Rekayasa sosial (social engineering): teknik atau trik psikologis yang digunakan agar orang-

orang mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke
sebuah bangunan, komputer, server, atau jaringan. Biasanya untuk mendapatkan informasi yang
dibutuhkan untuk mendapatkan data rahasia.
Cisco melaporlam bahwa para pelaku memanfaatkan tujuh sifat manusia untuk menarik
seseorang agar mengungkapkan informasi atau melakukan tindakan tertentu:
1. Belas kasihan : Keinginan untuk membantu orang lain yang terlihat sangat
membutuhkan anda
2. Keserakahan : Orang yang cenderung bekerja sama jika mereka mendapatkan sesuatu
secara gratis atau mengira mereka sedang mendapatkan tawaran sekali dalam seumur
hidup
3. Data Tarik : Orang-orang cenderung bekerja sama dengan seseorang yang pandai
merayu atau dipandang “menarik”
4. Kemalasan : Beberapa orang ingin melakukan sesuatu dengan kerja keras, membuang
waktu, atau melakukan sesuatu yang tidak menyenangkan para pelaku memanfaatkan
kebiasaan dan kecenderungan malas kita
5. Kepercayaan : Orang-orang cenderung bekerja sama dengan orang yang dapat membuat
mereka percaya.
6. Urgensi : Perasaan atau kebutuhan mendesak yang harus dipenuhi mendorong
orang-orang untuk menjadi kooperatif dan membantu
7. Kesombongan : Orang-orang cenderung bekerjasama jika anda merasa sombong mereka
dengan mengatakan bahwa mereka akan menjadi lebih terkenal atau berhasil
Menetapkan prosedur dan kebijakan berikut dan melatih orang untu mengikutinya dapat
membantu meminimalkan rekayasa sosial:
1. Jangan pernah membiarkan orang-orang mengikuti anda ke bangunan yang terlarang.
2. Jangan log-in ke komputer lain, terutama jika anda memiliki akses administratif.
3. Jangan pernah memberikan informasi sensitif melalui telepon atau e-mail.
4. Jangan pernah membagikan kata sandi atau ID pengguna.
5. Waspadalah bila orang yang tidak anda kenal berusaha mendapatkan akses melalui anda.
Berbagai isu dan Teknik rekayasa social :
1. Pencurian identitas (identity theft): mengambil identitas seseorang, biasanya untuk
keuntungan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara
ilegal, seperti nomor Social Security, nomor rekening bank atau kartu kredit.
2. Pretexting: menggunakan skenario ciptaan (dalih) yang menciptakan legitimasi
(pernyataan sah) dalam pikiran target guna meningkatkan kecenderungan bahwa si
korban akan membocorkan informasi atau melakukan sesuatu. Sebuah pendekatan yang
digunakan oleh para pretexter adalah berpura-pura melakukan survei keamanan dan
mengecoh korban untuk menungkapkan informasi rahasia dengan mengajukan beberapa
bertanyaan biasa sebelum berlanjut ke pertanyaan rahasia seperti kata sandi.
3. Posing: menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambil
melakukan penjualan, tetapi tidak pernah mengirim barang.
4. Phishing: mengirimkan sebuah pesan elektronik seolah dari sebuah perusahaan yang sah,
biasanya institusi keuangan, dan meminta informasi atau verifikasi dari informasi serta
sering memberi peringatan mengenai konsekuensi negatif bila permintaan tersebut tidak
dipenuhi. Permintaannya palsu dan informasi yang dikumpulkan digunakan untuk
melakukan pencurian identitas atau untuk mencuri dana dari rekening korban.
5. Vishing: phising suara; seperti phising hanya saja korban memasukkan data rahasia
melalui telepon.
6. Carding: kegiatan yang dilakukan pada kartu kredit curian, termasuk melakukan
pembelian kecil secara online untuk memastikan apakah kartu masih valid serta membeli
dan menjual nomor kartu kredit curian.
7. Pharming: mengarahkan lalu lintas situs web ke situs web palsu.
8. Evil twin: sebuah jaringan nirkabel dengan nama yang sama (disebut Server Set
Identifier) seolah menjadi sebuah titik akses nirkabel yang sah. Pengguna tersambung
dengannya karena ia memiliki sinyal nirkabel yang lebih kuat atau evil twin mengganggu
atau menonaktifkan titik akses yang sah. Para pengguna tidak menyadari bahwa mereka
tersambug ke evil twin dan si pelaku mengawasi lalu lintas untuk mencari informasi
rahasia.
9. Typosquatting/pembajakan URL (URL hijacking): menyiapkan situs web dengan nama
sama sehingga pengguna membuat kekeliruan tipografis ketika memasukkan nama situs
web yang akan dikirim ke situs yang tidak valid.
10. Pengganti kode batang QR (QR barcode replacements): pelaku penipuan menyamarkan
kode Quick Response valid dengan stiker yang mengandung kode QR pengganti untuk
mengecoh orang-orang ke dalam situs yang tidak diinginkan yang menginfeksi
teleponnya dengan malware.
11. Tabnapping: secara diam-diam mengubah tab dari browser yang dibuka untuk
mendapatkan ID dan kata sandi pengguna ketika korban masuk kembali ke dalam situs.
12. Scavenging/dumpster diving: mencari dokumen dan catatan untuk mendapatkan akses ke
informasi rahasia. Metodenya meliputi pencarian kaleng sampah, kotak sampah komunal,
dan tempat pembuangan sampah kota.
13. Bahu berselancar (shoulder surfing): ketika pelaku mengintip melalui bahu seseorang di
tempat umum untuk mendapatkan informasi seperti nomor PIN ATM atau ID pengguna
dan kata sandi.
14. Loop Lebanon (Lebanese looping): menyisipkan lengan baju ke dalam ATM yang
mencegah ATM mengeluarkan kartu. Pelaku berpura-pura menawarkan bantuan,
mengecoh korban dengan memasukkan PIN lagi. Sekalinya korban menyerah, pencuri
mengambil kartu dan menggunakan kartu serta PIN untuk melakukan penarikan.
15. Skimming: penggesekan ganda kartu kredit pada terminal yang sah atau menggesekkan
kartu secara diam-diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam
data kartu kredit untuk penggunaan berikutnya.
 16. Chipping: berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil yang
merekam data transaksi pada sebuah pembaca kartu yang sah. Chip tersebut kemudian
dipindahkan untuk mengakses data yang terekam di dalamnya.
17. Menguping (eavesdropping): mendengarkan komunikasi pribadi atau menyadap ke dalam
transmisi data yang ditunjukan kepada orang lain. Salah satu cara untuk memotong sinyal
adalah dengan menyiapkan penyadapan.

Meningkatnya serangan rekayasa sosial dan phishing email telah memicu peningkatan insiden
profil tinggi, dengan korban-korbannya antara lain:

 Blackrock
Manajer aset terbesar dunia menjadi korban dalam serangan oleh aktivis lingkungan yang
menipu The Financial Times dan CNBC. Aktivis mengirimkan siaran pers palsu yang
sangat meyakinkan yang mengatakan bahwa perusahaan itu berputar ke portofolio
pencinta lingkungan, sehingga menyebabkan kehebohan singkat.
 Cryptocurrency
Para pengguna dompet digital untuk cryptocurrency yang dikenal sebagai Ethereum
menerima serangan phishing yang disamarkan sebagai pesan kesalahan palsu. Bentuknya
berupa email yang mendorong pengguna untuk menginstal tambalan. Nyatanya, justru
tautan terlampir akan benar-benar mengarahkan mereka ke versi perangkat lunak dompet
yang disusupi, yang memungkinkan penyerang memanen pendapatan digital mereka.
 Agen Intelijen
Di tahun 2015, seorang peretas remaja mampu menghubungi Verizon, mencari informasi
pribadi milik John Brennan – direktur CIA saat itu – dan mencuri akses ke alamat email
AOL-nya. Alamat email ini kebetulan berisi informasi sensitif, termasuk rincian dari
proposal direktur terkait izin keamanan. Peretas itu bahkan sempat berbicara singkat
dengan direktur Brennan di telepon. Butuh waktu lebih dari dua tahun sampai si
penyerang ditemukan dan ditangkap.

Berikut adalah hal-hal yang biasa disarankan kepada mereka yang merupakan pemangku
kepentingan aset-aset informasi penting perusahaan, yaitu:
 Selalu hati-hati dan mawas diri dalam melakukan interaksi di dunia nyata maupun di
dunia maya. Tidak ada salahnya perilaku “ekstra hati-hati” diterapkan di sini mengingat
informasi merupakan aset sangat berharga yang dimiliki oleh organisasi atau perusahaan;
 Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan
mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya, untuk
mengurangi insiden-insiden yang tidak diinginkan;
 Belajar dari buku, seminar, televisi, internet, maupun pengalaman orang lain agar
terhindar dari berbagai penipuan dengan menggunakan modus social engineering;
  Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait mengenai
pentingnya mengelola keamanan informasi melalui berbagai cara dan kiat;
 Memasukkan unsur-unsur keamanan informasi dalam standar prosedur operasional
sehari-hari – misalnya “clear table and monitor policy” – untuk memastikan semua
pegawai melaksanakannya; dan lain sebagainya.
Selain usaha yang dilakukan individu tersebut, perusahaan atau organisasi yang bersangkutan
perlu pula melakukan sejumlah usaha, seperti:
 Melakukan analisa kerawanan sistem keamanan informasi yang ada di perusahaannya
(baca: vulnerability analysis)
 Mencoba melakukan uji coba ketangguhan keamanan dengan cara melakukan
“penetration test”
 Mengembangkan kebijakan, peraturan, prosedur, proses, mekanisme, dan standar yang
harus dipatuhi seluruh pemangku kepentingan dalam wilayah organisasi
 Menjalin kerjasama dengan pihak ketiga seperti vendor, ahli keamanan informasi,
institusi penanganan insiden, dan lain sebagainya untuk menyelenggarakan berbagai
program dan aktivitas bersama yang mempromosikan kebiasaan perduli pada keamanan
informasi.
 Membuat standar klasifikasi aset informasi berdasarkan tingkat kerahasiaan dan nilainya.
 Melakukan audit secara berkala dan berkesinambungan terhadap infrastruktur dan
suprastruktur perusahaan dalam menjalankan keamanan inforamsi; dan lain sebagainya.

DAFTAR PUSTAKA
Marshall B. Romney dan Paul John Steinbart. 2015. Sistem Informasi Akuntansi Edisi 13.
Jakarta :Salemba Empat
Ilham Aditya Gnw. 2019. Teknik Penipuan dan Penyalahgunaan Komputer (online)
http://ilhamadityagnw.blogspot.com/2019/01/bab-6-teknik-penipuan-dan.html, (diakses pada 19
september 2020)
Itg.id. 2015. Tips dan Trick Menghindari Social Engineering Hacking (online).
https://itgid.org/tips-dan-trik-menghindari-social-engineering-hacking, (diakses pada 19
september 2020)
Safetydetectives. 2019. Apa Itu Rekaya Sosial dan Mengapa Menjadi Ancaman (online)
https://id.safetydetectives.com/blog/apa-itu-rekayasa-sosial-dan-mengapa-dia-menjadi-ancaman,
(diakses pada 19 september 2020)