Tag: Tony Seno Hartono

On Gojek’s Efforts Against Social Engineering

Starting in the Slack’s chat room, a hacking act succeeded to penetrate Twitter’s layered security in mid-July. The attack took over a number of large profile Twitter accounts such as Elon Musk, Bill Gates, Barack Obama, and many more. As well as humiliating Twitter’s reputation as one of the world’s leading technology companies, billions of rupiah have vanished in the form of bitcoin due to the attack.

Saying the attack as hacking is quite inaccurate because the perpetrator did not attack the platform’s security holes. What happened to Twitter in that attack was social engineering. This social engineering attacks human negligence in quite a variety of ways. The perpetrator deceptively managed to earn the trust earned from Twitter employees and used the information he obtained to bypass the platform’s security system. In the ISACA State of Cybersecurity 2020 report, Part 2: Threat and Landscape Security Practices, social engineering is called the number one digital security threat in the world. This encourages the belief that humans are the weakest chain in a digital security system.

Identifying social engineering

What happened to Twitter is also common in other digital platforms, including in Indonesia. If the attack makes employees a foothold to jump over the platform’s security system, there are many cases that attack platform users. In general, user literacy levels are much more diverse than those working in technology companies. Therefore, it is not surprising that social engineering attacks happen to common people. Domestically, this attack trend is increasingly evident. As one of the largest digital platforms in Indonesia, these happen a few times with Gojek users.

The Center for Digital Society (CfDS) from Gadjah Mada University considers social engineering techniques as fraud which is performed by penetrating security networks through user manipulation to obtain classified information. Indeed, the mechanism is not as complicated as a hacking attack. However, as previously stated, this method is widely used because it takes advantage of the victim’s ignorance of the digital ecosystem.

CfDS researcher Tony Seno Hartono revealed some concepts used in social engineering techniques. Phishing is the most common cause. In this case, the perpetrator uses telephone, email, or other media to gather information about the target of the attack. The next mode is SMShing, which mechanism is similar to phishing but using SMS. Furthermore, there is pretexting which relies on a narrative that convinces the victim to retrieve information. Lastly, there is an impersonation. This mode is done by pretending to be someone to collect information from the target victim.

Seizing the victim’s trust is the red thread of all these cases. Making victims off guard and gaining important information regarding personal data, one-time passwords (OTP), and other sensitive data makes it easier for them to penetrate the platform’s security system. For perpetrators, these social engineering techniques are more practical than hacking into security systems. In the context of the digital ecosystem in Indonesia, the threats these social engineering techniques pose can have a huge impact.

Fungus in the rainy season

The form of crime always adapts and develops from time to time with the conditions of society. The fertility of this social engineering method of deception. Indonesia is currently home to Southeast Asia’s largest digital business ecosystem. The We are Social 2020 report shows that there are more than 175 million internet users, thousands of digital startups, and six unicorns in Indonesia. Temasek and Google‘s research stated that the value of the digital economy in Indonesia has reached US$40 billion last year and potentially to double to US$133 billion by 2025.

Although, digital literacy in the country is quite far from sufficient. CfDS stated that digital technology security competence in Indonesia is quite basic and still in middle categories. This is directly proportional to cyberattacks targeting internet users in the region.

The Covid-19 outbreak has become a catalyst that accelerates society’s adaptation to the digital economy. The situation that requires most people to do activities from home forces them to adapt to using all kinds of digital services. This large migration can certainly be interpreted as an opportunity for cybercriminals. The large number of new users who are yet to understand much about digital solutions is an easy target for users of social engineering.

Gojek acts against social engineering

Of the many digital businesses in Indonesia, Gojek is one of the driving forces. Gojek is a decacorn with 20 different services with 3 super apps for customers, driver-partners, and merchant partners. They have also expanded to other countries in the region such as Vietnam, Singapore, the Philippines, and Thailand. By the end of the second quarter of this year, their application has been downloaded more than 190 million times, with more than 2 million drivers, and 500,000 GoFood partners. A study by the Demographic Institute of the Faculty of Economics and Business, Universitas Indonesia in 2019 found that Gojek’s contribution to the national economy has reached IDR 104.6 trillion.

Imagine millions of rotating transactions in one day is enough to convince digital bandits to aim at Gojek users as targets. Gojek acknowledged the threat was real. In fact, Gojek makes three approaches to protect its service ecosystem: technology, protection, and education. The technological approach is the foundation of the security system. They added some innovations such as number masking, two-factor authentication, chat intervention, fingerprint features, face verification, and piracy prevention. GoPay’s  SVP IT Governance, Risk & Compliance, Genesha Nara Saputra explained their team always keeps an eye behind the scenes on the latest attack trends and improves the capabilities of the security infrastructure. However, Ganesha believes that all the technical sophistication they provide can be useless when the perpetrators of social engineering attacks target their common users.

“In the case of social engineering, there is only one effective way, it is education. It has been recognized by the world that this human is the weakest chain. That’s why the key is practical education,” Genesha explained.

Regarding this educational approach, Gojek emphasizes four things for its users. Those are including not to transact outside of the application, secure personal data, use a PIN for every transaction, and immediately complain to customer service or the police when there is something suspicious. This is indeed targeting Gojek driver-partners and merchants too. Of the social engineering cases that happened to Gojek, the perpetrators often target the victim’s electronic wallet.

One of the significant improvements Gojek managed in maintaining the security of its ecosystem is the ability to detect fictional orders. In the past few years, fictitious orders have become a scourge for driver-partners. Another thing is the use of illegal applications such as Fake GPS or most popular among drivers with the term “tuyul”. The illegal application allows rogue drivers to manipulate their location. Gojek’s Head of Driver Operations Trust & Safety, Kevin Timotius said the progress came from the use of machine learning and artificial intelligence that they developed in the Gojek SHIELD technology.

“We have utilized machine learning and artificial intelligence technology to detect and crack down on various fraudulent acts that harm driver-partners, including fictitious orders and the use of illegal devices. Previously, similar technology has also helped improve partner security through face verification and phone number disguise,” said Kevin.

Regardless, social engineering scam remains a latent danger that lurks any user of digital services. This technique is less affected by the sophisticated security infrastructure used by digital startups like Gojek as this act targets a person’s psychology.  This problem can be suppressed only with qualified digital literacy.

However, digital platforms cannot run solely. They need a helping hand from industry, government, non-governmental organizations, and the community to prevent the proliferation of cases of social engineering in Indonesia.


Original article is in Indonesian, translated by Kristin Siagian

Upaya Gojek Melawan Ancaman Rekayasa Sosial

Berawal dari kamar percakapan di Slack, sebuah aksi peretasan berhasil menembus keamanan berlapis milik Twitter pada pertengahan Juli kemarin. Serangan tersebut mengambil alih sejumlah akun Twitter berprofil besar seperti Elon Musk, Bill Gates, Barack Obama, dan banyak lagi. Selain mempermalukan reputasi Twitter sebagai salah satu perusahaan teknologi ternama dunia, uang miliaran rupiah melayang dalam bentuk Bitoin dari serangan tersebut.

Menyebut serangan tersebut sebagai peretasan sebenarnya kurang tepat sebab pelaku tidak menyerang celah keamanan platform. Apa yang terjadi pada Twitter pada serangan itu adalah rekayasa sosial atau social engineering. Rekayasa sosial ini menyerang kelengahan manusia dengan modus yang cukup beragam. Pelaku dengan tipu dayanya berhasil memperoleh kepercayaan yang ia peroleh dari karyawan Twitter dan memanfaatkan informasi yang dia peroleh untuk menembus sistem keamanan platform. Dalam laporan ISACA State of Cybersecurity 2020, Part 2: Threat and Landscape Security Practices, rekayasa sosial disebut sebagai ancaman keamanan digital nomor wahid di dunia. Hal ini menebalkan keyakinan bahwa manusia adalah rantai terlemah dalam sebuah sistem keamanan digital.

Mengidentifikasi rekayasa sosial

Apa yang terjadi pada Twitter itu juga jamak ditemui di platform digital lain termasuk di Indonesia. Jika serangan tersebut menjadikan karyawan sebagai pijakan untuk melompati sistem keamanan platform, kasus serangan yang menyerang pengguna platform tak kalah banyak. Secara umum, tingkat literasi pengguna jauh lebih beragam ketimbang mereka yang bekerja di perusahaan teknologi. Maka tidak mengherankan serangan rekayasa sosial lebih ramai menimpa masyarakat awam. Di dalam negeri, tren serangan ini makin nampak. Sebagai salah satu platform digital terbesar di Indonesia, kasus yang menimpa pengguna Gojek pernah terjadi beberapa kali.

Center for Digital Society (CfDS) dari Universitas Gadjah Mada merumuskan teknik rekayasa sosial sebagai penipuan yang dilakukan dengan menembus jaringan keamanan melalui manipulasi pengguna untuk mendapatkan informasi rahasia. Memang mekanismenya tak serumit serangan peretasan. Namun seperti disebutkan sebelumnya, cara ini banyak dipakai karena memanfaatkan ketidaktahuan korban mengenai ekosistem digital.

Peneliti CfDS Tony Seno Hartono memaparkan sejumlah modus yang dipakai dalam teknik rekayasa sosial. Phishing merupakan modus yang paling banyak ditemui. Dalam modus ini, pelaku menggunakan telepon, surel, atau media lain untuk mengumpulkan informasi mengenai target serangan. Modus berikutnya adalah SMShing yang mekanismenya menyerupai phishing hanya saja memakai SMS. Selanjutnya ada pretexting yang mengandalkan narasi yang meyakinkan korban untuk mengambil informasi. Terakhir ada impersonation. Modus ini dilakukan dengan cara berpura-pura menjadi seseorang untuk mengumpulkan informasi dari target korban.

Merebut kepercayaan korban menjadi persamaan dari semua modus itu. Membuat lengah korban dan meraih informasi penting mengenai data pribadi, kata kunci sekali pakai (one time password/OTP), serta data sensitif lainnya memudahkan mereka menembus sistem keamanan platform. Bagi pelaku, teknik rekayasa sosial ini lebih praktis ketimbang mereka meretas sistem keamanan. Dalam konteks ekosistem digital di Indonesia, ancaman yang dibawa oleh teknik rekayasa sosial ini bisa berdampak begitu besar.

Cendawan di musim hujan

Bentuk kejahatan selalu beradaptasi dan berkembang dari waktu ke waktu dengan kondisi masyarakat. Suburnya penipuan dengan metode rekayasa sosial ini. Indonesia saat ini adalah rumah untuk ekosistem bisnis digital terbesar di Asia Tenggara. Laporan We are Social 2020 mencatat pengguna internet di Indonesia sudah lebih dari 175 juta pengguna internet, ribuan startup digital, dan enam unicorn. Riset Temasek dan Google menyebut nilai ekonomi digital di Indonesia pada tahun lalu mencapai US$40 miliar dan berpotensi berlipat menjadi US$133 miliar pada 2025.

Kendati begitu literasi digital di Tanah Air masih jauh dari cukup. CfDS menyatakan kompetensi keamanan teknologi digital di Indonesia di kategori dasar dan menengah. Hal ini berbanding lurus dengan serangan siber yang menyasar pengguna internet di sini.

Wabah Covid-19 menjadi katalis yang mempercepat adaptasi masyarakat ke ekonomi digital. Situasi yang mengharuskan mayoritas orang berkegiatan dari rumah memaksa mereka beradaptasi untuk memakai segala jenis layanan digital. Migrasi besar tersebut tentu dapat ditafsirkan sebagai peluang bagi pelaku kejahatan siber. Banyaknya pengguna baru yang belum banyak mengerti seluk-beluk solusi digital adalah sasaran empuk pengguna teknik rekayasa sosial.

Langkah Gojek melawan rekayasa sosial

Dari sekian banyak bisnis digital di Indonesia, Gojek merupakan salah satu motor penggeraknya. Gojek adalah decacorn dengan 20 layanan berbeda dengan 3 super app untuk pelanggan, mitra pengemudi, dan mitra merchant. Mereka juga sudah ekspansi ke negara lain di kawasan seperti Vietnam, Singapura, Filipina, dan Thailand. Hingga akhir kuartal kedua tahun ini, aplikasi mereka sudah diunduh lebih dari 190 juta kali, dengan lebih dari 2 juta pengemudi, dan 500.000 mitra GoFood. Studi Lembaga Demografi Fakultas Ekonomi dan Bisnis Universitas Indonesia pada 2019 menemukan kontribusi Gojek terhadap perekonomian nasional menyentuh Rp104,6 triliun.

Membayangkan jutaan transaksi berputar dalam satu hari saja sepertinya sudah cukup meyakinkan para bandit digital melirik pengguna Gojek sebagai target. Gojek mengakui ancaman itu nyata. Sejatinya Gojek membuat tiga pendekatan untuk melindungi ekosistem layanannya: teknologi, proteksi, dan edukasi. Pendekatan teknologi menjadi fondasi Gojek dalam sistem keamanan. Sejumlah inovasi mereka buat seperti penyamaran nomor, two-factor authentication, intervensi chat, fitur sidik jari, verifikasi wajah, hingga pencegahan pembajakan. SVP IT Gobernance, Risk & Compliance GoPay Genesha Nara Saputra menjelaskan di belakang layar tim mereka selalu mengawasi tren serangan terbaru dan meningkatkan kapabilitas infrastruktur keamanan. Namun Ganesha menilai segala kecanggihan teknologi yang mereka sediakan dapat sia-sia belaka ketika pelaku serangan rekayasa sosial menargetkan pengguna mereka yang masih awam.

“Untuk kasus rekayasa sosial ini memang cuma ada satu cara efektif yakni edukasi. Sudah diakui dunia bahwa manusia ini adalah rantai terlemah. Makanya kuncinya cuma edukasi,” terang Genesha.

Perihal pendekatan edukasi ini Gojek menekankan empat hal untuk pengguna mereka. Keempatnya adalah tidak bertransaksi di luar aplikasi, mengamankan data pribadi, menggunakan PIN setiap bertransaksi, dan segera mengadu ke layanan pelanggan atau kepolisian ketika menghadapi sesuatu yang mencurigakan. Edukasi ini tentu juga dimaksudkan kepada mitra pengemudi dan merchant Gojek. Dari sekian kasus rekayasa sosial yang pernah menimpa Gojek sebelumnya, acapkali pelaku mengincar dompet elektronik korban.

Salah satu peningkatan signifikan yang dilakukan Gojek dalam menjaga keamanan ekosistemnya adalah kemampuan mendeteksi order fiktif. Pada beberapa tahun lalu, order fiktif sempat menjadi momok bagi mitra pengemudi. Hal lain yang juga berkembang adalah pendeteksian penggunaan aplikasi ilegal seperti Fake GPS atau populer di kalangan pengemudi dengan nama “tuyul”. Aplikasi ilegal itu memungkinkan pengemudi nakal mengubah lokasi keberadaan mereka sesuka hati meskipun mereka berada di lokasi lain. Head of Driver Operations Trust & Safety Gojek Kevin Timotius mengatakan, kemajuan itu muncul berkat pemanfaatan machine learning dan kecerdasan buatan yang mereka kembangkan dalam teknologi Gojek SHIELD.

“Teknologi machine learning dan kecerdasan buatan telah kami manfaatkan untuk mendeteksi serta menindak berbagai tindakan curang yang merugikan mitra pengemudi, termasuk di antaranya order fiktif dan penggunaan perangkat ilegal. Sebelumnya teknologi sejenis juga telah banyak membantu meningkatkan keamanan mitra lewat fitur verifikasi wajah dan penyamaran nomor telepon,” tukas Kevin.

Terlepas dari itu semua, teknik penipuan rekayasa sosial tetap menjadi bahaya laten yang mengintai pengguna layanan digital mana pun. Teknik ini tidak begitu terpengaruh dengan infrastruktur keamanan yang canggih yang dipakai startup digital seperti Gojek sebab teknik ini mengincar psikologi seseorang. Hanya dengan literasi digital yang mumpuni persoalan ini dapat ditekan.

Meskipun demikian, platform digital tak bisa sendirian. Mereka perlu uluran tangan industri, pemerintah, organisasi swadaya masyarakat, dan masyarakat itu sendiri untuk mencegah menjamurnya kasus rekayasa sosial di Indonesia.

Telkomtelstra dan Microsoft Kolaborasi Hadirkan Layanan Hybrid Cloud di Indonesia

Bekerja sama dengan Microsoft, Telkomtelstra yang merupakan perusahaan patungan antara Telkom dengan operator telekomunikasi Australia, menghadirkan layanan hybrid cloud. Telkomtelstra sendiri dikenal dengan salah satu layanannya berupa managed services, dipadukan dengan produk komputasi awan dari Microsoft Azure.

Keduanya memiliki visi untuk memperkuat penetrasi ke pasar cloud yang tengah berkembang di Indonesia dan membantu perusahaan dalam mematuhi kebijakan residensi data lokal, latensi yang lebih rendah, serta akses kinerja yang lebih baik. Untuk itu Azure Hybrid Cloud dengan Azure Stack dihadirkan.

Mekanisme hybrid cloud memungkinkan pengguna untuk menyimpan aplikasi dan data secara hybrid, ada yang terletak di lingkungan non-virtual (on-premise) ada pula yang diletakkan di layanan private cloud, sesuai dengan kebijakan yang dimiliki.

“Agar bisa selalu memenuhi permintaan pasar, maka di era digital ini semua bisnis harus didukung dengan teknologi cloud, sehingga dapat meningkatkan efisiensi dengan mengurangi biaya, menciptakan inovasi dengan meningkatkan pendapatan dan aset yang tersedia, serta mentransformasi bisnis dengan model bisnis baru,” sambut Presiden Direktur Telkomtelstra Erik Meijer.

Tingkat adopsi teknologi cloud di Indonesia terpantau terus meningkat dan menjadi suatu sistem bagi perusahaan untuk membangun, mengelola dan menciptakan nilai bisnis baru bagi pelanggannya. Menurut Tony Seno Hartono selaku National Technology Officer Microsoft Indonesia, para pemimpin teknologi dalam bisnis tengah melangkah pasti untuk melakukan transformasi digital di organisasi mereka masing-masing.

Kendati demikian, di saat yang bersamaan mereka juga harus mengelola infrastruktur teknologi warisan yang terdahulu. Oleh sebab itu 48% di antaranya lebih mengutamakan hybrid cloud dibandingkan public atau private cloud untuk perusahaan mereka dalam kurun waktu singkat ke depan.

“Beberapa tahun ke depan merupakan masa-masa penting bagi para pemimpin TI, di mana mereka harus melakukan transisi menuju infrastruktur TI modern berbasis cloud yang dibutuhkan untuk memenuhi kebutuhan bisnis digital mereka,” ujar Toni.

Lebih lanjut, kerja sama antara Telkomtelstra dan Microsoft Indonesia juga akan menawarkan solusi menyeluruh dari Azure Public Cloud kepada para pelanggan di Indonesia.

Mendiskusikan Pentingnya Implementasi Big Data dalam Jurnalistik

Era digital membawa penetrasi pengguna internet semakin tinggi, sehingga berdampak pada datangnya informasi dan data yang melimpah. Hal tersebut memberikan kesempatan dan tantangan baru bagi berbagai industri. Salah satunya adalah industri media yang kerap mengalami terpaan arus informasi secara berlebih atau information overload.

Big data menjadi salah satu pendekatan teknologi yang paling sering disinggung. Pemanfaatan big data jadi krusial, sebab kumpulan data yang muncul dengan jumlah sangat besar sejatinya dapat diolah untuk dianalisis di berbagai keperluan seperti melakukan prediksi, membuat keputusan, membaca sebuah tren, melihat tingkah laku konsumen dan lain sebagainya.

Di industri media, penulisan jurnalistik akan lebih rinci, menarik, dan kredibel bila disertai penggunaan dan analisis data yang kuat. Pun demikian, perlu ketelitian dalam memilah data saat akan digunakan sebagai sumber acuan, baik untuk penelitian maupun penulisan berita.

Terkait hal tersebut, Wahyu Dhyatmika, perwakilan dari Aliansi Jurnalis Independen (AJI), menerangkan jurnalisme data sangat ampuh untuk menajamkan angle seorang jurnalis sebelum menayangkan berita. Cara kerja jurnalisme data pada umumnya sama seperti pada umumnya, yakni merumuskan pertanyaan, menemukan data, mendapatkan data, memilah data, menganalisis, dan mempresentasikan data.

Ia mencontohkan untuk sebuah laporan investigatif penggunaan big data sangat berguna bagi jurnalis saat menjawab hipotesis dari pertanyaan yang ingin dipecahkan. Apabila dari hasil data ditemukan hipotesis terbantahkan, berarti jurnalis tersebut bisa langsung mengubah arah tulisan mereka.

“Jurnalisme data itu butuh cara kerja yang berbeda dari yang biasa dilakukan, narasinya pun tidak tunggal, malah pembaca sendiri yang diharuskan mengambil kesimpulan. Proses pengerjaan berita di newsroom pun, bila dari big data hipotesis sudah terbantahkan, jurnalis jadi tahu kapan harus mengubah pertanyaannya. Proses pengerjaan jadi lebih efisien,” terang Wahyu, Senin (14/11).

Wahyu mengakui, masih banyak sumber data (berupa situs website) di tanah air yang belum real-time pengumpulan datanya. Sehingga saat melakukan jurnalisme data, sang jurnalis butuh waktu yang banyak untuk mengumpulkan data yang diperlukan satu per satu. Beberapa situs data yang sering diandalkan disediakan oleh pemerintah untuk diakses oleh publik, misalnya Badan Meteorologi, Klimatologi, dan Geofisika (BMKG), Badan Pusat Statistik (BPS), dan Pemerintah Provinsi DKI Jakarta.

Wahyu kembali mencontohkan, salah satu pemanfaatan big data yang tepat dengan mengawinkan data yang tersedia untuk publik dengan teknologi tercermin dari apa yang dilakukan oleh India Spend, Connected China, Medicare Unmasked yang disediakan oleh Wall Street Journal, dan perjalanan karier Kobe Bryant dalam grafik foto dihadirkan oleh LA Times.

Keseluruhan situs tersebut, disajikan dalam satu halaman saja dengan data yang ditumpahkan seluruhnya oleh pemilik media. Publik bisa menarik sendiri narasi sesuai dengan apa yang mereka inginkan.

Tony Seno Hartono, National Technology Officer Microsoft Indonesia, menambahkan dalam data yang disajikan APJII 2016 tingkat penetrasi internet yang sudah mencapai angka 132,7 juta pengguna mengakibatkan timbulnya data yang melimpah. Kondisi ini telah menjadi tantangan baru bagi industri media untuk menyaring data yang masuk agar tidak berlebihan dan tetap relevan.

Tony mencontohkan, salah satu aplikasi yang dapat dimanfaatkan oleh jurnalis ataupun orang-orang dari industri lainnya untuk mengolah data mentah jadi data matang, yakni dengan memanfaatkan Power BI (sebuah perangkat visualisasi data dari Microsoft).

“Kekuatan data sangat diperlukan oleh seluruh industri, termasuk media. Agar industri dapat menghadapi tantangan, maka data yang disajikan harus kredibel,” ujar Tony.

Masih Banyak PR untuk Sukseskan Adopsi Internet of Things di Tanah Air

Masih Banyak PR Yang Harus Dipersiapkan Untuk Memaksimalkan Potensi IoT / Shutterstock

Beberapa waktu lalu, saat kita membicarakan IoT (Internet of Things) khususnya di Indonesia, mungkin masih sebatas terkait dengan definisi atau konsep implementasi yang memungkinkan untuk dilakukan di lingkungan kita. Saat ini teknologi yang terus bertumbuh dan merata mau tak mau memaksa kita untuk mampu beradaptasi dengannya. Begitu juga dengan teknologi berbasis IoT yang sudah mulai ramai diproduksi dan diimplementasikan. Continue reading Masih Banyak PR untuk Sukseskan Adopsi Internet of Things di Tanah Air