksi. Artinya, infrastruktur dalam sistem informasi turut menciptakan kerentanan pengguna. 

Bagaimana kita, sebagai pengguna, bisa memproteksi diri dari modus serangan yang terus berganti dan sebelumnya tidak kita ketahui? Apalagi jika data diri kita ternyata tak dilindungi dengan serius. Tak akan cukup jika solusi mengatasi penipuan hanya datang dari sisi pengguna. Pihak bank mesti memperbaiki sistem verifikasi transaksi. Akun bot penipu seharusnya juga dapat diblokir oleh polisi siber agar peran negara lebih berfaedah (daripada hanya mengurusi ujaran kebencian atau pencemaran nama baik). Jika tanggung jawab keamanan dilimpahkan sepenuhnya pada pengguna, sungguh kasihan nasibnya. Sudah rentan ditipu, masih harus menjaga diri tanpa ada perlindungan yang jelas. 

 

Hadnagy, Christopher. (2011). Social Engineering: The Art of Human Hacking. Indiana: Wiley Publishing.

Hong, Jason. (2012). The States of Phishing Attacks. Communications of the ACM (55)1 p. 74-81

Shafahi, Mohammad; Kempers, Leon; Afsarmanesh, Hamideh. (2016, Dec 5-8). Phishing Through Social Bots on Twitter. IEEE International Conference on Big Data, Washington, USA.