Pretexting

Serangan pretexting umumnya tidak terjadi secara spontan, melainkan melalui serangkaian tahapan yang terencana. Tahap pertama adalah pengumpulan intelijen atau Open-source intelligence (OSINT). Pada tahap ini, pelaku mengumpulkan informasi sebanyak mungkin tentang target dari sumber terbuka, seperti media sosial, situs web perusahaan, atau dokumen publik. Informasi seperti tanggal lahir, nama hewan peliharaan, atau riwayat pekerjaan digunakan untuk membangun narasi yang kredibel dan meminimalisir kecurigaan saat interaksi terjadi.

Setelah informasi terkumpul, penyerang akan memulai tahap kontak. Ini bisa dilakukan melalui telepon (vishing), email (phishing), atau bahkan tatap muka langsung. Selama interaksi ini, penyerang memainkan peran karakter yang telah mereka siapkan. Mereka akan menggunakan terminologi industri yang tepat, nada suara yang meyakinkan, dan referensi data yang telah mereka kumpulkan sebelumnya untuk memvalidasi identitas palsu mereka. Proses ini membutuhkan kemampuan improvisasi yang tinggi untuk menangani pertanyaan tak terduga dari korban.

Adapun urutan sistematis yang sering terjadi dalam sebuah serangan pretexting yang kompleks adalah sebagai berikut:

1. Pengintaian (Reconnaissance): Mengidentifikasi target dan mengumpulkan data awal.
2. Pengembangan Skenario: Membuat cerita latar dan alasan yang masuk akal untuk menghubungi target.
3. Prakondisi: Membangun hubungan awal atau kepercayaan sebelum melancarkan permintaan utama.
4. Eksploitasi: Meminta informasi sensitif atau tindakan tertentu di bawah naungan skenario palsu.
5. Penutupan: Mengakhiri interaksi secara alami tanpa menimbulkan kecurigaan agar korban tidak menyadari bahwa mereka telah ditipu.

Salah satu bentuk pretexting yang paling umum adalah penipuan CEO (CEO Fraud) atau Business Email Compromise (BEC). Dalam skenario ini, penyerang menyamar sebagai eksekutif perusahaan dan memerintahkan staf keuangan untuk melakukan transfer dana segera ke rekening eksternal. Skenario ini memanfaatkan rasa takut bawahan untuk menolak perintah atasan dan urgensi palsu yang diciptakan, misalnya dengan alasan "kesepakatan rahasia" atau "akuisisi mendadak".

Teknik lain melibatkan penyamaran sebagai tim teknologi informasi (TI). Penyerang mungkin menghubungi korban dengan dalih melakukan pembaruan sistem atau perbaikan bug yang kritis. Mereka kemudian akan meminta korban untuk memberikan kredensial login mereka atau mengunduh perangkat lunak akses jarak jauh. Karena staf TI memiliki legitimasi teknis di mata karyawan awam, permintaan ini sering kali dipenuhi tanpa pertanyaan, memberikan penyerang akses langsung ke jaringan internal perusahaan.

Pretexting juga dapat dilakukan secara fisik, yang dikenal sebagai tailgating atau piggybacking. Dalam konteks ini, dalih yang digunakan bersifat non-verbal atau situasional. Misalnya, seseorang mungkin berpura-pura menjadi kurir pengiriman yang memegang banyak kotak, berharap karyawan yang sah akan membukakan pintu aman karena rasa sopan santun. Skenario ini mengeksploitasi norma sosial kesopanan untuk melewati kontrol akses fisik.

Di banyak yurisdiksi, pretexting untuk mendapatkan data pribadi adalah tindakan ilegal. Di Amerika Serikat, skandal pretexting yang melibatkan Hewlett-Packard pada tahun 2006 menjadi titik balik utama dalam kesadaran publik mengenai praktik ini. Dalam kasus tersebut, penyelidik swasta menggunakan pretexting untuk mendapatkan catatan telepon anggota dewan direksi guna menemukan sumber kebocoran informasi kepada pers. Kasus ini memicu perdebatan etis dan hukum yang luas mengenai privasi dan batas-batas investigasi korporat.

Secara spesifik, undang-undang seperti Gramm-Leach-Bliley Act (GLBA) di AS secara eksplisit melarang penggunaan pretexting untuk mendapatkan informasi keuangan konsumen. Hukum ini menjadikannya tindak pidana federal bagi siapa saja yang menggunakan pernyataan palsu, fiktif, atau menipu untuk memperoleh informasi pelanggan dari lembaga keuangan. Hal ini mencakup menyamar sebagai pemegang rekening atau pegawai bank untuk mengakses saldo atau riwayat transaksi.

Namun, di beberapa sektor seperti penegakan hukum dan intelijen negara, teknik yang menyerupai pretexting mungkin diizinkan di bawah kerangka hukum tertentu untuk tujuan investigasi kriminal atau keamanan nasional. Ini sering disebut sebagai operasi penyamaran atau undercover operation. Perbedaan utamanya terletak pada otoritas hukum yang mendasarinya dan pengawasan yudisial, meskipun garis batas etika dalam penggunaannya sering kali menjadi subjek perdebatan hak sipil.

Mencegah pretexting memerlukan pendekatan pertahanan mendalam yang berfokus pada kebijakan organisasi dan kesadaran manusia. Pelatihan kesadaran keamanan (security awareness training) adalah garis pertahanan pertama. Karyawan harus dilatih untuk mengenali tanda-tanda manipulasi, seperti permintaan yang tidak mendesak namun dibuat tampak urgen, permintaan informasi rahasia melalui saluran yang tidak aman, atau penyimpangan dari prosedur standar operasional.

Verifikasi identitas yang ketat adalah mitigasi teknis yang paling efektif. Organisasi harus menerapkan kebijakan "nol kepercayaan" (zero trust), di mana setiap permintaan akses atau informasi harus diverifikasi secara independen, terlepas dari siapa yang memintanya. Misalnya, jika seseorang menelepon dan mengaku sebagai karyawan internal, penerima telepon harus memverifikasi dengan menelepon balik ke nomor resmi perusahaan yang terdaftar di direktori internal, bukan nomor yang diberikan oleh penelepon.

Selain itu, prosedur operasional standar (SOP) harus dirancang untuk meminimalkan ketergantungan pada penilaian subjektif karyawan. Penggunaan autentikasi dua faktor (2FA) atau prosedur persetujuan berjenjang untuk transaksi keuangan atau pelepasan data sensitif dapat secara signifikan mengurangi risiko keberhasilan serangan pretexting. Dengan adanya kontrol teknis ini, bahkan jika karyawan berhasil ditipu oleh skenario penyerang, sistem tetap akan mencegah eksekusi tindakan yang berbahaya.