Kemajuan era digital berdampak terhadap ancaman keamanan data. Dilansir hukumku.id, ancaman kejahatan digital atau siber (cyber crime) dengan berbagai bentuk seperti phising, pencurian data, penjualan data, penggunaan data tanpa izin, hingga penguntitan (stalking). Situasi ini memicu keresahan masyarakat karena mengancam keamanan pribadi.
Kejahatan siber yang marak terjadi adalah phising, sebuah penipuan untuk mencuri informasi yang sifatnya sensitif. Dian Rachmawati dalam Ardi Saputra Gulo (2020) menyebutkan bahwa phising merupakan teknik penipuan dengan tujuan mendapatkan informasi yang sensitif, menyamar sebagai entitas yang legal/legitimate organization. Kejahatan phising dilakukan oleh oknum dengan menghubungi kita sebagai calon korbannya melalui email, telepon, atau pesan teks dengan mengaku dari lembaga sah (Sina, 2021), hasil perolehan data tersebut kemudian akan digunakan untuk tujuan kejahatan. Singkatnya, motif phising adalah penyalahgunaan data pribadi.
Modus utama phising melalui narasi bantuan sosial dan lowongan pekerjaan yang dihubungkan dengan penawaran fantastis dengan persyaratan yang mudah. Ada dua alasan utama mengapa bantuan sosial dan lowongan pekerjaan menjadi bahan utama phising, yakni emosi dan peluang.
Emosi berkaitan dengan daya tarik emosional dan kebutuhan mendesak masyarakat cenderung memaksa terutama ketika kesulitan ekonomi, kemudian memanipulasi emosi dan menciptakan suatu alasan yang mendesak. Kedua, menurut Hasanudin (2024), melalui manipulasi emosional yang bersifat mendesak, meningkatkan peluang besar untuk kemudahan menarget korban dan memberikan informasi kepada pelaku kejahatan. Apalagi ditambah dengan iming-iming persyaratan yang terbilang mudah dan menjanjikan uang tunai yang besar dan menggiurkan, korban pun akan menurunkan kewaspadaan, dan seketika akan mengabaikan tanda-tanda penipuan. Itulah penyebab kelompok masyarakat yang rentan secara ekonomi menjadi sasaran utama phising.
Kejahatan phising biasanya menyebarkan tautan (link), dilakukan dengan menduplikat situs web atau aplikasi bank atau provider (Sina, 2021). Alasannya, penggunaan tautan cenderung lebih mudah mengelabui korban, apabila korban tidak melihatnya secara teliti. Menurut Wahyuni (2023), pelaku akan menyiapkan website palsu untuk melakukan aksinya, mulai dari mendesain website palsu, memilih domain yang mirip dengan domain asli hingga menyiapkan konten dengan tulisan yang meyakinkan. Halaman website akan dibentuk dan dimanipulasi sedemikian rupa agar tampak seperti halaman website resmi dan berasal dari sumber terpercaya, begitupun dengan alamat tautan hanya diganti pada beberapa huruf dan subdomain dari alamat tautan situs asli. Hal ini, diupayakan sebagai bentuk pengalihan ke situs palsu, kemudian meningkatkan kemungkinan korban mengklik tautan tersebut tanpa kecurigaan sedikitpun untuk mengisi sejumlah data pribadi. Selain itu, dengan tautan yang mirip, memungkinkan link dapat terhindar dari deteksi oleh filter keamanan dan meningkatkan peluang keberhasilan aksi pelaku.
Pada halaman website palsu, korban akan diminta untuk mengisi beberapa pertanyaan tentang data pribadi yang bersifat sensitif. Data pribadi diantaranya nama lengkap, Nomor Induk Kependudukan (NIK), alamat rumah, nama ibu kandung, riwayat kesehatan (Sina, 2021). Selain itu, nomor telepon, alamat email, nama pengguna, kata sandi, riwayat pesanan dan pembayaran, informasi kartu kredit dan sebagainya (Pertiwi, et. al., 2020). Apabila data-data tersebut mengalami kebocoran maka terjadi berpotensi terjadinya penyalahgunaan data yang menimbulkan kerugian seperti hacking, spamming email, tindak penipuan, penyadapan data, dan lain-lain (Aswandi, R dalam Akmal, R, 2022).
Alur penipuan phising biasanya pelaku mengambil alih akun media sosial korban, seperti pada telegram. Pelaku akan menargetkan korban dengan cara menyebar tautan di media sosial mengatasnamakan lembaga/organisasi resmi. Kemudian apabila korban terpancing untuk mengklik tautan yang telah disebarkan dan korban telah menyerahkan data pribadinya, pelaku akan menyamar sebagai utusan perusahaan/organisasi resmi untuk menghubungi korban via telepon, email, atau SMS, ketika berbincang dengan korban, pelaku akan menyebutkan informasi pribadi korban dengan dalih verifikasi data pribadi korban, untuk menambah keyakinan korban bahwa pelaku merupakan utusan resmi. Padahal, informasi yang diketahui pelaku berasal dari link yang diisi korban sendiri. Kemudian, pelaku akan meminta kode OTP melalui SMS kepada korban dengan alasan untuk verifikasi ulang. Apabila pelaku mendapatkan akses kode OTP tersebut, pelaku akan dapat langsung mengakses akun telegram korban pula. Pasalnya, akun telegram ini sering kali terhubung dengan akun-akun lain, seperti Whatsapp, Google, Mobile Banking, dan sebagainya. Dengan akun Telegram tersebut, pelaku dapat meretas akun berbagai platform lain, terutama apabila korban memakai nomor yang sama.
Apabila pelaku kejahatan sudah menguasai data pribadi korban, tak hanya mengambil alih akun media sosial milik korban, tetapi resiko melakukan transaksi keuangan, mencuri uang, mengajukan pinjaman, ataupun tindakan lain yang mengakibatkan kerugian finansial (Wiranata, 2024). Selain itu, risiko penggunaan nama korban untuk menipu orang lain dalam kontak milik korban, bahkan bisa saja digunakan untuk memeras korban dengan mengancam akan menyebarkan informasi pribadinya atau menjual data pribadi tersebut ke pasar gelap (dark web).
Penulis: Laila Fasya (Mahasiswi Magang di Jabar Saber Hoaks, Jurusan Jurnalistik UIN Sunan Gunung Djati Bandung)