Berawal dari kamar percakapan di Slack, sebuah aksi peretasan berhasil menembus keamanan berlapis milik Twitter pada pertengahan Juli kemarin. Serangan tersebut mengambil alih sejumlah akun Twitter berprofil besar seperti Elon Musk, Bill Gates, Barack Obama, dan banyak lagi. Selain mempermalukan reputasi Twitter sebagai salah satu perusahaan teknologi ternama dunia, uang miliaran rupiah melayang dalam bentuk Bitoin dari serangan tersebut.
Menyebut serangan tersebut sebagai peretasan sebenarnya kurang tepat sebab pelaku tidak menyerang celah keamanan platform. Apa yang terjadi pada Twitter pada serangan itu adalah rekayasa sosial atau social engineering. Rekayasa sosial ini menyerang kelengahan manusia dengan modus yang cukup beragam. Pelaku dengan tipu dayanya berhasil memperoleh kepercayaan yang ia peroleh dari karyawan Twitter dan memanfaatkan informasi yang dia peroleh untuk menembus sistem keamanan platform. Dalam laporan ISACA State of Cybersecurity 2020, Part 2: Threat and Landscape Security Practices, rekayasa sosial disebut sebagai ancaman keamanan digital nomor wahid di dunia. Hal ini menebalkan keyakinan bahwa manusia adalah rantai terlemah dalam sebuah sistem keamanan digital.
Mengidentifikasi rekayasa sosial
Apa yang terjadi pada Twitter itu juga jamak ditemui di platform digital lain termasuk di Indonesia. Jika serangan tersebut menjadikan karyawan sebagai pijakan untuk melompati sistem keamanan platform, kasus serangan yang menyerang pengguna platform tak kalah banyak. Secara umum, tingkat literasi pengguna jauh lebih beragam ketimbang mereka yang bekerja di perusahaan teknologi. Maka tidak mengherankan serangan rekayasa sosial lebih ramai menimpa masyarakat awam. Di dalam negeri, tren serangan ini makin nampak. Sebagai salah satu platform digital terbesar di Indonesia, kasus yang menimpa pengguna Gojek pernah terjadi beberapa kali.
Center for Digital Society (CfDS) dari Universitas Gadjah Mada merumuskan teknik rekayasa sosial sebagai penipuan yang dilakukan dengan menembus jaringan keamanan melalui manipulasi pengguna untuk mendapatkan informasi rahasia. Memang mekanismenya tak serumit serangan peretasan. Namun seperti disebutkan sebelumnya, cara ini banyak dipakai karena memanfaatkan ketidaktahuan korban mengenai ekosistem digital.
Peneliti CfDS Tony Seno Hartono memaparkan sejumlah modus yang dipakai dalam teknik rekayasa sosial. Phishing merupakan modus yang paling banyak ditemui. Dalam modus ini, pelaku menggunakan telepon, surel, atau media lain untuk mengumpulkan informasi mengenai target serangan. Modus berikutnya adalah SMShing yang mekanismenya menyerupai phishing hanya saja memakai SMS. Selanjutnya ada pretexting yang mengandalkan narasi yang meyakinkan korban untuk mengambil informasi. Terakhir ada impersonation. Modus ini dilakukan dengan cara berpura-pura menjadi seseorang untuk mengumpulkan informasi dari target korban.
Merebut kepercayaan korban menjadi persamaan dari semua modus itu. Membuat lengah korban dan meraih informasi penting mengenai data pribadi, kata kunci sekali pakai (one time password/OTP), serta data sensitif lainnya memudahkan mereka menembus sistem keamanan platform. Bagi pelaku, teknik rekayasa sosial ini lebih praktis ketimbang mereka meretas sistem keamanan. Dalam konteks ekosistem digital di Indonesia, ancaman yang dibawa oleh teknik rekayasa sosial ini bisa berdampak begitu besar.
Cendawan di musim hujan
Bentuk kejahatan selalu beradaptasi dan berkembang dari waktu ke waktu dengan kondisi masyarakat. Suburnya penipuan dengan metode rekayasa sosial ini. Indonesia saat ini adalah rumah untuk ekosistem bisnis digital terbesar di Asia Tenggara. Laporan We are Social 2020 mencatat pengguna internet di Indonesia sudah lebih dari 175 juta pengguna internet, ribuan startup digital, dan enam unicorn. Riset Temasek dan Google menyebut nilai ekonomi digital di Indonesia pada tahun lalu mencapai US$40 miliar dan berpotensi berlipat menjadi US$133 miliar pada 2025.
Kendati begitu literasi digital di Tanah Air masih jauh dari cukup. CfDS menyatakan kompetensi keamanan teknologi digital di Indonesia di kategori dasar dan menengah. Hal ini berbanding lurus dengan serangan siber yang menyasar pengguna internet di sini.
Wabah Covid-19 menjadi katalis yang mempercepat adaptasi masyarakat ke ekonomi digital. Situasi yang mengharuskan mayoritas orang berkegiatan dari rumah memaksa mereka beradaptasi untuk memakai segala jenis layanan digital. Migrasi besar tersebut tentu dapat ditafsirkan sebagai peluang bagi pelaku kejahatan siber. Banyaknya pengguna baru yang belum banyak mengerti seluk-beluk solusi digital adalah sasaran empuk pengguna teknik rekayasa sosial.
Langkah Gojek melawan rekayasa sosial
Dari sekian banyak bisnis digital di Indonesia, Gojek merupakan salah satu motor penggeraknya. Gojek adalah decacorn dengan 20 layanan berbeda dengan 3 super app untuk pelanggan, mitra pengemudi, dan mitra merchant. Mereka juga sudah ekspansi ke negara lain di kawasan seperti Vietnam, Singapura, Filipina, dan Thailand. Hingga akhir kuartal kedua tahun ini, aplikasi mereka sudah diunduh lebih dari 190 juta kali, dengan lebih dari 2 juta pengemudi, dan 500.000 mitra GoFood. Studi Lembaga Demografi Fakultas Ekonomi dan Bisnis Universitas Indonesia pada 2019 menemukan kontribusi Gojek terhadap perekonomian nasional menyentuh Rp104,6 triliun.
Membayangkan jutaan transaksi berputar dalam satu hari saja sepertinya sudah cukup meyakinkan para bandit digital melirik pengguna Gojek sebagai target. Gojek mengakui ancaman itu nyata. Sejatinya Gojek membuat tiga pendekatan untuk melindungi ekosistem layanannya: teknologi, proteksi, dan edukasi. Pendekatan teknologi menjadi fondasi Gojek dalam sistem keamanan. Sejumlah inovasi mereka buat seperti penyamaran nomor, two-factor authentication, intervensi chat, fitur sidik jari, verifikasi wajah, hingga pencegahan pembajakan. SVP IT Gobernance, Risk & Compliance GoPay Genesha Nara Saputra menjelaskan di belakang layar tim mereka selalu mengawasi tren serangan terbaru dan meningkatkan kapabilitas infrastruktur keamanan. Namun Ganesha menilai segala kecanggihan teknologi yang mereka sediakan dapat sia-sia belaka ketika pelaku serangan rekayasa sosial menargetkan pengguna mereka yang masih awam.
“Untuk kasus rekayasa sosial ini memang cuma ada satu cara efektif yakni edukasi. Sudah diakui dunia bahwa manusia ini adalah rantai terlemah. Makanya kuncinya cuma edukasi,” terang Genesha.
Perihal pendekatan edukasi ini Gojek menekankan empat hal untuk pengguna mereka. Keempatnya adalah tidak bertransaksi di luar aplikasi, mengamankan data pribadi, menggunakan PIN setiap bertransaksi, dan segera mengadu ke layanan pelanggan atau kepolisian ketika menghadapi sesuatu yang mencurigakan. Edukasi ini tentu juga dimaksudkan kepada mitra pengemudi dan merchant Gojek. Dari sekian kasus rekayasa sosial yang pernah menimpa Gojek sebelumnya, acapkali pelaku mengincar dompet elektronik korban.
Salah satu peningkatan signifikan yang dilakukan Gojek dalam menjaga keamanan ekosistemnya adalah kemampuan mendeteksi order fiktif. Pada beberapa tahun lalu, order fiktif sempat menjadi momok bagi mitra pengemudi. Hal lain yang juga berkembang adalah pendeteksian penggunaan aplikasi ilegal seperti Fake GPS atau populer di kalangan pengemudi dengan nama “tuyul”. Aplikasi ilegal itu memungkinkan pengemudi nakal mengubah lokasi keberadaan mereka sesuka hati meskipun mereka berada di lokasi lain. Head of Driver Operations Trust & Safety Gojek Kevin Timotius mengatakan, kemajuan itu muncul berkat pemanfaatan machine learning dan kecerdasan buatan yang mereka kembangkan dalam teknologi Gojek SHIELD.
“Teknologi machine learning dan kecerdasan buatan telah kami manfaatkan untuk mendeteksi serta menindak berbagai tindakan curang yang merugikan mitra pengemudi, termasuk di antaranya order fiktif dan penggunaan perangkat ilegal. Sebelumnya teknologi sejenis juga telah banyak membantu meningkatkan keamanan mitra lewat fitur verifikasi wajah dan penyamaran nomor telepon,” tukas Kevin.
Terlepas dari itu semua, teknik penipuan rekayasa sosial tetap menjadi bahaya laten yang mengintai pengguna layanan digital mana pun. Teknik ini tidak begitu terpengaruh dengan infrastruktur keamanan yang canggih yang dipakai startup digital seperti Gojek sebab teknik ini mengincar psikologi seseorang. Hanya dengan literasi digital yang mumpuni persoalan ini dapat ditekan.
Meskipun demikian, platform digital tak bisa sendirian. Mereka perlu uluran tangan industri, pemerintah, organisasi swadaya masyarakat, dan masyarakat itu sendiri untuk mencegah menjamurnya kasus rekayasa sosial di Indonesia.