Melawan Magis bersama Gojek dengan Literasi

Hadi Permana (32), karyawan swasta di sebuah kantor di Kuningan, Jakarta Selatan punya cerita mirip. Ia mengaku sempat ditelpon orang tak dikenal yang mengatasnamakan Gojek.

“Waktu itu saya lagi kerja, ada sms masuk, saya lupa empat atau enam digit kode. Gak lama ada yang menelpon,” katanya.

Hadi mengatakan, si penelpon yang mengatasnamakan Gojek menyebut dirinya telah memenangkan hadiah uang. Untuk memberikan hadiah itu, si penelpon meminta kode yang telah dikirimkan sebelumnya.

“Dia tahu nama saya, dengan bapak Hadi Permana, selamat bapak mendapatkan Rp 10 juta. Tadi dapat sms kan yah, coba cek,” kata Hadi menirukan si penipu.

Hadi mengaku, ia langsung tahu tengah berusaha ditipu oknum tak bertanggungjawab. Pasalnya, nomor yang menelponnya bukan resmi dari Gojek. “Nomornya nomor biasa,” katanya.

Penipu tersebut, tutur Hadi, juga mengancam dirinya dan memaki dengan kata-kata kasar. Hal itu terjadi lantaran Hadi menjadikan peristiwa tersebut bahan olok-olok bersama rekan kerjanya.

“Setiap dia minta kode, saya salahin. Sampai akhirnya dia mulai marah dan nge-bluffing, ‘bapak sebenernya mau gak duitnya. Kalau gak saya kasih orang lain aja,”

“Setelah itu mungkin dia sadar, terus saya dimaki-maki mau diteror,” katanya.

Apa yang dialami Venny dan Hadi merupakan jenis penipuan dengan teknik social engineering alias rekayasa sosial atau manipulasi psikologis (magis). “Social engineering ini adalah satu seni, satu ilmu untuk memanipulasi orang,” ujar Tony Seno Hartono, Peneliti dari Center for Digital Society (CfDS) Universitas Gadjah Mada (UGM).

Hal tersebut dikatakannya dalam webinar Bersama Menjaga dan Meningkatkan Kompetensi Keamanan Digital yang diselenggarakan Gojek bersama Aliansi Jurnalis Indonesia (AJI).

Tony menjelaskan teknik magis kerap dilakukan lantaran lebih mudah ketimbang harus mengeksploitasi celah keamanan komputer atau sistem.

Paling tidak, kata Tony, ada lima teknik magis yang biasa dipakai. Teknik tersebut: Phising (penipuan melalui email), Phone scams (scam kartu kredit, penipu menelpon korban meminta OTP dan data pribadi), SMShing (penipu mengatakan kalau korban telah memenangkan undian), Impersonation (penipuan bagi-bagi kuota internet), dan Pretexting (penipu mengatasnamakan figur publik tertentu).

Sayangnya, literasi digital masyarakat Indonesia untuk melawan magis masih ada di tingkat dasar. Padahal pandemi virus corona covid-19 meningkatkan aktivitas transaksi digital.

“92% konsumen melakukan belanja digital. Kemudian 85% konsumen menggunakan jasa pengiriman makanan ke rumah. 67% konsumen belanja kebutuhan pokok,” kata Tony dalam paparannya.

Namun demikian, ada beberapa hal yang bisa dilakukan untuk meningkatkan kemananan dalam bertransaksi digital. Hal-hal tersebut antara lain pemilihan password yang lebih rumit dan rutin memperbarui informasi mengenai penipuan dan keamanan digital.

“Keamanan suatu sistem itu hanya sekuat titik terlemahnya. Sekarang, titik terlemahnya itu ada di sisi manusianya. Sedangkan social engineering itu mengeksploitasi kelemahan natural manusia ini,” katanya menambahkan.

Gojek sendiri tak tinggal diam menghadapi ancaman magis. Apalagi, pandemi virus corona meningkatkan aktivitas transaksi masyarakat lewat online.

Menurut Hana Abriyansyah selaku VP of Information Security Gojek, teknik magis sejatinya bukan barang baru dalam dunia digital.

“Ini sebetulnya untuk manipulasi psikologis (magis) bukan teknik baru atau ancaman baru karena sudah ada sejak internet ada,” katanya dalam webinar yang sama.

Hana mengatakan, Gojek saat ini memiliki program untuk melawan sekaligus menaungi para mitra dan konsumen dari ancaman magis. “Kita memiliki program Aman Bersama Gojek,” katanya.

Program tersebut terdiri dari tiga pilar: teknologi, edukasi, dan proteksi. Di pilar proteksi, Gojek akan memberikan perlindungan bagi mitra yang sudah terlanjur menjadi korban kejahatan magis.

“Salah satu contohya kita memiliki program saldo Gopay kembali. Kita akan mengembalikan dana yang tidak disebabkan oleh kelalaian pengguna sendiri,” katanya.

Sementara untuk pilar teknologi, kata Hana, Gojek telah menerapkan sistem keamanan tercanggih dan terbaik saat ini.

“Saat ini kita memiliki tim information security, kompetensi, dan experience dan pemahamannya ada di level global. Selain itu juga kita memanfaatkan teknologi baru untuk mendukung peningkatan keamanan,” katanya.

Semua aktivitas dan implementasi pilar teknologi bernaung di bawah Gojek Shield. Di dalamnya, ada penerapan teknologi keamanan terkini dengan standar tinggi seperti fitur verifikasi wajah dan sidik jari (biometrik) yang baru dipakai Gojek.

“Untuk biometrik authentification, ini teknologi yang cukup baru dan paling aman. Karena password orang bisa curi, physical token juga. Tapi akan lebih sulit untuk meng-impersonate sidik jari atau wajah kita,” katanya menambahkan.

Kehadiran fitur biometrik dirasakan membantu Gerry Irawan selain pesan-pesan singkat berisi ajakan untuk tidak mudah memberikan kode OTP. Pria yang sudah satu tahun menjadi driver Gojek itu mengaku, fitur tersebut membuatnya terhindar dari pembajakan akun.

Gerry mengaku sebelum ada fitur itu, para pelaku kejahatan magis cukup mudah mencuri kode OTP para driver. Kebanyakan, korbannya adalah driver yang berusia lanjut.

 “Itu membantu banget sih. Karena sekarang ada verifikasi muka, ketika login, tampilannya verifikasi muka. Harus verifikasi muka saya. Dulu enggak,” kata Gerry saat diwawancara Liputan6.com.

Lebih lanjut, dalam pilar edukasi, Gojek memiliki program yang bernama JAGA. Program tersebut merupakan akronim dari: Jangan transaksi di luar aplikasi, Amankan data pribadi, Gunakan PIN untuk transaksi, dan Adukan hal yang mencurigakan.

Selain itu, kolaborasi bersama pihak-pihak terkait seperti pemerintah dan media  juga terus dilakukan untuk meningkatkan tingkat  literasi digital masyarakat.

“Kita berkolaborasi untuk mengedukasi dan meningkatkan literasi digital masyarakat luas, partner atau masyarakat secara umum,” katanya.

Lebih lanjut, ia mengungkapkan edukasi tentang sekuriti digital merupakan hal krusial. Hana mencontohkan, tingkat literasi digital yang tinggi di antara personel-personel tentara Amerika Serikat (AS).

Informasi tersebut ia dapatkan saat bekerja bagi perusahaan penyedia platform media sosial untuk personel militer Amerika Serikat 10 tahun lalu. Selain faktor infrastruktur teknologi yang mumpuni, Hana mengatakan literasi para pengguna media sosial tersebut juga sangat baik.

Pasalnya, mereka rutin mendapat pelatihan tentang keamanan digital dari Departemen Pertahanan AS.

“Untuk bisa memililki tingkat sekuriti yang tinggi ada tiga hal yang paling penting, adopsi teknologi, proses, dan kita memiliki pengguna tingkat pemahaman dan literasinya harus tinggi juga,” katanya.

“Kalau misalnya kita memiliki tiga hal ini tingkat keamanan kita bisa dibilang kita tak perlu khawatir lagi,” ujarnya menambahkan.

Christopher Hadnagy, seorang konsultan IT asal Amerika Serikat dalam bukunya Social Engineering: The Art of Human Hacking (2010) menulis,

“Semakin seseorang memiliki banyak pengetahuan dan pengertian dari bahaya social engineering, semakin mudah dia menghindar, berlindung, dan menghentikan serangan itu,”

Venny dan Hadi pada akhirnya terhindar dari upaya penipuan. Keduanya selamat dengan cara yang sangat sederhana: membaca prosedur dan ketentuan serta informasi soal keamanan bertransaksi dalam Gojek.

“Saya baca-baca juga, katanya jangan berikan kode OTP. Pernah denger juga, imbauan soal itu,” ujar Hadi.

“Biasanya kan orang males baca itu, ah udah sih baca aja walau sekilas. Ada poin-poin yang meminta data pribadi misal pin Gopay atau apapun jangan diberikan, bahkan ketika orang Gojeknya yang minta pun jangan dikasih,” kata Venny.