Phising: Kejahatan dalam Lingkup Pelindungan Data Pribadi yang Tidak Diatur dalam UU PDP
“Siapapun sejatinya dapat menghadapi risiko kebocoran data. Mulai dari individu hingga perusahaan tingkat tinggi dan pemerintah pun dapat mengalaminya.”
Data breach atau pelanggaran data sejatinya merupakan suatu pelanggaran yang terjadi karena terdapat suatu data yang mengekspos informasi rahasia, sensitif, atau dilindungi kepada orang yang tidak berwenang. File yang mengalami pelanggaran data dapat dilihat dan/atau dibagikan secara tanpa izin pemilik aslinya. Di sisi lain, terdapat peristiwa kebocoran data, yakni kondisi dimana data sensitif yang sudah mengalami pelanggaran data diungkap kepada publik.
Siapapun sejatinya dapat menghadapi risiko kebocoran data. Mulai dari individu hingga perusahaan tingkat tinggi dan pemerintah pun dapat mengalaminya. Hal inilah yang kemudian membuat data tersebut dapat digunakan untuk melakukan serangan kepada orang lain berupa social engineering, salah satunya phising.
Phising atau pengelabuan adalah suatu serangan rekayasa sosial yang dirancang untuk menipu korban agar menyebabkan terjadinya pelanggaran data. Serangan ini biasanya dilakukan sebagai bentuk manipulasi psikologis yang dilakukan melalui pesan teks, berupa SMS atau pesan di aplikasi obrolan.
Contoh kasus phising misalnya adalah ada pelaku menyamar sebagai petugas PLN dan menggunakan kata sapaan yang umum dan terlihat sopan di teks. Pelaku awalnya akan meyakinkan korban di teks tersebut bahwa dia adalah petugas PLN dengan memberikan nomor ID pelanggan (yang mana kemungkinan didapatkan dari kasus kebocoran data di PLN).
Nantinya, pelaku akan menakut-nakuti korban dengan ancaman pemblokiran ID dan pemutusan daya. Hal ini kemudian akan membuat korban diarahkan seolah-olah untuk men-download sebuah file/aplikasi dimana file/aplikasi tersebut biasanya mengandung malware/virus yang dapat mencuri data-data sensitif dari telepon pengguna.
Pada praktiknya, terdapat beberapa penyebab dari terjadinya peristiwa phising ini. Pertama, adanya orang internal yang berbahaya. Orang tersebut biasanya memang dengan sengaja mengakses dan/atau membagikan data dengan maksud merugikan individu atau perusahaan untuk melakukan phising.
Kedua, perangkat yang hilang atau dicuri. Dalam kasus ini biasanya terjadi para perangkat seperti laptop atau hard drive eksternal dimana informasinya tidak terenkripsi dan tidak terkunci.
Ketiga, adanya peretas. Dalam kasus ini, peretas akan menggunakan berbagai vektor serangan untuk mengumpulkan informasi dari jaringan atau individu untuk kemudian melakukan phising.
Dari dilakukannya phising itu sendiri, terdapat beberapa contoh kasus dampaknya. Hal ini yakni seperti halnya terjadi mutasi debit (uang keluar) pada rekening bank yang tidak dikenal. Hal lainnya adalah adanya akses mobile banking yang dilakukan menggunakan perangkat baru. Kejahatan ini sejatinya kemudian memberikan potensial dampak merugikan yang cukup besar bagi masyarakat apabila masyarakat tidak memahami bagaimana mencegah dan menangani phising ini.
Mencegah Terjadinya Phising
Bagi perusahaan, hal yang dapat dilakukan untuk mencegah terjadinya hal ini adalah dengan mendidik karyawan tentang praktik keamanan terbaik. Kemudian, perusahaan juga dapat mengedukasi tentang bahaya-bahaya yang dapat terjadi dari rekayasa sosial seperti halnya phising ini. Tidak berhenti disitu, terdapat beberapa hal seperti mengidentifikasi dan mengklasifikasikan informasi, menerapkan kontrol, mewajibkan penggunaan VPN, memperbaharui perangkat lunak, dan masih banyak hal lainnya yang dapat dilakukan masyarakat sebagai langkah preventif sekaligus represif apabila terjadi phising terhadap perusahaan.
Adapun apabila masyarakat merasa terjadi suatu phising terhadap dirinya, masyarakat harus memiliki kemampuan autentikasi, yakni kemampuan untuk mengenali orang lain yang diajak bicara secara jarak jauh (melalui teks). Terdapat 3 (tiga) parameter dalam metode autentikasi ini yakni: what you know, what you have, dan what you are. Kemampuan mengautentikasi ini dapat memastikan kita berkomunikasi dengan orang yang tepat. Hal ini dikarenakan sekarang mungkin saja kita berkomunikasi dengan orang jahat yang mengaku-ngaku sebagai orang dekat.
Kemudian, masyarakat perlu untuk lebih tenang memberikan jeda sesaat guna membiarkan akal berpikir dengan jernih dalam memproses kejadian tersebut. Hal ini dilakukan agar masyarakat tidak gegabah dalam mengambil keputusan ketika masyarakat mengalami serangan phising ini. Konsep ini disebut juga sebagai STARR yakni Stop (berhenti), Think (berpikir), Assess (mencerna), Respond (merespon) dan Review (mengulas kembali). Konsep ini apabila digunakan akan mencegah masyarakat dari termanipulasi rekayasa sosial semacam ini.
Sebagai informasi, ketika terjadi phising, terkadang pembuktian akan kejahatannya akan menjadi susah untuk dibuktikan oleh korban. Hal ini disebabkan dalam praktiknya ketika terjadi phising, maka hal tersebut akan dianggap sebagai human error atau dengan kata lain ketidaktelitian korban yang mengakibatkan ruginya korban itu sendiri. Ketika lapor ke Polisi pun dalam hal terjadi phising biasanya penjelasan korban hanya akan dicatat sebagai keterangan saja, mengingat susahnya pembuktian kejahatan tersebut.
Di Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) sendiri hanya mengatur pelanggaran data pribadi yang dilakukan oleh pengelola data pribadi yakni pengendali data pribadi dan prosesor data pribadi. Kemudian, sanksi lainnya dapat dikenakan kepada pihak yang menyebarkan atau menggunakan suatu data yang bukan miliknya tanpa seizin pemiliknya. Kendati demikian, UU PDP ini tidak mengatur mengenai jenis pelanggaran dalam lingkup data pribadi yang sifatnya person-to-person seperti halnya phising ini. Sehingga, masyarakat perlu lebih aware dan waspada terhadap kejahatan ini untuk mencegah kerugian yang tidak diinginkan apabila terjadi rekayasa sosial semacam ini kepada dirinya.
Artikel berupa opini ini ditulis oleh Praktisi Keamanan Siber, Restia Moegiono.
Artikel ini merupakan opini pribadi penulis dan tidak mewakili pandangan redaksi KlikLegal.
AA
