Penipuan dengan cara mengelabui calon korban untuk mendapatkan data pribadi, atau dikenal phising, marak terjadi di Indonesia. Hal ini memacu sejumlah perusahaan rintisan, khususnya bidang keuangan dan yang mengelola data banyak pengguna, untuk mengadopsi beragam teknologi.
Kepolisian mencatat ada 649 laporan terkait penipuan online sejak awal tahun ini. Selain itu, 39 aduan mengenai pencurian data dan 18 peretasan sistem elektronik.
Ada beberapa kasus phising dengan modus rekayasa sosial (social engineering) di Tanah Air. Yang terbaru, sejumlah pengguna layanan Jenius mengaku ditipu oleh seseorang mengatasnamakan perusahaan.
Pelaku menggunakan fitur PopCall sebelum menelepon korban, supaya panggilan seolah-olah resmi. Selanjutnya, penipu berpura-pura menjadi petugas Jenius dan menanyakan data diri pengguna. Informasi ini akan digunakan untuk masuk ke akun target.
PopCall adalah layanan untuk menampilkan teks pada layar ponsel penerima panggilan, yang muncul sesaat sebelum telepon berdering. Beberapa perusahaan telekomunikasi menyediakan fitur ini, salah satunya Telkomsel.
Itu merupakan salah satu cara penipuan dengan modus phising, yang juga dikenal manipulasi psikologis (magis). “Faktor penentunya ada pada pengguna, untuk dapat mengamankan diri dari segala bentuk penipuan,” ujar Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Kamis lalu (8/10).
Namun, berdasarkan Global World Digital Competitiveness Index yang dirilis oleh Institute for Management Development (IMD), literasi digital Indonesia menempati urutan 56 dari 63 negara.
Di satu sisi, pengguna layanan keuangan berbasis digital terus meningkat, khususnya saat pandemi corona. Berdasarkan data Bank Indonesia (BI), transaksi digital meningkat 37,8% dibandingkan sebelum adanya pegebluk Covid-19.
Penggunaan uang elektronik juga naik 65%, sebagaimana Databoks di bawah ini:
Tingginya penggunaan layanan di saat literasi digital masyarakatnya rendah dapat mendorong pelaku kejahatan siber melakukan phising. “Masyarakat, terutama usia lanjut yang tidak paham digital, bisa dengan mudah terjebak penipuan,” kata Pratama.
Kondisi tersebut mendorong beberapa perusahaan untuk berinovasi dalam hal teknologi guna memitigasi penipuan magis. Gojek misalnya, menerapkan kecerdasan buatan (Artificial Intelligence/AI) hingga algoritme.
AI mempelajari kebiasaan pengguna. Dari data-data yang dipelajari, kecerdasan buatan mengidentifikasi berbagai jenis penggunaan aplikasi secara ilegal.
Penggunaan AI dan algoritme masuk dalam program Gojek SHIELD. Teknologi ini disematkan juga pada fitur keamanan berbasis biometrik, seperti sidik jari dan pengenalan wajah.
"Pelanggan dapat memilih opsi keamanan biometrik (sidik jari) atau verifikasi muka sebelum bertransaksi," kata Head of Corporate Affairs GoPay Winny Triswandhani dalam Serial Webinar Nasional bertajuk ‘Semangat Bulan Inklusi Finansial: Aman dan Nyaman Bertransaksi Online’, Kamis lalu (8/10).
Fitur verifikasi wajah diklaim dapat menjamin kesesuaian data dan informasi mitra pengemudi. Selain itu, bisa meningkatkan keamanan akun mitra dari potensi penyalahgunaan.
Pada akun mitra penjual (merchant), Gojek menerapkan keamanan berlapis yakni nomor identifikasi pribadi (PIN), kode verifikasi One-Time Password (OTP), dan fitur kelola pengguna GoBiz.
Sejumlah teknologi itu dikembangkan mengingat Gojek memiliki 20 lebih layanan, salah satunya terkait keuangan yakni GoPay. Aplikasinya juga sudah diunduh 190 juta kali, yang menjadi gambaran jumlah pengguna. Sedangkan mitra pengemudi mencapai dua juta dan penjual 500 ribu lebih.
Pesaingnya, yakni Grab juga mengadopsi AI. Perusahaan penyedia layanan on-demand asal Singapura ini menerapkan Grab Defence untuk memitigasi risiko kejahatan siber, termasuk penipuan magis.
Teknologi itu digunakan untuk mendeteksi dan mencegah kecurangan pada aplikasi. "Kami menjadikan keamanan dan keselamatan mitra pengemudi dan pelanggannya sebagai prioritas utama," kata juru bicara Grab Indonesia kepada Katadata.co.id, Rabu (7/10).
Grab juga mengaplikasikan verifikasi wajah bagi mitra pengemudi dan pengguna sejak tahun lalu. Decacorn ini memiliki sembilan juta mitra dan agen di delapan negara. Sedangkan aplikasinya diunduh 198 juta kali lebih.
Sederet teknologi tersebut diadopsi untuk memperkuat keamanan sistem, sehingga dapat memitigasi kerugian yang lebih besar. Internet Crime Complaint Center (IC3) mencatat, kerugian akibat kejahatan siber mencapai US$ 2,71 miliar pada 2018.
Algoritme juga dikembangkan oleh perusahaan e-commerce. Shopee menggunakan teknologi ini untuk mengidentifikasi transaksi hingga harga produk. "Susah kalau melihat satu per satu, jadi kami bangun algoritme," ujar Head of Public Policy and Government Relations Shopee Indonesia Radityo Triatmodjo, Maret lalu (12/3).
Bukalapak dan Tokopedia mengimplementasikan teknologi serupa. Hal ini memungkinkan mereka menganalisis ada tidaknya kecurangan di platform, termasuk penjualan produk yang melanggar peraturan.
Selain startup, aplikasi besutan raksasa teknologi global seperti WhatsApp tidak luput dari incaran pelaku kejahatan siber. Pada Juli lalu, beberapa pengguna WhatsApp mendapatkan notifikasi ketika mencoba masuk ke platform.
Notifikasi itu meminta pengguna untuk memilih verifikasi akun atau opsi 'Ok'. Pakar keamanan siber di Vaksincom Alfons Tanujaya mengatakan, pesan seperti itu bisa saja menandakan bahwa akun WhatsApp sudah diretas.
Ketika memilih opsi 'Ok', pengguna memberikan izin kepada peretas (hacker) untuk menguasai akun. Tanpa pemahaman digital yang baik, calon korban berpotensi mengeklik ‘Ok’.
Namun, WhatsApp sudah menyediakan fitur autentikasi dua faktor (two-factor authentication) untuk memitigasi upaya peretasan. Keamanan berlapis ini meliputi PIN dan kode OTP.
Perusahaan asal Amerika Serikat (AS), Microsoft mencatat bahwa penipu mulai beralih dari malware ke phising pada tahun ini. Mereka menyesuaikan modus dengan tema umpan yang menjadi perhatian banyak orang, seperti virus corona.
Data kepolisian pun menunjukkan, penipuan online berada pada urutan atas yang paling banyak dilaporkan, sebagaimana tecermin pada Databoks di bawah ini:
Laporan The International Criminal Police Organization (Interpol) pada 2020 pun menunjukkan, Asia Tenggara menjadi sasaran penjahat siber dengan modus magis. Pasar Indonesia yang paling diincar, sebagaimana terlihat pada Databoks berikut:
Di tengah pandemi corona, penipuan dengan modus magis pun kian marak. Berdasarkan laporan ISACA berjudul Global State of Cybersecurity 2020: Threat Landscape and Security Practices, kejahatan siber dengan modus magis mencapai 15% dari total.
Penipuan online kian marak ketika layanan berbasis digital semakin sering digunakan selama pandemi Covid-19. Platform yang dimaksud terlihat pada Databoks di bawah ini:
Modusnya beragam. Selain PopCall, contoh lainnya yakni Maia Estianty pernah ditipu menggunakan fitur pengalihan panggilan (call forward). Sekalipun Maia tak memberikan kode OTP, pelaku tetap dapat menerima semua SMS yang masuk ke ponsel selebritas itu.
CEO NTT Ltd Indonesia Hendra Lesmana sempat menyampaikan, kode OTP tak cukup untuk melindungi sistem. Ia menyarankan startup, terutama teknologi finansial (fintech) pembayaran untuk menerapkan keamanan berlapis berbasis biometrik.”Sidik jari atau retina mata itu cara yang aman,” katanya pada Januari lalu (31/1).
Hal senada disampaikan oleh SVP Strategic Partnerships DOKU Alison Jap. Namun, perusahaan harus mengajukan izin dan bekerja sama dengan Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri (Kemendagri) untuk dapat mengakses data biometrik.
“Datanya sudah ada, tetapi akses ke Dukcapil yang tidak mudah. Apalagi kalau startup-nya skala kecil,” kata Alison, Januari lalu.
Sedangkan Adjunct Researcher Centre for Digital Society (CfDS) Tony Seno Hartono mengatakan, perusahaan digital perlu mengedukasi pengguna dan mitranya. "Misalnya, diberikan pengetahuan mengenali satu perintah yang tidak umum di platform dan membuat sandi yang sulit ditebak," katanya alam diskusi virtual #AmanBersamaGojek, akhir September lalu (30/9).