TEKNIK PHISHING DAN REKAYASA SOSIAL: MENGENALI DAN MENCEGAH SERANGAN BERBASIS MANUSIA
- Penulis: Muhammad Aprieldauzi F.
- Kategori: Cybersecurity, Social Engineering
- Hari/Tanggal: Kamis, 5 Maret 2026 (13.30 WIB - Selesai)
- Host: Ulfa Diana Pertiwi
- Speaker: Amru Rizal Fakhriansyah Susilo (Instructor at INIXINDO Jogja)
Di era digital yang serba cepat ini, teknologi memang memberikan kita banyak sekali kemudahan, tetapi di balik itu semua selalu ada ancaman yang tidak kalah mengerikan. Hal ini sangat terasa ketika saya menyimak "#Webinar Teknik Phishing dan Rekayasa Sosial: Mengenali dan Mencegah Serangan Berbasis Manusia" yang diselenggarakan oleh Inixindo Jogja. Dalam acara yang dipandu oleh Mbak Ulfa Diana Pertiwi tersebut, sang pemateri, Mas Amru Rizal, membuka wawasan dengan sebuah polling menarik tentang seberapa sering orang mendapat jebakan berkas .apk berkedok undangan di WhatsApp. Hasilnya cukup mengejutkan, lebih dari 57 peserta mengaku pernah terkena jebakan tautan atau aplikasi tersebut, sementara 114 lainnya belum pernah. Fakta ini membuktikan bahwa pesatnya perkembangan teknologi tidak hanya membawa manfaat, tetapi juga membuka celah bahaya yang luar biasa. Mas Amru Rizal menekankan bahwa salah satu ancaman paling mematikan saat ini justru bukanlah serangan peretasan sistem yang super rumit, melainkan teknik social engineering atau rekayasa sosial. Berbeda dengan teknik peretasan jaringan tradisional yang biasa kita pelajari, social engineering berfokus untuk meretas pikiran orang secara langsung. Pelaku akan memanipulasi psikologi manusia, membangun rasa nyaman dalam obrolan, hingga akhirnya korban terpedaya dan tanpa sadar membongkar informasi rahasianya sendiri. Dampaknya pun sangat destruktif karena bisa menghancurkan sistem dari skala individu, organisasi, hingga ekosistem yang lebih luas.
Kalau kita membedah konsep keamanan informasi, Mas Rizal menjelaskan bahwa secara teknis pertahanan ini dibangun di atas tiga pilar utama, yaitu manusia (people), proses (process), dan teknologi (technology). Meskipun saat ini teknologi pengamanan sudah sangat mutakhir dengan hadirnya kecerdasan buatan (AI) hingga firewall kelas atas, manusia tetap menjadi titik terlemah dalam sebuah ekosistem jaringan. Logikanya sangat sederhana, sebagus apa pun arsitektur jaringan yang kita rancang, kita tidak akan pernah bisa menginstal antivirus atau firewall di dalam otak manusia. Merujuk pada data dari Data Breach Investigations Report (DBIR) yang dipaparkan dalam webinar, sekitar 60 persen insiden keamanan siber justru disebabkan oleh insider atau orang dalam organisasi itu sendiri. Menariknya, kesalahan ini mayoritas bukan didasari oleh niat jahat untuk menyabotase perusahaan, melainkan murni karena ketidaktahuan pengguna terhadap suatu hal yang akhirnya berujung pada kerugian fatal. Harus kita sadari bahwa sistem teknologi itu sifatnya pasif dan sangat patuh dimana ia tidak akan pernah mengeksekusi program atau mengizinkan akses apa pun kecuali penggunanya sendiri yang memberikan perintah atau izin. Contoh paling nyata adalah insiden berkas undangan berekstensi .exe atau .apk. Sehebat apa pun perangkat lunak antivirus yang berjalan di latar belakang gawai kita, kalau kita sebagai pengguna dengan sadar menekan tombol instalasi hanya karena rasa penasaran, maka itu adalah murni kesalahan manusia, bukan kegagalan teknologi. Keingintahuan inilah yang sering kali membuat kita merugi sendiri.
Para peretas sangat pandai mengeksploitasi kelengahan ini dengan cara tampil meyakinkan, terlihat keren, atau memanfaatkan situasi panik korban. Serangan mereka sangat variatif, mulai dari menyusup sebagai anggota grup WhatsApp untuk menyebarkan aplikasi jahat, menargetkan para petinggi perusahaan melalui taktik whaling dan spear phishing, hingga teknik membajak sesi QRIS yang langsung menguras saldo saat korban tidak sengaja memindai sidik jari di tautan palsu. Dari kacamata teknis, Mas Rizal mendemonstrasikan bahwa cara kerja peretas dalam mengeksekusi rekayasa sosial ini sangat terstruktur dan didukung oleh alat yang mumpuni. Pada fase awal, mereka biasanya melakukan pengintaian sumber terbuka (OSINT) menggunakan alat berbasis lingkungan Linux seperti Sherlock yang bisa melacak jejak username target di seluruh platform media sosial secara instan. Setelah profil korban dipetakan, mereka beralih ke tahap eksekusi menggunakan Social-Engineer Toolkit (SET). Alat ini memungkinkan peretas untuk mengkloning halaman login situs web asli dalam hitungan detik, sehingga korban yang lengah tidak akan sadar bahwa mereka sedang mengirimkan kredensialnya langsung ke server milik penyerang. Tidak berhenti di situ, distribusi malware juga semakin rapi dan tersembunyi. Peretas kini mampu menyisipkan trojan penginfeksi ke dalam dokumen PDF yang secara kasat mata terlihat aman. File PDF beracun semacam ini sering kali baru bisa terdeteksi jika kita rajin menganalisis hash paket datanya melalui platform inspeksi keamanan pihak ketiga seperti VirusTotal.
Mengingat ancaman yang semakin masif ini mengeksploitasi sisi psikologis, pertahanan paling ampuh yang bisa kita terapkan adalah dengan membangun kebiasaan atau security awareness yang melekat kuat di kepala kita. Sebagai mahasiswa yang melek teknologi, kita harus membiasakan diri untuk berhenti sejenak dan berpikir kritis sebelum mengklik tautan atau mengunduh berkas dari sumber yang tidak jelas. Jangan biarkan rasa penasaran sesaat merusak sistem kita. Biasakan untuk selalu melakukan verifikasi ganda kepada pengirim asli, mematikan fitur unduhan otomatis di WhatsApp, dan tidak panik saat mendapat pesan ancaman palsu. Namun, jika suatu hari kita berada di posisi apes dan terlanjur mengklik atau menginstal aplikasi mencurigakan, Mas Rizal memberikan sebuah langkah mitigasi darurat pertama yang mutlak harus dilakukan, yaitu segera mematikan koneksi internet. Memutus koneksi data atau Wi-Fi adalah jalan pintas terbaik untuk memutus jalur komunikasi antara perangkat kita dengan server peretas, sebelum akhirnya perangkat diisolasi dan ditangani lebih lanjut.
DOKUMENTASI SELAMA WEBINAR:
