Mitra resmi Peruri Digital Security
Mekari Sign
Free trial
iconicon
icon Search
Home / Blog / Keamanan Digital / Apa Itu Social Engineering? Ini jenis, Contoh & Tipsnya!
Keamanan Digital
10 min read

Apa Itu Social Engineering? Ini jenis, Contoh & Tipsnya!

Ditulis oleh:
raffly author Fadillah Rafli Anwari
Tayang 17 Juni 2025
Ditinjau oleh:
Reviewer Bintang Mahesaputra Wanda Bintang Mahesaputra Wanda Reviewer Badge Bintang Mahesaputra Wanda
Bagikan artikel ini
WhatsApp X LinkedIn Facebook
featured image apa itu social engineering
Apa Itu Social Engineering? Ini jenis, Contoh & Tipsnya!

 

Ringkasan

  • Social engineering adalah bentuk manipulasi psikologis yang menargetkan kelemahan manusia, bukan sistem, untuk mencuri data, mengakses sistem ilegal, atau melakukan sabotase digital.
  • Serangan ini mengikuti empat tahapan utama: persiapan, penyusupan, eksploitasi, dan pelepasan, prosesnya bisa berlangsung dalam hitungan menit hingga berbulan-bulan.
  • Di Indonesia, serangan ini dapat dijerat hukum melalui UU ITE, KUHP, UU PDP, hingga regulasi OJK dan BI dengan sanksi pidana dan denda yang tegas.
  • Pencegahan efektif meliputi edukasi keamanan digital, kewaspadaan terhadap phishing, aktivasi 2FA, dan penggunaan tanda tangan elektronik resmi untuk menjaga integritas dokumen penting.

Pernahkah Anda merasa tiba-tiba diminta mengirimkan OTP oleh seseorang yang mengaku dari layanan resmi? Hati-hati, bisa jadi Anda sedang jadi target social engineering, modus manipulasi yang makin canggih dan sulit dikenali.

Taktik ini bukan sekadar tipu-tipu biasa; ia bisa merugikan korban secara finansial hingga berdampak hukum. Selengkapnya akan dibahas sebagai berikut.

Apa Itu Social Engineering?

Social engineering atau rekayasa sosial adalah teknik manipulasi psikologis untuk mengelabui seseorang agar membocorkan informasi sensitif atau melakukan tindakan tertentu.

Berbeda dari peretasan teknis, teknik ini mengeksploitasi emosi manusia seperti rasa percaya, takut, atau empati untuk mencapai tujuannya.

Beberapa tujuan umum dari serangan ini antara lain:

  • Pencurian data, seperti password, nomor kartu kredit, atau data pribadi.
  • Akses ilegal ke sistem, jaringan, atau area terbatas.
  • Sabotase, dengan merusak, mengubah, atau menghapus data penting.

Bagaimana Cara Kerja Social Engineering?

Meskipun taktiknya bisa beragam, serangan social engineering umumnya mengikuti beberapa tahapan. Menurut Norton, proses ini dapat diuraikan sebagai berikut:

  • Persiapan: Pelaku mencari informasi target dari media sosial, situs resmi, atau interaksi langsung.
  • Penyusupan: Pelaku menyamar sebagai pihak terpercaya untuk membangun kepercayaan.
  • Eksploitasi: Target dimanipulasi untuk membocorkan data atau mengakses sistem.
  • Pelepasan: Setelah tujuan tercapai, pelaku menghilang dan menghapus jejaknya.

Proses ini bisa berlangsung sangat cepat, misalnya melalui satu email phishing, atau bisa juga memakan waktu berbulan-bulan jika pelaku membangun hubungan yang kompleks dengan target.

Baca juga: Apa itu Cyber Crime? Mulai dari Pengertian dan Cara Mencegahnya Lengkap!

Jenis-Jenis Serangan Social Engineering yang Umum Terjadi

Ada banyak variasi teknik yang digunakan dalam serangan social engineering. Berikut adalah beberapa jenis yang paling umum ditemui:

Infografis dari Mekari Sign berjudul 'Jenis-Jenis Serangan Social Engineering' yang menampilkan delapan jenis serangan umum: Baiting (menawarkan sesuatu yang menarik), Pretexting (menciptakan skenario atau dalih palsu), Phishing (pesan palsu seolah dari sumber tepercaya), Spear Phishing (menargetkan individu/organisasi tertentu), Scareware (pesan peringatan palsu), Quid Pro Quo (menukar jasa demi akses korban), Tailgating atau Piggybacking (menyusup ikut orang lain), dan Whaling Attack (menargetkan eksekutif melalui email).

Dok. Mekari Sign

1. Baiting (Umpan)

Pelaku menawarkan sesuatu yang menarik (umpan) untuk memancing korban. Umpan ini bisa berupa flash disk yang sengaja ditinggalkan dengan label menarik (misalnya, “Gaji Karyawan”), tautan unduhan film atau musik gratis, atau iklan hadiah menggiurkan. Setelah korban mengambil umpan tersebut (misalnya, mencolokkan flash disk ke komputer atau mengklik tautan), perangkat mereka bisa terinfeksi malware atau data mereka bisa dicuri.

Contoh: Sebuah USB drive bertuliskan “Data Keuangan Rahasia” sengaja dijatuhkan di area parkir kantor. Karyawan yang menemukannya dan penasaran mungkin akan menyambungkannya ke komputer kantor, dan tanpa sadar menginstal malware.

2. Pretexting (Dalih)

Pelaku menciptakan sebuah skenario atau dalih palsu untuk mendapatkan informasi dari korban. Mereka seringkali menyamar sebagai seseorang yang memiliki otoritas atau membutuhkan bantuan, misalnya petugas bank, perwakilan layanan pelanggan, atau bahkan penegak hukum.

Contoh: Seseorang menelepon Anda, mengaku dari pihak bank, dan menyatakan ada transaksi mencurigakan di akun Anda. Untuk “memverifikasi,” mereka meminta Anda menyebutkan nomor kartu kredit dan PIN atau bahkan kode One-time password (OTP).

3. Phishing

Ini adalah salah satu bentuk social engineering yang paling dikenal. Pelaku mengirimkan email, pesan teks (SMS), atau pesan instan yang seolah-olah berasal dari sumber tepercaya (misalnya bank, perusahaan, atau lembaga pemerintah) untuk menipu korban agar memberikan informasi pribadi seperti kata sandi, nomor kartu kredit, atau data login lainnya. Pesan phishing seringkali menciptakan rasa urgensi atau ketakutan.

Contoh: Anda menerima email yang tampak seperti dari layanan e-commerce terkenal, memberitahukan bahwa akun Anda akan segera ditutup kecuali Anda segera memverifikasi detail login Anda melalui tautan yang diberikan. Tautan tersebut mengarah ke situs web palsu yang dirancang untuk mencuri kredensial Anda.

Baca Juga: Apa Itu Phising? Cara Kerja, Contoh, dan Cara Menghindarinya

4. Spear Phishing

Ini adalah versi phishing yang lebih tertarget dan canggih. Pelaku tidak mengirimkan pesan massal, melainkan menargetkan individu atau organisasi tertentu. Mereka melakukan riset mendalam tentang target untuk membuat pesan yang sangat personal dan meyakinkan, sehingga lebih sulit dideteksi.

Contoh: Seorang manajer keuangan menerima email yang seolah-olah dari CEO perusahaannya, meminta transfer dana segera ke rekening tertentu untuk sebuah proyek rahasia. Email tersebut menggunakan gaya bahasa dan informasi yang sangat mirip dengan komunikasi CEO yang sebenarnya.

5. Scareware

Pelaku menakut-nakuti korban dengan menampilkan pesan peringatan palsu di layar komputer atau smartphone mereka. Pesan ini biasanya menyatakan bahwa perangkat telah terinfeksi virus berbahaya atau ada masalah keamanan serius, dan mendesak korban untuk segera mengunduh atau membeli perangkat lunak tertentu (yang sebenarnya adalah malware) untuk mengatasi masalah tersebut.

Contoh: Saat menjelajah internet, muncul pop-up besar bertuliskan “PERINGATAN! Komputer Anda Terinfeksi Virus Berbahaya! Klik di Sini untuk Membersihkan Sekarang!” Jika diklik, korban mungkin diarahkan untuk menginstal malware.

6. Quid Pro Quo

Pelaku menawarkan bantuan atau layanan tertentu dengan imbalan informasi atau akses. Mirip dengan baiting, namun fokusnya lebih pada pertukaran jasa.

Contoh: Pelaku menelepon karyawan secara acak di sebuah perusahaan, mengaku sebagai staf IT, dan menawarkan bantuan untuk “memperbaiki masalah komputer” yang mungkin dialami. Jika ada karyawan yang mengeluhkan masalah, pelaku akan memandu mereka untuk melakukan tindakan yang sebenarnya memberikan akses kepada pelaku.

7. Tailgating atau Piggybacking

Teknik ini bersifat fisik, di mana pelaku mengikuti seseorang yang memiliki akses sah untuk masuk ke area terbatas atau gedung yang aman. Pelaku mungkin berpura-pura menjadi kurir, tamu, atau karyawan baru yang lupa membawa kartu akses.

Contoh: Seseorang dengan setumpuk kotak di tangannya menunggu di dekat pintu masuk kantor yang memerlukan kartu akses. Ketika seorang karyawan membuka pintu, pelaku meminta tolong dibukakan pintu karena tangannya penuh, dan dengan demikian berhasil masuk tanpa otorisasi.

8. Whaling Attack

Ini adalah bentuk spear phishing yang secara spesifik menargetkan individu tingkat tinggi dalam sebuah organisasi, seperti CEO, CFO, atau eksekutif senior lainnya (sering disebut “ikan paus” karena posisinya yang penting). Tujuannya adalah untuk mendapatkan informasi sangat rahasia, persetujuan transaksi keuangan besar, atau akses ke sistem kritikal. Serangan ini biasanya sangat canggih dan dipersonalisasi.

Contoh: Seorang CFO menerima email yang tampaknya dari CEO, yang sedang dalam perjalanan bisnis, menginstruksikan transfer dana mendesak ke vendor baru untuk kesepakatan penting. Email tersebut mungkin meniru gaya bahasa CEO dan merujuk pada detail proyek yang sedang berjalan.

Baca juga: Apa Itu Malware? Pengertian, Jenis, dan Cara Mengatasinya!

Contoh Kasus Social Engineering di Indonesia

Serangan social engineering sayangnya sudah sering terjadi di Indonesia dengan berbagai modus. Berikut beberapa contoh yang relevan dengan konteks lokal:

  • Penipuan mengatasnamakan petugas bank: Pelaku menelepon atau mengirim pesan ke nasabah, berpura-pura sebagai petugas resmi. Mereka menginformasikan masalah pada rekening atau menawarkan promo, lalu meminta data sensitif seperti nomor kartu ATM, PIN, OTP, atau password internet banking.
  • Modus kurir paket palsu: Korban menerima pesan WhatsApp dari nomor asing yang mengaku sebagai kurir, disertai file .APK atau tautan resi palsu. Jika diklik atau diinstal, malware otomatis terpasang dan mencuri data pribadi, termasuk akses ke aplikasi mobile banking.
  • Akun layanan pelanggan palsu di e-commerce atau dompet digital: Pelaku membuat akun media sosial tiruan yang menyerupai CS resmi. Saat korban mengeluh di media sosial, pelaku menyamar sebagai pihak resmi dan meminta login atau data pribadi lewat DM dengan alasan validasi akun.
  • Link phishing di media sosial: Tautan berbahaya disebar lewat pesan massal atau postingan yang menjanjikan hadiah, konten viral, atau promosi. Korban diarahkan ke situs login palsu, lalu kredensial yang dimasukkan dicuri dan disalahgunakan.

Baca juga: Pahami Cara Menghindar dari Penipuan Online Terbaru: Ini 13 Langkahnya!

Dasar Hukum Social Engineering di Indonesia

Tindakan social engineering yang merugikan orang lain bisa dijerat hukum di Indonesia. Beberapa regulasi berikut mengatur dan memberikan sanksi terhadap pelaku kejahatan berbasis rekayasa sosial:

  • UU ITE (No. 11 Tahun 2008 jo. UU No. 19/2016 & UU No. 1/2024): Melarang penyebaran informasi palsu (Pasal 28), akses ilegal ke sistem (Pasal 30), manipulasi atau perusakan data elektronik (Pasal 32 & 35).
  • KUHP Pasal 378: Menjerat pelaku penipuan yang menggunakan identitas palsu atau tipu muslihat.
  • PP No. 71 Tahun 2019: Mengatur kewajiban platform digital menjaga keamanan data dan sistem.
  • UU PDP No. 27 Tahun 2022: Melindungi data pribadi dari penyalahgunaan, dengan sanksi pidana dan denda (Pasal 65–68).
  • Peraturan OJK & BI: Mewajibkan lembaga keuangan mencegah dan mengedukasi konsumen terhadap kejahatan digital seperti phishing dan penipuan OTP.

Penegakan hukum ini sekaligus menjadi upaya preventif. Dengan mengenali dasar hukumnya, masyarakat diharapkan lebih waspada dan mampu menjaga keamanan data pribadi secara bertanggung jawab.

Baca Juga: Perubahan UU ITE Nomor 1 Tahun 2024 Terbaru!

Mengapa Social Engineering Sangat Berbahaya?

Bahaya social engineering tidak boleh diremehkan karena dampaknya bisa sangat merugikan, baik bagi individu maupun organisasi. Beberapa risiko utama meliputi:

  • Kerugian Finansial: Korban dapat kehilangan uang secara langsung melalui transfer dana ilegal, pencurian detail kartu kredit yang berujung pada transaksi tidak sah seperti pada kasus carding, atau pemerasan.
  • Pencurian Identitas: Data pribadi yang dicuri dapat digunakan untuk melakukan berbagai tindak kejahatan atas nama korban, seperti mengajukan pinjaman palsu, membuka akun ilegal, atau melakukan penipuan lainnya.
  • Kerusakan Reputasi: Bagi individu, menjadi korban social engineering bisa memalukan. Bagi perusahaan, insiden keamanan yang disebabkan oleh social engineering dapat merusak kepercayaan pelanggan dan citra merek secara keseluruhan.
  • Gangguan Operasional: Serangan yang berhasil dapat menyebabkan gangguan pada sistem IT, hilangnya data penting, atau terhentinya operasional bisnis.
  • Penyebaran Malware dan Ransomware: Seringkali, social engineering menjadi pintu masuk bagi malware atau ransomware untuk menginfeksi sistem, yang dapat menyebabkan kerusakan lebih lanjut dan kerugian finansial yang lebih besar.
  • Bagian dari Serangan Cyber Crime yang Lebih Besar: Social engineering bisa jadi hanya tahap awal dari serangan siber yang lebih kompleks dan terencana.

Baca Juga: Tetap Waspada Serangan Hacker! Berikut Ini Cara Mengatasinya

Tips Mencegah Social Engineering

Social engineering seringkali berhasil bukan karena sistem yang lemah, melainkan karena kelengahan manusia. Itulah sebabnya edukasi dan kebiasaan digital yang bijak sangat penting diterapkan dalam kehidupan sehari-hari.

Salah satu risiko terbesar dalam keamanan siber bukan berasal dari teknologi, tapi dari manusia yang tidak menyadari sedang dimanipulasi. Social engineering mengeksploitasi hal itu. Bahkan sistem paling canggih pun bisa ditembus jika orang di baliknya lengah.

Mekari Sign reviewer
BintangMekari Sign Bintang Mahesaputra Wanda Reviewer
Senior Infosec & Compliance Officer di Mekari

Berikut langkah preventif yang bisa kamu terapkan untuk melindungi diri:

  • Jangan pernah bagikan informasi sensitif (seperti PIN, OTP, password, nomor kartu kredit) lewat telepon, chat, atau email terutama jika kamu tidak yakin siapa pengirimnya.
  • Curigai tawaran yang terdengar terlalu bagus, seperti hadiah dadakan, lowongan kerja dengan gaji tinggi tanpa proses seleksi, atau investasi yang menjanjikan keuntungan besar tanpa risiko.
  • Verifikasi identitas penghubung secara mandiri. Jika ada yang mengaku dari bank, instansi, atau e-commerce, jangan langsung percaya. Hubungi kembali lewat kontak resmi.
  • Aktifkan autentikasi dua faktor (2FA/MFA) di semua akun penting. Kombinasikan password dengan verifikasi biometrik atau aplikasi otentikator agar lebih aman.
  • Gunakan password yang kuat dan unik untuk tiap akun. Hindari menggunakan kombinasi yang sama, dan simpan dengan bantuan password manager.
  • Jangan klik tautan atau unduh file sembarangan, apalagi yang dikirim dari nomor asing. Tautan palsu bisa mengandung malware yang mencuri data kamu.
  • Periksa ejaan dan URL situs dengan teliti. Banyak pelaku membuat situs tiruan dengan nama yang hampir sama agar korban lengah.
  • Sebarkan pengetahuan ini ke rekan kerja, keluarga, dan teman. Edukasi adalah senjata utama untuk melawan serangan berbasis manipulasi.
  • Gunakan platform digital yang tepercaya. Untuk pengelolaan dokumen atau transaksi penting, pastikan kamu memakai layanan seperti tanda tangan elektronik resmi yang punya sistem keamanan terverifikasi.

Dengan langkah-langkah ini, kamu bisa membangun pertahanan pribadi yang lebih tangguh terhadap serangan social engineering karena keamanan digital selalu dimulai dari kesadaran diri.

Baca juga: Apa Itu Kebocoran Data? Penyebab dan Cara Mengatasinya

Itulah penjelasan lengkap mengenai social engineering dan bagaimana jebakan psikologis ini bisa dimanfaatkan untuk menguras rekening Anda. Memahami cara kerja, jenis serangan, dan langkah pencegahannya adalah kunci untuk melindungi diri di dunia digital yang makin kompleks.

Untuk perlindungan ekstra, pastikan setiap transaksi dan dokumen penting dilengkapi dengan sistem keamanan digital yang andal. Kunjungi Mekari Sign untuk solusi keamanan dokumen digital dan juga baca artikel terbaru seputar perlindungan data dan teknologi dokumen di blog Mekari Sign.

Jangan biarkan dokumen penting jatuh ke tangan yang salah. Tanda tangani secara digital hari ini!

Klik di sini
CTA Banner Tanda Tangan Digital

Referensi

  • What is Social Engineering?
  • Pemerintah Indonesia. Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
  • Pemerintah Indonesia. Undang-Undang No. 1 Tahun 2023 tentang Kitab Undang-Undang Hukum Pidana.
  • Pemerintah Indonesia. Undang-Undang No. 1 Tahun 2024 tentang Perubahan Kedua atas UU ITE.
  • Pemerintah Indonesia. Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
raffly author
Fadillah Rafli Anwari Author

Experience in digital and economic journalism, Rafli is currently part of the content marketing team at Mekari Sign. His articles explore the intersection of business law, digital documentation, and e-signature technology to help professionals stay compliant and efficient.

Bintang Mahesaputra Wanda
Bintang Mahesaputra Wanda Mekari Qontak Bintang Mahesaputra Wanda Reviewer

A dedicated Infosec & Compliance Senior Officer with a strong emphasis on corporate governance and regulatory compliance. Experienced in developing and implementing governance frameworks, establishing clear compliance structures, and ensuring adherence to international standards and regulatory requirements such as ISO/IEC 27001, ISO/IEC 27701, NIST, and GDPR.

Artikel terkait

Lihat lainnya →
WhatsApp WhatsApp Sales