Festival Promo Belanja Bertebaran, Sudahkah Sandi Akun Anda Aman?
Menjelang akhir tahun, festival belanja daring yang ditandai dengan aneka promo dan diskon bermunculan. Berbagai potensi kejahatan siber muncul, seperti peretasan sandi untuk mengambil data pribadi. Amankah akun Anda?
Menjelang akhir tahun, berbagai promo belanja daring selalu semarak, seperti penawaran diskon 10.10 (10 Oktober), Hari Lajang 11.11 (11 November), dan Hari Belanja Online Nasional 12.12 (12 Desember). Namun, di balik semarak itu, ancaman kejahatan siber ikut mengintai.
Ancaman kejahatan siber yang masih paling banyak muncul, kata Chairman Communication and Information System Security Research Center (CISSReC) Pratama Persadha, yaitu social engineering atau mengelabui/memanipulasi korban agar bisa mendapatkan informasi data-data pribadi untuk memperoleh akses yang diinginkan.
Kejahatan itu dilakukan melalui phising surat elektronik, layanan pesan singkat (SMS), akun pesan instan, dan media sosial. Dengan phising, pelaku menyamar sebagai orang atau organisasi toko daring yang berwenang agar memperoleh informasi pribadi, antara lain sandi, identitas akun, dan data sensitif OTP (one time password). Setelah itu, pelaku kejahatan leluasa menguasai akun toko daring milik korban.
”Persoalan keamanan sandi selalu berulang. Sayangnya, kesadaran warga sebagai pengguna internet sekaligus konsumen platform perdagangan secara elektronik atau e-dagang terhadap keamanan sandi tidak banyak berubah,” ujarnya saat dihubungi di Jakarta, Minggu (7/11/2021).
Sebanyak 58 persen masyarakat perkotaan tidak pernah mengganti sandi akun aset digital mereka.
Pada 2017, hasil penelitian CISSReC menunjukkan, 58 persen masyarakat perkotaan tidak pernah mengganti sandi akun aset digital mereka, seperti surat elektronik dan media sosial. Pada saat bersamaan, 66 persen tidak percaya bahwa lokapasar nasional cukup aman dari peretasan.
”Phising menjadi metode paling banyak dilakukan pelaku kejahatan siber dan cukup berhasil meretas ataupun mengambil alih akun konsumen di platform digital untuk berbelanja,” ujar Pratama.
Baca Juga: Selain RUU Perlindungan Data Pribadi, Infrastruktur Keamanan Siber Juga Berperan Krusial
Survei terbaru Google bersama agensi riset pasar YouGov pada September 2021 kepada 13.870 pengguna internet berusia 18 tahun ke atas di 11 negara Asia Pasifik, termasuk Indonesia, juga masih menunjukkan fenomena perilaku yang senada. Dua dari tiga pengguna internet di Indonesia mengaku pernah mengalami kebocoran data pribadi, tetapi 89 persen pengguna mempertahankan kebiasaan memakai sandi yang lemah.
Sebanyak 79 persen responden menggunakan sandi yang sama untuk beberapa laman. Satu dari dua responden di Indonesia juga mengaku memakai sandi yang mudah ditebak, seperti tanggal penting, nama hewan peliharaan, dan kode pos. Dari survei Google dan YouGove itu juga ditemukan, 40 persen responden melakukannya karena takut lupa dan 30 persen lainnya mengaku lebih praktis.
Fenomena itu juga ditemukan di tingkat global. Survei perusahaan penyedia aplikasi pengelola sandi, Bitwarden, yang dilakukan Mei 2021, menunjukkan, hampir dua per tiga orang masih mengandalkan memori untuk mengingat sandi. Dengan kata lain, mereka masih lebih suka membuat sandi yang gampang diingat dibandingkan dengan mempertimbangkan keamanan. Pengelolaan sandi pun masih sederhana, yakni kebanyakan ditaruh di catatan fisik dan dokumen di komputer.
”Pengguna internet yang menggunakan sandi yang sama di beberapa platform digital mulai dari alamat surat elektronik, media sosial, hingga laman belanja akan dua kali lipat lebih berisiko mengalami pencurian data pribadi keuangan,” kata Product Marketing Manager Google Indonesia Amanda Chan pekan lalu dalam konferensi pers.
Selain masih rendahnya kesadaran memiliki sandi yang aman, Amanda menyampaikan, masih ada yang suka membagi-bagikan sandi kepada orang lain. Dari survei Google dan YouGove, tiga dari lima responden di Indonesia mengaku membagikan sandi platform pemutaran video secara langsung (streaming), aplikasi pesan-antar makanan, dan toko daring kepada teman dan keluarga.
Apabila mengalami kejahatan siber, belum semua warga punya kebiasaan meningkatkan keamanan kepada dirinya sendiri. Amanda menyebut 95 persen responden belum mempergunakan perangkat lunak pengelola sandi atau password manager. Padahal, aplikasi ini bisa mendeteksi sandi yang berulang-ulang dipakai ataupun mengecek sandi yang sudah pernah dibobol penjahat siber.
Tiga dari lima responden di Indonesia mengaku membagikan sandi platform pemutaran video secara langsung (streaming), aplikasi pesan-antar makanan, dan toko daring kepada teman dan keluarga.
Baca Juga: Data Pribadi Kembali Bocor, RUU PDP Mendesak Disahkan
Membiasakan
Lalu, apa yang bisa mulai dilakukan oleh pengguna internet yang aktif berbelanja daring, tetapi masih memiliki sandi yang sekadar mudah diingat? Amanda menyarankan agar mulai membiasakan diri membuat sandi sulit ditebak dan lebih baiknya memiliki minimal delapan karakter kombinasi huruf, angka serta simbol.
Konsumen perlu mempertimbangkan memanfaatkan perangkat lunak pengelola sandi untuk membantu membuat, mengamankan, dan mencatat semua sandi yang dipakai mengakses toko daring ataupun layanan digital yang berbeda-beda.
Langkah kedua yang disarankan adalah membiasakan diri untuk menyiapkan otentikasi dua langkah. Ini akan sangat mengurangi kemungkinan orang lain mendapatkan akses tidak sah ke akun pribadi. Adapun langkah ketiga adalah membiasakan diri untuk rutin mengecek fitur pemeriksaan keamanan yang disediakan oleh aplikasi peramban (browser) sehingga bisa memperoleh rekomendasi langkah-langkah keamanan siber.
Pratama menyarankan agar pengguna internet membiasakan diri pula mengganti sandi, setidaknya enam bulan sekali. Saat ini, sudah banyak pula platform layanan digital menawarkan fitur pengingat agar penggunanya sudi mengubah sandi secara berkala.
Country Manager Trend Micro Indonesia Laksana Budiwiyono saat dihubungi pada Minggu memandang, pelatihan-pelatihan keamanan siber perlu digalakkan untuk masyarakat. Kalaupun sebuah organisasi perusahaan sudah berinvestasi besar di perangkat teknologi keamanan siber, manajemen tetap harus rutin menyelenggarakan kegiatan literasi digital.
”Praktik social engineering berupa phising bisa terjadi kapan saja. Maka, pelatihan literasi digital pun harus berkala. Dari pelatihan akan ketahuan berapa persen peserta yang masih percaya jika ada surat elektronik tidak dikenal, tetapi mengatasnamakan orang dan organisasi berwenang. Peserta seperti itu perlu dapat pelatihan ulang,” tuturnya.
Dia juga menyarankan, ketika tertarik dengan promo dan diskon festival belanja daring, pengguna internet sebaiknya membiasakan diri tidak bertransaksi memakai jaringan internet publik. Misalnya, fasilitas Wi-Fi publik dengan sandi yang tidak pernah diubah oleh pengelola fasilitas ataupun tidak ada kata sandi sama sekali. Hal seperti ini semakin menambah risiko ancaman kejahatan siber ke konsumen.
Bagi pemilik platform e-dagang, adanya bot herder merusak reputasi perusahaan. Pelanggan platform bersangkutan menjadi tidak percaya terhadap promo dan diskon selama festival belanja.
Reputasi perusahaan
Di luar ancaman kejahatan siber berupa social engineering terhadap konsumen, Pratama menyampaikan masih ada bentuk dominan lain yang mengintai. Sebagai contoh, praktik curang mengambil promo dan diskon yang ditawarkan perusahaan platform e-dagang memakai bots sehingga hanya bisa dinikmati segelintir orang atau bot herder. Praktik ini biasanya ketahuan ketika barang yang disediakan lekas habis dalam waktu singkat.
Associate Vice President Information Security Blibli Ricky Setiadi saat menghadiri diskusi virtual Bulan Inklusi Keuangan 2021, Senin (1/11/2021), seperti dikutip dari Kompas.com, mengatakan, selain phising, bot herder menjadi ancaman kejahatan siber terbanyak. Bagi pemilik platform e-dagang, adanya bot herder merusak reputasi perusahaan. Pelanggan platform bersangkutan menjadi tidak percaya terhadap promo dan diskon selama festival belanja.
Mengutip Cyberhoot.com, bots merupakan bagian dari perangkat lunak perusak atau malware yang bisa menyusup ke sistem perusahaan penyedia layanan e-dagang melalui serangan phising dan akses dari jarak jauh karena sistem hanya dilindungi oleh kata sandi, belum dilengkapi otentikasi dua langkah.
Untuk melindungi dari bot herder, perusahaan penyedia layanan e-dagang, termasuk mitra UMKM, harus selalu memastikan mereka memiliki perangkat lunak antivirus yang selalu diperbarui, rutin memperbarui patch, mengaktifkan otentikasi dua langkah, dan mengadopsi pengelola kata sandi di seluruh sistem perusahaan.
Baca Juga: Data 2 Juta Nasabah Bocor, BRI Life Telusuri Jejak Digital