Oleh : Prof. Dr. Ahmad M Ramli Guru Besar Cyber Law & Regulasi Digital UNPAD
PELAKU cyber crime memang terus mencari celah untuk melakukan modus kejahatannya. Fenomena sniffing akhir-akhir ini adalah salah satu modus yang harus diwaspadai. Penipu melakukan modus dengan celah teknologi digital dan memanfaatkan kebiasaan serta kelengahan pengguna telepon pintar. Modusnya dari mulai berpura-pura sebagai kurir dan mengirimkan file berformat Android Package Kit (APK) melalui pesan Whatsapp (WA), hingga menjebak korban dengan file undangan palsu. Kelengahan seseorang meng-klik file APK akan berbuntut panjang, dan bisa berlanjut kejahatan lainnya. Otoritas Jasa Keuangan (OJK), melalui laman Instagram resminya menulis, “Waspada Modus Sniffing, Penipuan Berkedok Kurir Paket yang Bisa Menguras Rekeningmu”. Saya mempersiapkan tulisan ini sebagai bahan ajar mata kuliah Cyberlaw di Universitas Padjadjaran, mengingat maraknya fenomena sniffing saat ini. Untuk manfaat yang lebih luas, maka saya bagikan materi ini kepada pembaca Kompas.com.
Sniffing dan phishing
Selain sniffing, bentuk kejahatan yang terkait dengan data, dalam referensi Cyberlaw juga dikenali dalam bentuk lain, yaitu phishing. Dilansir dari University of California Berkeley Information Security Office, 2023, dengan rilis berjudul Protecting Your Credentials, menyatakan bahwa phishing adalah bentuk serangan rekayasa sosial yang digunakan untuk mengelabui pengguna yang tidak menaruh curiga agar mengungkapkan informasi terkait akun dan datanya. Penipuan ini dapat terjadi melalui telepon, email, atau teks. Paling umum, penipuan phishing dimulai dengan email yang tampak berasal dari pengirim resmi. Terkadang email berisi tautan ke halaman login palsu. Untuk keamanan, UC Berkeley menyarankan agar menggunakan kata sandi (password) yang kuat. Fenomena teknik membobol akun dengan menebak kata sandi berdasar inventarisasi daftar kata sandi, seringkali dilakukan pelaku kejahatan. Kejahatan melalui modus “kata sandi” ini kerap terjadi di samping modus kejahatan siber (cybercrime) lainnya seperti sniffing.
Sniffing juga adalah salah satu bentuk cybercrime, berupa penyadapan dan pengambilan data serta informasi korban secara ilegal yang dilakukan melalui jaringan internet. Sebagaimana dilansir EC-council CyberSecurity dalam rilisnya berjudul What Are Sniffing Attacks, and How Can They Be Prevented? bahwa sniffing dapat dikategorikan menjadi dua jenis. Pertama, sniffing aktif, adalah jenis serangan berupa pengiriman packet sniffer ke satu atau lebih target di jaringan. Tujuannya untuk mengekstrak data sensitif. Dengan menggunakan packet sniffer berupa aplikasi yang dibuat khusus, penyerang seringkali dapat melewati lapis keamanan yang seharusnya melindungi data korban dari penyadapan.
EC-council CyberSecurity lebih lanjut menjelaskan, bahwa sniffing aktif juga dapat menginjeksi kode berbahaya ke dalam sistem target yang memungkinkan penyerangnya mengambil kendali atau mencuri informasi sensitif. Konsekuensi dari serangan sniffing dapat berdampak parah bagi target, termasuk kehilangan data sensitif, seperti kredensial login, informasi keuangan, pesan email dan lainnya. Tindakan ini memungkinkan penyerang dapat mengontrol perangkat atau mengakses informasi sensitif. Selain itu dapat menyebabkan gangguan lalu lintas jaringan, yang berdampak memperlambat kinerja jaringan. Lebih fatalnya lagi, sniffing dapat mengancam teraksesnya berbagai data rahasia, seperti rahasia dagang, dan data pribadi.
Penyusupan melalui metode sniffing juga berdampak buruk, dan menurunnya kepercayaan publik pada korporasi atau institusi yang disusupi dan menjadi korban pelaku sniffing. Kedua, selain sniffing aktif, EC-council CyberSecurity juga menyebut bentuk lainnya, yaitu sniffing pasif. Dalam hal ini peretas secara pasif bisa memantau lalu lintas lewat jaringan tanpa mengganggu korbannya. Jenis serangan ini biasanya berbentuk tindakan mengumpulkan informasi tentang target di jaringan, seperti data kredensial login, pesan email, dll. Karena tidak mengakibatkan gangguan pada sistem target, serangan ini cenderung membuat korbannya lengah.
Pencegahan sniffing dan kejahatan perbankan
EC Council CyberSecurity, membagikan beberapa kiat sebagai langkah pencegahan. Menggunakan enkripsi untuk melindungi data sensitif agar tidak diintersepsi adalah langkah penting. Jangan pernah mengirim informasi sensitif melalui koneksi yang tidak terenkripsi, dan pastikan bahwa semua komputer yang terkoneksi ke jaringan internet dilindungi secara memadai dengan perangkat lunak antivirus dan firewall. Selain itu pastikan bahwa jaringan nirkabel juga aman dan secara teratur memperbarui semua aplikasi dan perangkat dengan update keamanan terbaru. Jika merasa bahwa perangkat seluler terinfeksi atau terkena serangan sniffing, segera hapus dan reset aplikasi yang berisiko, uninstall aplikasi keuangan dan perbankan, serta segera hubungi bank atau lembaga keuangan untuk mengecek apakah terjadi transaksi atau transfer yang tidak pernah Anda lakukan. Langkah preventif pengamanan individu juga dapat dilakukan dengan mengaktifkan fitur verifikasi. Untuk menjaga keamanan perangkat dapat mengaktifkan fitur verifikasi di ponsel seperti pindai sidik jari atau wajah.
Langkah lainnya adalah mengaktifkan fitur notifikasi SMS transaksi pada mobile banking agar kita mengetahui jika terjadi transaksi seperti dana masuk atau keluar yang dikirimkan bank via SMS. Hal ini penting untuk memonitor semua transaksi yang terjadi. Pemilik akun mobile banking juga jangan malas melakukan cek histori rekening atau saldo secara berkala. Fitur ini biasanya tersedia pada aplikasi mobile banking dan bisa kita gunakan kapan saja dengan mudah. Hal yang tak kalah penting adalah, lindungi secara ketat, data pribadi, jangan pernah memberitahukan user ID, password, kode OTP, PIN rekening, atau data sensitif lainnya, dan ubahlah password secara berkala. Kita juga harus waspada saat menggunakan Wi-Fi publik. Saya menyarankan untuk transaksi individu seperti mobile banking, transfer bank, pembayaran kartu kredit, transaksi ecommerce, tidak dilakukan dengan memanfaatkan jaringan Wi-Fi publik itu. Saat melakukan transaksi di area publik, mematikan Wi-Fi publik dan menggunakan paket data operator akan lebih aman. Jika Anda memiliki dua perangkat telepon cerdas, ada baiknya akun keuangan, aplikasi mobile banking, dan transaksinya, dilakukan melalui satu telepon cerdas terpisah, yang tidak digunakan untuk komunikasi intens lain, apalagi mengakses media sosial.
Sanksi dalam UU PDP dan UU ITE
Hukum Indonesia sesungguhnya sudah mengatur perihal Cybercrime ini. Di antaranya melalui pasal Pasal 65, 66 jo. Pasal 67, Undang-Undang No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi (UU PDP) jo. Undang-Undang No. 19 Tahun 2016 Tentang Perubahan Atas Undang-Undang No. 11 Tahun 2OO8 Tentang Informasi dan Transaksi Elektronik (UU ITE). Dalam UU PDP ketentuan terkait peretasan meliputi, larangan memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya, dengan maksud untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian Subjek Data Pribadi. Selain itu, UU PDP juga menegaskan larangan mengungkapkan atau menggunakan Data Pribadi yang bukan miliknya. Dengan ancaman sanksi pidana antara 4 dan 5 tahun dan/atau denda Rp 4 miliar dan Rp 5 miliar.
Sanksi pidana lebih keras justru terdapat pada UU ITE. Pada pasal 30 sampai dengan pasal 35 diatur tentang perbuatan yang dilarang yang terkait dengan tindak pidana terhadap aplikasi, jaringan dan perangkat teknologi informasi. Sedangkan sanksinya terdapat 46 sampai dengan pasal 51 UU ITE dengan ancaman pidana bervariasi bahkan maksimal pidana penjara 10 tahun dengan denda Rp 10 miliar. Sebagai konklusi, yang harus dipahami adalah, bahwa kejahatan sniffing dan pelanggaran data elektronik, tidak melulu hanya merujuk pada ketentuan UU PDP, tetapi lebih jauh bisa diancam dengan ketentuan dalam UU ITE yang rumusan deliknya lebih detail dan sanksinya jauh lebih berat. Sebagai informasi, sebagian pasal-pasal UU ITE khususnya tentang Cybercrime saat ini telah dicabut oleh UU No. 1 Tahun 2023 tentang Kitab Undang-Undang Hukum Pidana. Namun demikian norma-norma tersebut baru akan berlaku 3 tahun setelah UU KUHP diundangkan (pasal 624 UU KUHP), sehingga UU ITE saat ini masih berlaku sepenuhnya sampai masa transisinya terlampaui.
Prof. Dr. Ahmad M Ramli Guru Besar Cyber Law & Regulasi Digital UNPAD Guru Besar Cyber Law, Digital Policy-Regulation & Kekayaan Intelektual Fakultas Hukum Universitas Padjadjaran
Dikutip dari Kompas.com minggu, 05 Februari 2023
