Manipulasi Psikologis Siber

Pemicu Psikologis yang Dimanfaatkan Peretas – Alih-alih membobol firewall atau meretas sistem yang rumit, penjahat siber saat ini lebih suka “meretas” pikiran manusia.

Teknik ini dikenal sebagai Social Engineering (Rekayasa Sosial). Menurut laporan investasi data 2025, elemen manusia berperan dalam sekitar 60% dari seluruh kebocoran data global.

Contoh nyata terjadi pada akhir 2024, di mana CEO perusahaan keamanan cloud senilai $12 miliar menjadi target skema deepfake suara.

Penjahat menggunakan AI untuk meniru suara sang CEO dan mengirim pesan suara kepada karyawan agar memberikan akses login.

Beruntung, karyawan curiga karena nada bicara AI tersebut berbeda dengan gaya bicara asli sang CEO di kehidupan sehari-hari.

8 Pemicu Psikologis yang Dimanfaatkan Peretas

Penjahat siber memanfaatkan emosi dan perilaku alami manusia untuk menipu:

1. Otoritas: Menyamar sebagai bos, polisi, atau pejabat pemerintah agar korban merasa harus patuh.
2. Urgensi & Ketakutan: Memberikan tekanan waktu (misal: “Akun akan dihapus dalam 30 menit”) agar korban panik dan tidak berpikir panjang.
3. Rasa Suka & Keakraban: Membangun hubungan lewat hobi atau minat yang sama untuk menumbuhkan rasa percaya.
4. Bukti Sosial: Mengklaim bahwa “semua karyawan lain sudah melakukannya” agar korban merasa aman mengikuti arus.
5. Kelelahan Kognitif: Menyerang saat jam sibuk atau larut malam ketika kemampuan berpikir kritis seseorang sedang menurun.
6. Komitmen & Konsistensi: Memulai dengan permintaan kecil yang tidak berbahaya, lalu perlahan meminta hal yang besar.
7. Simpati: Menyamar sebagai orang yang sedang kesusahan atau badan amal.
8. Kebiasaan: Meniru format email atau invoice standar perusahaan agar terlihat rutin.

Teknik Social Engineering Online vs. Offline

Rekayasa sosial tidak terbatas pada dunia digital, ia berkembang pesat di lingkungan online dan offline. Penyerang menyesuaikan metode mereka untuk mengeksploitasi psikologi manusia di mana pun interaksi terjadi.

Serangan Rekayasa Sosial Offline

Metode offline terjadi di lingkungan fisik sehari-hari. Contohnya meliputi:

• Menguntit: Seorang penyerang, yang terlihat dan berperilaku seperti orang yang berhak, memulai percakapan dengan seorang karyawan yang memiliki akses lencana ke gedung yang aman dan kemudian menyelinap masuk di belakang mereka.
• Peniruan Identitas: Berpura-pura menjadi tukang reparasi, membawa bunga, atau melakukan pengiriman adalah metode yang efektif untuk mendapatkan akses ke suatu lokasi. Kemampuan untuk “berakting,” baik secara digital maupun secara langsung, adalah komponen kunci.
• Penyerahan Perangkat Fisik: Penyerang terkadang meninggalkan perangkat (seperti USB drive) di area publik, seperti tempat parkir, dengan judul yang menarik untuk membangkitkan rasa ingin tahu. Dan jika seorang karyawan yang tidak curiga menghubungkannya ke mesin kerja, itu dapat memberikan jalur langsung bagi penyerang untuk menyusup ke sistem internal.
• Mengintip dari Belakang (Shoulder Surfing): Mengamati seseorang memasukkan kata sandi atau PIN di tempat umum.

Serangan Social Engineering Online

Metode digital melibatkan memulai percakapan melalui email, aplikasi obrolan, atau media sosial, atau mengirimkan konten yang ditargetkan untuk menipu seseorang agar mengklik sesuatu. Metode ini mencakup semua serangan berbasis phishing:

• Phishing: Ini adalah bentuk serangan rekayasa sosial di mana penyerang mencoba mendapatkan akses ke kredensial login, mendapatkan informasi rahasia, atau mengirimkan malware. Phishing berakar pada penipuan kuno, yang kini diperkuat oleh teknologi.
• Spear Phishing: Bentuk phishing yang ditargetkan pada individu, organisasi, atau bisnis tertentu. Kampanye phishing tipikal tidak menargetkan korban secara individual – kampanye tersebut dikirim ke ratusan ribu penerima.
• Smishing/Vishing: Menggunakan SMS (pesan teks) atau panggilan suara, masing-masing, seringkali memanfaatkan rasa iba dan ketakutan, seperti penipuan umum “Bu, saya dalam masalah, saya butuh bantuan” yang menargetkan orang tua.
• Pretexting: Pendekatan yang lebih rumit dan sabar dibandingkan dengan phising tradisional. Serangan ini didasarkan pada skenario yang dibuat-buat namun meyakinkan untuk menipu korban agar mengungkapkan informasi sensitif atau melakukan tindakan tertentu.
• Business Email Compromise (BEC): Jenis serangan rekayasa sosial yang canggih yang bergantung pada kemampuan untuk menyamar sebagai seseorang di dalam perusahaan atau mitra eksternal yang tepercaya. Kampanye BEC sangat ditargetkan pada peran tertentu, seringkali eksekutif atau karyawan di bidang akuntansi/keuangan, dan mungkin melibatkan penggunaan AI untuk menghasilkan deepfake untuk panggilan konferensi video guna menipu korban.
• Penipuan Dukungan Teknis: Penyerang mencoba menjual layanan palsu, menghilangkan masalah yang tidak ada, atau memasang solusi akses jarak jauh ke perangkat korban dan mendapatkan akses tidak sah ke data mereka.

Peran AI dalam Penipuan Modern

Teknologi AI telah mengubah penipuan massal yang dulu penuh kesalahan tata bahasa menjadi serangan yang sangat personal dan sempurna.

Laporan tahun 2025 menunjukkan bahwa 80% email phishing kini menggunakan bantuan AI untuk meniru gaya bahasa dan membuat konten deepfake yang sulit dibedakan dari aslinya.

5 Langkah Bertahan

1. Perlambat Ritme: Jika ada permintaan yang sangat mendesak, itu adalah tanda bahaya utama. Institusi resmi tidak akan memaksa Anda mengambil keputusan dalam hitungan menit.
2. Verifikasi Jalur Lain: Jika bos Anda mengirim pesan teks meminta transfer uang, hubungi dia melalui telepon atau saluran resmi lainnya untuk memastikan.
3. Jangan Bagikan Kode Apapun: Tidak ada bank atau tim IT yang akan meminta kode OTP (MFA), PIN, atau kata sandi Anda.
4. Curigai Permintaan Rahasia: Jika seseorang meminta Anda merahasiakan sebuah transaksi dari atasan atau bank, itu adalah tanda manipulasi.
5. Gunakan MFA yang Kuat: Gunakan aplikasi autentikator atau kunci keamanan fisik daripada SMS, karena SMS lebih mudah disadap.

Sumber berita:

WeLiveSecurity