Bisnis.com, JAKARTA - Pakar keamanan siber Pratama Persadha berharap kasus kejahatan siber berupa phising yang tengah dialami beberapa pengguna perusahaan pembiayaan digital penyedia bayar tunda (BNPL/paylater) PT FinAccel Finance Indonesia alias Kredivo, menjadi pelajaran berharga buat pemerintah dan masyarakat Indonesia.
Sekadar informasi, para pengguna Kredivo menjadi korban penipuan oleh hacker setelah dihubungi via telepon, dengan berdalih memberikan promo, bonus, atau hadiah. Tak lama kemudian, yang didapat para korban justru tagihan paylater membengkak atas pembelian barang via platform dagang-el (e-commerce) Bukalapak.
Menurut Pratama, kasus ini menjadi gambaran rendahnya cyber security awareness di Indonesia, yang sudah terkenal menjadi target serangan siber global paling potensial, menjadi sasaran 'paling empuk'.
Terlebih, dari sisi penyelenggaraan negara, belum ada fundamental hukum berupa undang-undang perlindungan data pribadi, ditambah lagi budaya terkait penciptaan kesadaran akan keamanan siber belum terbentuk.
"Pendekatan bottom up dan kultural lewat pendidikan, serta edukasi teknologi itu hampir tidak ada. Di kurikulum pendidikan kita juga tidak ada yang mengajarkan bagaimana berinternet yang sehat, aman, dan produktif. Apalagi yang berkaitan jasa keuangan digital," jelasnya, Senin (27/12/2021).
Adapun, dari sisi masyarakat selaku korban, pria yang aktif di Communication & Information System Security Research Center alias CISSReC menjelaskan memang mereka salah karena membagikan pin atau kode one time password (OTP) sembarangan.
Baca Juga
Namun, korban juga tak bisa disalahkan secara penuh, karena pelaku sudah pasti menggunakan pendekatan rekayasa sosial alias sosial engineering, dan para oknum pasti telah memiliki bekal memanfaatkan kebocoran data pribadi.
"Dalam kasus ini, data file yang bocor dapat dimanfaatkan oleh pelaku kejahatan dengan melakukan phishing, bisa menyasar email, WhatsApp, Telegram, SMS. Resikonya bertambah besar selain karena diketahui nomor seluler, itu nama ibu kandung, bahkan riwayat transaksi di suatu platform terkait. Para pelaku bisa membuat pesan yang lebih meyakinkan saat mengaku sebagai pihak dari lembaga jasa keuangan tertentu," jelasnya.
Secara umum, Pratama menjelaskan bahwa phising memang metode paling banyak dilakukan dan cukup berhasil untuk meretas, maupun mengambil alih akun korban di sebuah platform digital.
Namun, perlu diingat, sekadar phising 'coba-coba' jelas tidak akan terlalu manjur, kecuali pelaku telah memiliki bekal informasi lain yang bisa mendukung aksinya.
"Sekarang ini yang perlu diantisipasi, pelaku dapat menggabungkan informasi dari beragam kasus kebocoran data di platform atau website lain, contohnya mulai dari e-commerce tertentu, lembaga keuangan tertentu, sampai BPJS atau KPU, untuk membuat profil terperinci terkait calon korban. Dengan informasi seperti itu, serangan phising dan social engineering itu jauh lebih meyakinkan, bisa jadi yang sudah punya awareness pun tetap bisa tertipu," tutupnya.