Tips menghindari kejahatan siber

Kecakapan digital diperlukan agar orang aman dalam berselancar di dunia internet/digital. Dunia internet berkembang sangat cepat, sekarang dengan sebuah ponsel pintar orang bisa mengakses informasi dari seluruh dunia. Dengan koneksi mobile, koneksi internet bisa masuk ke pelosok-pelosok desa, hal yang susah dilakukan oleh koneksi kabel atau telpon rumah.

Persebaran internet masuk ke desa-desa membawa peluang orang-orang mendapatkan berita dan informasi dari daerah lain. Jaman dulu orang hanya mendapat kabar dari tetangga; kemudian ada surat kabar, orang mendapat kabar peristiwa yang terjadi kemarin; ada televisi orang mendapat kabar peristiwa beberapa jam sebelumnya; dengan internet, penyebaran informasi sudah lebih cepat. Ada peristiwa, berita langsung tersebar. Agen penyebarnya juga bukan lagi media besar, cukup orang biasa dengan ponsel pintar, kirim ke layanan media sosial, dan berita tersebar.

Selain membawa peluang, internet juga mempunyai efek negatif, misalnya penyebaran kabar bohong (hoaks), penipuan, pencurian data pribadi, penyebaran data pribadi, disinformasi, polarisasi politik, penyebaran kebencian berlatar SARA, dan lan-lain.

Untuk bisa mengambil manfaat dan mengurangi mudarat kita harus mempunyai kecakapan dalam dunia maya. Untuk sesi kali ini saya akan membawakan materi mengenai kecakapan digital atau digital skills berkaitan dengan upaya untuk menghindari kejahatan siber atau cyber crime.

Digital Skills atau kecakapan digital adalah kemampuan individu dalam mengetahui, memahami, dan menggunakan perangkat keras dan lunak, teknologi informasi, internet, dan komputer (TIK) serta sistem operasi digital.

Bisa mengoperasikan komputer, ponsel pintar, menggunakan layanan pesan, layanan media sosial, layanan perbankan, belanja daring, merupakan contoh bentuk kecakapan digital.
Mampu mengoperasikan perangkat keras dan lunak saja tidak cukup, kita perlu mengetahui faktor-faktor resiko dalam dunia maya atau dunia digital.

I. Cybercrime atau Kejahatan Siber

Cybercrime atau yang diterjemahkan KBBI online menjadi kejahatan siber, adalah tindak pidana yang bersangkutpaut dengan dunia maya, sistem komputer, sistem informasi ataupun internet. Lebih singkatnya kejahatan siber sering diartikan sebagai kejahatan online.

Untuk bisa terhindar dari kejahatan siber kita perlu menenal jenis-jenisnya, tujuannya, cara kerjanya, dan media yang dipakai, sehingga bisa melakukan upaya antisipasi agar tidak terkena tindakan kejahatan siber.

I.1. Jenis-jenis Kejahatan Siber

Kejahatan siber sangat banyak jenisnya, berkembang dari waktu ke waktu menyesuaikan dengan perkembangan teknologi informasi. Sekarang hampir semua layanan di berbagai sektor dari perdagangan, pendidikan, pemerintahan terhubung ke jaringan internet, sehingga pengetahuan akan kejahatan siber sangat penting. Kejahatan siber ada yang menyasar data perusahaan, lembaga negara, atau kita sebagai pengguna dunia maya. Dalam kesempatan ini saya akan lebih banyak membahas jenis-jenis kejahatan siber yang dekat dengan keseharian kita

I.1.1. Pencurian data

Yaitu mencuri data secara ilegal dari komputer atau layanan seperti media sosial, perbankan, database perusahaan, atau marketplace. Jenis data yang dicuri bisa nama pengguna, data catatan aktivitas pengguna, atau data penting perusahaan seperti kondisi keuangan, produk, dll.

Pencurian data bisa dilakukan secara ilegal atau ‘legal’ karena kelalaian kita. Pencurian data ilegal dilakukan dengan peretasan kelemahan sistem, sehingga bisa memasuki database sistem tersebut. Sementara pencurian data ‘legal’, adalah pencurian data menggunakan akun asli layanan tersebut, pelaku tindak pidana memperoleh data dari pengguna, pengguna yang lalai meninggalkan catatan akun, atau pengguna pernah memberi akses akun ke orang lain lalu dimanfaatkan.

Beberapa kasus pernah terjadi di Indonesia antara lain:
a. Pencurian data pengguna Tokopedia
“Pada tanggal 2 Mei 2020, kami menyadari adanya pencurian data oleh pihak ketiga yang tidak berwenang terkait informasi pengguna Tokopedia,” tutur CEO Tokopedia William dalam pernyataan resmi yang diterima CNNIndonesia.com, Selasa (12/5) siang.

b. Pencurian data pengguna BPJS kesehatan
BPJS Kesehatan mengakui kebocoran data 279 juta warga Indonesia. Menurut dirut BPJS Kesehatan Ali Ghufron Mukti, kebocoran data terjadi akibat adanya tindakan peretasan sistem keamanan digital.
Dalam konferensi pers virtual, Ali Ghufron menyatakan, dinamisnya dunia digital membuat kelompok tertentu yang tidak bertanggung jawab bisa membobol data pribadi yang terhimpun melalui platform digital, seperti BPJS Kesehatan.

I.1.2. Pengambilalihan akun

Yaitu mengambil alih akun media sosial, email, atau suatu layanan, baik dengan cara ilegal maupun ‘legal’. Ilegal, bila dilakukan dengan meretas atau memperdaya sistem keamanan komputer layanan. ‘Legal’ dalam tanda kutip, dalam artian kalau dilakukan dengan data login pengguna yang sah.

Bagaimana pelaku mendapatkan data akun kita? Ini bisa dilakukan dengan memperdaya pengguna agar secara tidak sadar menyerahkan data akun berupa “nama pengguna” dan “sandi”, maupun karena sandi yang kita gunakan lemah.

Di media sosial Facebook sering kita menemukan teman-teman yang kehilangan kendali atas akun Facebook-nya dan oleh digunakan orang lain. Resiko dari kejadian ini adalah orang lain bisa menggunakan akun kita untuk tindakan bermotif ekonomi misalnya meminta sumbangan, pulsa, atau pinjaman, atau tindakan lain seperti teror, pornografi, penyebaran kebencian berlatar SARA, dll.

I.1.3. Penggandaan akun

Penggadaan akun biasanya terjadi di akun media sosial. Orang lain membuat akun media sosial dengan nama, foto, dan profile kita, dan bertindak seolah-olah diri kita. Teman-teman kita yang belum mengetahui akan menyangka itu adalah akun kita. Hal seperti ini bisa digunakan untuk kejahatan siber seperti kasus pengambilalihan akun di atas.

I.1.4. Penipuan online

Penipuan online adalah tindakan penipuan yang menggunakan sarana teknologi informasi. Contoh dari penipuan online misalnya, kita mendapat pemberitahuan melalui sms, WA, email atau pesan di media sosial, bahwa kita mendapat undian berhadiah dari salah satu marketplace atau bank. Di situ ada jumlah uang dan link berisi pemberitahuan untuk mengambil hadiah.

Ini juga bisa terjadi pada kegiatan berjualan online. Ada yang membuat website toko online, lalu ada yang membeli, mengirim uang, tapi barang tidak dikirim. Ini juga bisa terjadi di layanan marketplace besar seperti Tokopedia, Shopee, Bukalapak, atau Lazada. Ada kasus barang yang dikirim tidak sesuai, barang yang dikirm rusak, atau dikirim barang tidak berharga. Tapi layanan marketplace memiliki mekanisme pengaduan jika ada konsumen yang dirugikan.

Berikut contoh penipuan online yang sering terjadi
Pemberitahuan mendapat hadiah dari marketplace, dengan nominal dan link halaman yang harus kita buka. Kalau link halaman kita klik, maka kita akan dibawa ke halaman yang seolah-olah dipunyai oleh marketplace tersebut. Kalau kita mengisi data maka data-data kita bisa disalahgunakan. Resiko dari kejadian ini adalah data-data kita dikumpulkan oleh pelaku kejahatan. Atau lebih lanjut, bisa kehilangan uang kita kalau pelaku mengincar uang dengan modus transfer biaya administrasi.

Pelaku juga bisa membuat halaman login palsu, begitu kita memasukkan nama pengguna dan kata sandi, maka data kita masuk ke database pelaku kejahatan siber. Akhirnya pelaku bisa melakukan login di layanan marketplace yang asli menggunakan akun kita. Kalau di akun kita tersimpan saldo dari hasil penjualan, pelaku bisa melakukan penarikan dana ke rekening pelaku.

I.1.5. Penggunaan data digital secara ilegal

Yaitu penggunaan materi digital berupa foto, video, dokumen atau karya seni untuk tindakan ilegal tanpa sepengetahuan dan ijin pemilik. Ada yang bertujuan kepuasan, teror, uang, bisnis, atau pornografi.

Contoh penggunaan media digital secara ilegal:

• pemuatan foto tanpa ijin untuk persyaratan pengajuan kredit pinjaman online
• pemanfaatan foto atau video untuk tujuan pronografi
• pemuatan foto atau karya seni orang lain tanpa ijin

I.1.6. Penyebaran berita bohong atau hoaks

Dalam KBBI disebutkan bahwa arti hoaks adalah berita bohong. Hoaks merupakan informasi yang direkayasa untuk menutupi informasi sebenarnya. Dengan kata lain, arti hoaks juga bisa didefinisikan sebagai upaya pemutarbalikan fakta menggunakan informasi yang seolah-olah meyakinkan tetapi tidak dapat diverifikasi kebenarannya.

Data dari Katadata menunjukkan, setidaknya 30% sampai hampir 60% orang Indonesia terpapar hoaks saat mengakses dan berkomunikasi melalui dunia maya. Sementara hanya 21% sampai 36% saja yang mampu mengenali hoaks. Kebanyakan hoaks yang ditemukan terkait isu politik, kesehatan dan agama. Demikian temuan survei Katadata Insight Center (KIC) yang bekerjasama dengan Kementerian Komunikasi dan Informatika serta SiBerkreasi. Sumber beritasatu.com

Mengutip dari halaman Mafindo, dalam klasifikasi akademis, Mafindo juga mengacu pada 7 jenis hoaks yang dikategorikan First Draft.

Jenis-jenis hoaks:

• Satir/Parodi : tidak ada niat jahat, namun bisa mengecoh.
• False Connection : judul berbeda dengan isi berita, dst.
• False Context : konten disajikan dengan narasi konteks yang salah.
• Misleading Content : konten dipelintir untuk menjelekkan.
• Imposter Content : tokoh publik dicatut namanya.
• Manipulated Content : konten yang sudah ada, diubah , untuk mengecoh.
• Fabricated Content : 100% konten palsu.

I.2. Metode Kejahatan Siber

I.2.1. Peretasan

Menurut Kamus Besar Bahasa Indonesia Daring (KBBI), peretas memiliki makna, di antaranya, orang yang terobsesi untuk mengetahui lebih banyak tentang komputer atau orang yang mengakses komputer orang lain tanpa izin, biasanya dengan bantuan teknologi komunikasi.

Peretasan dilakukan dengan mencari kelemahan sistem sehingga pengguna yang tidak berwenang bisa diijinkan masuk oleh sistem atau lebih jauh lagi, memaksa sistem error sehingga bisa mengambil data atau merusaknya.

Peretasan lebih berbahaya kepada pemilik layanan, data, pemilik website, administrator IT, dan mereka yang memiliki layanan yang terhubung ke internet. Kasus bocornya data BPJS kesehatan kemungkinan besar dilakukan dengan metode peretasan.

I.2.2. Phising

Phishing adalah kejahatan dunia maya di mana target atau target dihubungi melalui email, telepon, atau pesan teks oleh seseorang yang menyamar sebagai lembaga yang sah untuk memikat individu agar memberikan data sensitif seperti informasi pengenal pribadi, detail kartu kredit dan perbankan, dan kata sandi.

Phising merupakan salah satu metode yang bisa dipakai pelaku kejahatan untuk mengambil alih akun layanan media sosial, email, atau perbankan. Tujuan lain dari phising juga bisa untuk mengumpulkan data calon korban, misalnya data nomer ponsel, email, scan KTP, scan Kartu keluarga, dll , yang bisa dimanfaatkan untuk melakukan kejahatan.

I.2.2.1 Web Phising

Web Phising adalah metde phising dengan memanfaatkan website sebagai alat untuk mengelabuhi korbannya. Cara kerjanya dengan membuat website menyerupai website asli, dari segi tampilan maupun nama domain.

Untuk mendapatkan informasi data pengguna dan password, pelaku kejahatan akan membuat halaman tiruan dari layanan dengan form login palsu. Alamat website juga dibuat mirip, misalnya klickbca.com (tiruan BCA), ibankmandiri.com (tiruan bank Mandiri), Faceebook.com (tiruan facebook, dll).

Begitu pengguna memasukkan data nama pengguna dan kata sandi dari layanan yang asli, data akan masuk ke database pelaku, dan bisa digunakan untuk login di layanan yang asli. Cara ini bertujuan mengambil alih akun media sosial, akun bank, email, dll.

Sementara untuk mengumpulkan data, contohnya, informasi lowongan pekerjaan, informasi bantuan UMKM, pelaku akan membuat halaman berisi form-form yang harus diisi misalnya nama, tanggal lahir, nomor rekening, foto diri, scan KTP, scan kartu keluarga, dll. Data ini yang bisa disalahgunakan untuk kejahatan. Cara mencari korban dengan meyebarkan pemberitahuan melalui media sosial, sms, atau email.

I.2.2.2 Email Phising

Mirip dengan web phising, email phising menggunakan media email untuk mendapatkan data-data dari korban. Kalau web phising korban digiring ke halaman yang menyerupai halaman layanan asli, kalau email phising, korban dikirim email yang seolah-olah email dari layanan, meminta balasan pengisian data di email tersebut. Isi email misalnya permintaan untuk reset akun, ganti password, dengan alasan ada perbaikan sistem. Korban yang membalas email dengan data-data yang diminta sudah menjadi korban email phising. Data tersebut yang akan digunakan oleh pelaku kejahatan

Contoh pengiriman phising melalui email:
Ketika membuka email ada beberapa email yang meminta verifiaksi ulang akun layanan media sosial, misalnya dengan judul:

“Verifikasi account Anda.”  
“Jika Anda tidak merespon dalam waktu 48 jam, account Anda akan ditutup.”

Penjahat bisa menggunakan dua cara, meminta calon korban langsung mengisi data-data di email (email phising) atau memandu calon korban menuju ke halaman website dengan halaman yang mirip dengan website layanan asli (web phising)

Kalau kita mengikuti instruksi tersebut, akun media sosial, market place, atau layanan lain bisa diambil alih oleh penjahat siber.

I.2.3. Social engineering atau rekayasa sosial

Rekayasa sosial (bahasa Inggris: Social engineering) adalah manipulasi psikologis dari seseorang dalam melakukan aksi untuk menguak suatu informasi rahasia. Rekayasa sosial umumnya dilakukan melalui telepon atau Internet.

Rekayasa sosial merupakan salah satu metode yang digunakan oleh peretas untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. (https://id.wikipedia.org/wiki/Rekayasa_sosial_(keamanan))

Rekayasa sosial di sini berbeda dengan istilah rekayasa sosial dalam Sosiologi.
Cara kerjanya sebenarnya mirip dengan phising, pengelabuan, tapi ini lebih ke teknik memengaruhi psikologi pengguna.

Contoh dari social engineering adalah dengan menelpon korban mengaku sebagai petugas bank, atau panitia undian, lalu memberitahu korban bahwa dirinya mendapat hadiah sejumlah uang. Syarat untuk mengambil harus memasukkan kode tertentu yang tanpa disadari ternyata itu kode transfer ke rekening tertentu.

Contoh
I.2.3.1. Mengirimkan sms ke nomor ponsel korban berisi pemeritahuan mendapat undian dan nomor telpon yang bisa dihubungi. Setelah korban menghubungi, akan pandu, dipengaruhi untuk data ke ATM, memasukkan kode tertentu yang dikatakan sebagai kode aktivasi, padahal transfer uang ke nomor rekening pelaku.

I.2.3.2. Pelaku menelpon calon korban mengaku sebagai dokter, mengabarkan ada salah satu anaknya mendapat kecelakaan, ada di rumah sakit, dan harus segera dioperasi. Dengan alasan darurat pelaku meminta uang untuk dana operasi, dll.

I.2.3.3. Pelaku menelpon calon korban mengaku teman atau saudara yang kena razia polisi. Pelaku yang menyaru sebagai polisi meminta uang kepada korban dengan alasan untuk melepaskan teman yang terkena razia. Budaya di masyarakat kita yang masih kental dengan “cara damai” kalau terkena razia menjadikan cara ini sering berhasil.

Metode memengaruhi korban ini yang disebut social engineering.

II. Tips aman menggunakan internet

Ini menjadi bagian dari digital safety yang nanti ada pembahasnya sendiri, jadi saya hanya akan membahas yang umum saja.

II.1. Yang harus dilakukan agar aman berinternet

1. Gunakan password yang kompleks. Password yang kompleks itu terdiri dari huruf kecil, huruf besar, angka, dan karakter. Password biasanya terdiri dari 8-12 karakter.
   Contoh: jQ9(dna!FY5.
2. Semakin komplek password semakin aman, tapi tidak ada salahnya kita atur ulang password secara berkala. Misalnya sebulan atau 3 bulan sekali.
3. Simpan password untuk diri sendiri
4. Bagikan foto, dokumen, video yang umum saja, jangan yang berupa informasi sensitif.
5. Update secara teratur aplikasi layanan. Dengan meng-update aplikasi akan menutup kelemahan yang ada di versi sebelumnya.
6. Bagi pengguna layanan seperti perbankan, marketplace, email, aktifkan fasilitas Two Step

Authentication. Fasilitas ini akan mengirimkan kode OTP (one time password) untuk transaksi penting, jadi ada tambahan keamanan untuk akun kita.

II.2. Jangan lakukan agar aman berinternet

1. Membagikan password ke orang lain.
2. Menggunakan password atau PIN sederhana, misalnya tanggal lahir, tanggal lahir pasangan, nama tempat tinggal, nama pasangan, apalagi nama sendiri. Kalau angka jangan gunakan angka yang berurutan, misalnya: 1234567, gunakan angka acak
3. Menyebarkan data pribadi, data penting di media sosial. Terkadang karena sedang senang, kita lupa, apa saja diunggah di media sosial. Misalnya baru mendapat kartu kredit, difoto lalu diunggah di Facebook menampilkan 16 angka nomor kartu kredit dan 3 angka nomor CVV (card verification value). Ini berbahaya. Dengan mengetahui nomor kartu kredit, orang jahat bisa memanfaatkan untuk bertransaksi

II.3. Cara Menghindari Phising

1. Cek Domain layanan asli

Baca dengan teliti link yang diberikan, lihat domainnya, bandingkan dengan domain perusahaan dari layanan yang asli. Untuk domain milik perusahaan biasanya dengan akhiran co.id. Domain ini hanya bisa diambil oleh perusahaan berbadan humum di Indonesia. Jadi yang mepunyai domain co.id, pasti berbadan hukum.

Contoh domain:
Domain induk : www.kantorku.co.id
sub domain : info.kantorku.co.id, lowongan.kantorku.co.id
email : info@kantorku.co.id

Misalnya diketahui domain yang asli dari layanan adalah kantorku.co.id, maka semua subdomain, email, biasanya menggunakan domain tersebut. Kalau domain berbeda dengan domain layanan yang asli, bisa dipastikan itu hoaks.

2. Cek di mesin pencari

Kita masukkan kata kunci dengan nama layanan tersebut, layanan asli biasanya ada di paling atas, pastikan domain sama dengan domain layanan resmi. Atau masukkan kata kunci “undian lazada hoax”. Maka akan muncul berita-berita serupa mengenai hoaks.

INGAT: tidak semua yang keluar dari hasil pencaria mesin pencari adalah benar. Ini hanya salah satu alat pembanding.

II.4. Menghindari Social engineering

Kalau mendapat telpon kemudian mengabarkan ada keluarga yang kecelakaan tentu kita semua akan panik. Jadi kuncinya, kontrol diri, jangan langsung bereaksi, bisa jadi telpon tersebut palsu.
Konfirmasi dulu, siapa yang menelpon, tanyakan yang mendapat kecelakaan siapa, usahakan jangan sebut nama. Penipu biasanya tidak tahu nama kita, mereka hanya mendapatkan no ponsel kita secara acak.

Dalam banyak kasus, pelaku tidak tahu nama kita, tidak bisa menyebut siapa saudara kita jadi kalau itu bisa dijadikan semacam “password”, untuk mendeteksi orang tersebut penipu atau bukan.

Kalau dia bisa menyebut nama kita dan keluarga dengan tepat, jangan langsung percaya, bisa saja mereka sudah mengantongi daftar nama keluarga kita.

II.5. Menghindari hoaks

1. Selalu cek berita yang diterima, dianalisa benar atau tidaknya
2. Lakukan pencarian berita pembanding di media lain terutama media arus utama. Kalau tidak ada, berita belum terpercaya. Kalau ada, bandingkan isinya
3. Kalau mau menyebarkan pertimbangkan juga manfaat dan mudharatnya