Kasus: serangan siber

Keamanan Digital Indonesia: Retak di Hulu, Bocor di Hilir
Doktor Sosiologi dari Universitas Padjadjaran. Pengamat sosial dan kebijakan publik. Pernah berprofesi sebagai Wartawan dan bekerja di industri pertambangan.
Artikel ini adalah kolom, seluruh isi dan opini merupakan pandangan pribadi penulis dan bukan cerminan sikap redaksi.
BERMULA
dari seringnya nomor telepon Whatsapp dibajak orang-orang yang tidak bertanggung jawab, kemudian oleh mereka digunakan untuk melakukan penipuan seolah-olah berinteraksi dengan nomor kontak yang ada di ponsel, saya tergerak menulis artikel ini.
Bukan semata-mata curhat pribadi, tetapi ada persoalan besar mengenai mudahnya data pribadi penduduk Indonesia, termasuk saya di dalamnya, dibajak oleh peretas. Mungkin juga pengalaman pribadi ini pernah dialami oleh para pembaca.
Dengan tulisan ini, niatan saya adalah berbagi pengetahuan dan pengalaman, jangan sampai pembajakan nomor telepon dan mungkin juga akun-akun penting lainnya terjadi pada para pembaca dan menjadi bencana digital.
Jujur, saya agak trauma tatkala nomor telepon atau akun media sosial kena bajak orang lain dengan tujuan busuk, yakni penipuan digital.
Tahun 2010, saat berkunjung ke markas Kaspersky di Moskow, Rusia, saya melihat paparan sekaligus demo bagaimana para peretas di kawasan Rusia dan negara-negara dekatnya seperti Estonia dan Ukraina, menjebol akun bank hanya menggunakan ponsel di telapak tangan.
Kaspersky sebagai produsen software antivirus terkemuka saat itu memperkenalkan antivirus khusus untuk ponsel.
Dalam demo itu diperlihatkan, bagaimana seorang peretas muda dengan mudah mencuri password akun bank seseorang hanya dalam hitungan menit. Padahal kata sandi yang diretas terdiri dari 13 karakter; gabungan angka, huruf dan lambang yang ada di keyboard ponsel atau laptop.
Dari sinilah saya “parno” seandainya tiba-tiba nomor Whatsapp saya diretas. Ini pastilah aksi sindikat terorganisir, pastilah ada orang berlatar IT atau seseorang yang punya bisnis menjual nomor-nomor Whatsapp ke sembarang orang.
Keamanan ponsel dari pabrikan itu dianggap biang dari penyerapan -kalau tidak mau disebut perampokan- data pribadi para penggunanya.
Dengan banyaknya aplikasi, seorang pengguna bisa dengan sukarela menyerahkan nomor KTP, nomor ponsel, alamat email beserta password-nya, lokasi di mana pengguna berada, rekening bank dan data-data sensitif lainnya.
Kembali kepada persoalan mengapa akun media sosial dan nomor Whatsapp demikian sering kena retas? Itulah yang membuat saya coba menesuri akar persoalannya, syukur-syukur bisa menjawab ketidakpahaman saya.
Tentu saya paham bahwa pemerintah Indonesia telah berupaya melindungi warganya di ranah digital melalui beberapa kebijakan dan institusi, utamanya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), yang mulai berlaku sejak 2022 dan mengatur hak subjek data, kewajiban pengendali data, serta sanksi atas pelanggaran.
Di sisi lain, Badan Siber dan Sandi Negara (BSSN) bertugas mengawasi keamanan siber nasional, sementara Kementerian Komunikasi dan Digital (Komdigi) sering memblokir situs pinjaman online (pinjol) ilegal dan judi online (judol).
Ada juga strategi nasional keamanan siber untuk mencegah serangan dari dalam maupun dari luar.
Namun, secara realistis, perlindungan ini belum benar-benar efektif menjaga kerahasiaan data digital penduduk Indonesia. Buktinya Whatsapp saya sering coba dibajak.
Implementasi UU PDP masih lambat, kesadaran dan penegakan hukum rendah, serta insiden kebocoran data terus meningkat.
BSSN mencatat ratusan serangan siber setiap tahun, dan Indonesia sering masuk peringkat atas negara dengan kebocoran data terbanyak secara global. Saya termasuk salah satu “korban” di dalamnya tentu saja.
Contoh kasus kebocoran data yang merugikan rakyat yang masuk kategori kasus besar dalam kurun waktu 2023-2025, menunjukkan kerentanan sistem itu sendiri.
Kebocoran data Pusat Data Nasional Sementara (PDNS) 2024, misalnya, di mana peretas berhasil membobol ratusan juta data pribadi dari berbagai instansi pemerintah, termasuk data ASN dan layanan publik. Perlindungan yang jauh dari maksimal.
Kemudian Data Dukcapil dan NPWP (2023-2024) di mana peretas seperti Bjorka membocorkan jutaan data kependudukan dan pajak untuk kemudian dijual di forum gelap.
Bank Syariah Indonesia dan BPJS Kesehatan juga tidak luput dari serangan peretas di mana jutaan data nasabah dan pasien bocor, menyebabkan risiko penipuan identitas dan kerugian finansial. Mengerikan.
KPU dan PLN Mobile jelas berisi data pemilih dan pelanggan listrik, juga bocor dengan total ratusan juta rekaman pada 2023-2025.
Kasus-kasus ini jelas merugikan rakyat karena data pribadi (NIK, nomor HP, alamat) digunakan untuk penipuan, pinjol ilegal, atau pencurian identitas, menyebabkan kerugian materiil dan psikologis.
Pertanyaan yang menggantung pada benak saya, mengapa momor telepon (Whatsapp) sering dibajak? Boleh jadi nomor telepon, terutama yang terkait Whatsapp, karena banyaknya layanan digital (bank, email, media sosial) menggunakan verifikasi SMS/OTP (One Time Password).
Indonesia merupakan salah satu pengguna Whatsapp terbanyak di dunia, sehingga menjadi target empuk sasaran penipuan digital. Diperkirakan mencapai lebih dari 112 juta pengguna pada tahun 2025, menempatkan Indonesia di peringkat ketiga dunia setelah India dan Brasil.
Dari literatur yang saya susuri, saya paham bagaimana cara utama pembajakan, yakni dengan cara yang disebut SIM Swapping, yakni kejahatan siber di mana pelaku menipu operator seluler untuk mentransfer nomor ponsel korban ke kartu SIM mereka, sehingga pelaku bisa menerima SMS dan panggilan korban, termasuk kode OTP untuk membajak akun bank, e-wallet dan media sosial, lalu menguras dana atau mencuri data.
Bagaimana cara kerjanya? Penjahat siber mengumpulkan data pribadi korban (via phishing atau kebocoran data), lalu menghubungi operator seluler dengan berpura-pura sebagai korban untuk memindahkan nomor ke SIM baru mereka.
Mereka lalu menerima OTP dan mengambil alih Whatsapp/akun bank sebagaimana telah saya jelaskan tadi.
Phishing
dan
social engineering
juga sering dilakukan, yakni mengirim
link
(tautan) palsu atau menipu korban dengan memberikan kode verifikasi Whatsapp, atau menggunakan data bocor untuk reset akun email/media sosial.
Banyak cara lainnya, termasuk serangan
malware
sebagaimana yang saya lihat di Moskow, Rusia itu.
Tatkala ponsel Whatsapp saya digunakan oleh orang yang tidak bertanggung jawab dengan maksud melakukan penipuan, jelas saya dirugikan.
Setidak-tidaknya kredibilitas saya jatuh karena dalam aksi penipuannya para pembajak bisa berpura-pura meminjam uang atau menawarkan produk tertentu, biasanya lelang fiktif.
Memang saya tidak kehilangan akses akun Whatsapp, email atau media sosial, tetapi penjahat tentu telah berkirim pesan ke “circle” saya dengan maksud menipu teman atau keluarga. Paling sering modus pinjam uang itu tadi, misalnya.
Mungkin orang lain yang lebih sial dari saya telah kehilangan akses terhadap ponselnya sendiri di mana aplikasi Whatsapp ada di ponsel tersebut.
Padahal, di dalamnya ada aplikas bank dan boleh jadi akses rekening bank seperti transfer ilegal dapat mengakibatkan kerugian jutaan bahkan miliaran rupiah.
Penyebaran data pribadi yang dilakukan oleh seseorang juga dapat digunakan untuk teror, pinjol ilegal, atau pencemaran nama baik.
Apa dampak dari nomor Whatsapp yang dibajak orang berkali-kali? Jelas akan waswas dan traumatis, apalagi “parno” yang tidak hilang begitu saja setelah melihat bagaimana anak-anak remaja di Rusia sedemikian gampangnya membobol akun bank dengan
password
rumit sekalipun.
Tambahan lagi dampak psikologis berupa stres dan kehilangan privasi. Di berbagai tempat, banyak kasus bunuh diri akibat teror melalui
peretasan
akun aplikasi percakapan maupun akun media sosial.
Pemerintah Indonesia aktif memblokir ribuan situs judol dan pinjol ilegal, serta ada Satgas Pemberantasan Judi Online.
Namun, regulasi itu masih longgar dibanding Eropa, yang menerapkan GDPR (General Data Protection Regulation) yang sangat ketat soal data dan batasan usia untuk media sosial/ponsel. Misalnya, anak di bawah 13-16 tahun dilarang memakai platform tertentu tanpa izin orangtua.
Di Indonesia, anak muda sangat rentan, mereka banyak terjebak pinjol ilegal (bunga mencekik, teror penagihan) dan judol (kecanduan cepat).
Dampaknya tentu parah, yakni kerugian finansial, utang menumpuk, depresi, gangguan mental, hingga bunuh diri.
Laporan menunjukkan korban pinjol/judol didominasi usia 19-35 tahun, sering dari kalangan mahasiswa atau pekerja muda.
Dari penelusuran ini timbul pertanyaan pada diri saya, apakah penipuan digital ini terorganisir dan justru melibatkan aparat yang paham seluk-beluk data penduduk?
Bukan saya berburuk sangka, tetapi memang banyak penipuan digital (terutama judol dan scam investasi) karakteristiknya menurut para pemerhati siber bersifat terorganisir, sering melibatkan sindikat internasional (WNA China , Rusia dan Ukraina di Indonesia atau WNI dipaksa menjadi bagian dari kriminalitas ilegal digital di Kamboja dan Myanmar).
Ini seperti “bisnis” dengan
call center, script
penipuan, dan target korban massal.
Soal keterlibatan aparat, ada dugaan oknum aparat penegak hukum terlibat di beberapa kasus lokal, misalnya “kebal hukum” karena kuatnya
backing
, tetapi ini bukan bukti sistematis atau melibatkan institusi secara keseluruhan.
Kebanyakan kasus yang terungkap justru ditangani aparat, seperti penggerebekan sindikat WNA. Rumor ini sering beredar di media sosial, tetapi sumber kredibel lebih menunjuk ke korupsi oknum secara individu ketimbang konspirasi besar institusi.
Atas semua fakta dan kejadian itu, secara pribadi saya berpendapat bahwa pemerintah Indonesia belum cukup serius dan efektif dalam melindungi rakyat di ranah digital, meski ada kemajuan seperti UU PDP tadi.
Bukti nyata adalah kebocoran data masih saja terus terjadi, bahkan setelah regulasi baru diberlakukan dan hal itu menunjukkan
enforcement
masih lemah, tata kelola buruk, dan kurangnya investasi di keamanan siber di sini.
Sementara semua layanan (e-KTP, bank, pemilu) sudah beralih online, rakyat dibiarkan “terpapar” tanpa perlindungan memadai. Ini ibaratnya seperti membangun pasar digital besar tanpa pagar dan personel keamanan yang kuat.
Bandingkan dengan Eropa dan Singapura di mana mereka sangat peduli terhadap generasi mudanya dengan pemberlakuan ketat batas usia dan sanksi berat bagi perusahaan yang melanggar privasi.
Sementara di sini, anak muda justru “terpenjara” pinjol/judol hanya karena edukasi literasi digital yang tidak serius, bahkan masih minim, regulasi yang masih longgar, dan blokir situs mudah diakali VPN (Virtual Private Network).
Penipuan terorganisir memang seperti bisnis haram yang menguntungkan segelintir orang, dan dugaan oknum aparat terlibat semakin memperburuk kepercayaan publik. Bagi saya, ini mencerminkan masalah korupsi struktural yang lebih dalam lagi.
Solusi yang saya usulkan adalah perlunya penegakan hukum super tegas (sanksi berat bagi pengelola data ceroboh), edukasi masif sejak di sekolah, batasan usia untuk platform berisiko, dan kolaborasi internasional melawan sindikat digital terorganisir.
Tanpa itu, rakyat akan terus menjadi korban di “pasar digital” yang tak terkendali ini.
Pemerintah harus bertindak lebih proaktif, bukan reaktif setelah kejadian demi kejadian. Jangan juga seolah menjadi korban seperti yang saya alami dan kesannya putus asa dengan terus menerusnya bertambah korban dari waktu ke waktu.
Karena
keamanan digital
bukan sekadar pilihan, tapi keharusan bagi negara untuk melindungi rakyatnya.
Copyright 2008 – 2025 PT. Kompas Cyber Media (Kompas Gramedia Digital Group). All Rights Reserved.