Jumardi dan Bonus THR dari HRD Gadungan

2025-05-16

📢 DISCLAIMER

Semua tokoh dan cerita dalam serial ini adalah fiktif.
Kalau ada nama, jabatan, atau kejadian yang terasa mirip....
itu murni kebetulan.

🧑‍💻 Kenalan Sama Jumardi

Jumardi itu... anak IT kontrak dengan ambisi permanen. Baru 7 bulan kerja, tapi udah punya target jadi Lead sebelum akhir tahun. Kerja gak kenal waktu, lembur gak pakai dicatat, dan satu-satunya reward yang dia tunggu cuma satu: BONUS THR.

Setiap pagi, dia datang pertama. Setiap sore, dia pulang paling terakhir. Kalau semangat bisa dijual di marketplace, mungkin udah sold out sejak Januari.

📩 Dan Datanglah Hari Sial itu...

Pagi itu, seperti biasa, Jumardi duduk manis di kubikel, buka Slack, GitLab, dan email. Dan dia nemu email dari HRD.

[URGENT] BONUS THR TAMBAHAN UNTUK KARYAWAN DEDIKATIF

From: hrd.reward@kantorpusat.co

Kepada Yth. Sdr. Jumardi Divisi IT Support - Kantor Cabang Bandung

Sehubungan dengan program Apresiasi Karyawan Dedikatif 2025, kami sampaikan bahwa Anda terpilih sebagai salah satu penerima tambahan Bonus THR.

🔹 Nilai bonus: Rp 2.500.000 🔹 Dibayarkan bersamaan dengan payroll reguler bulan ini

Untuk konfirmasi dan pencairan, silakan login ke portal HRD pada link di bawah ini:

🔗 https://hcm.kantorpusat.co/login-bonus

Harap lakukan konfirmasi paling lambat pukul 12.00 WIB hari ini, karena sistem akan ditutup otomatis.

Terima kasih atas kontribusi dan kerja keras Anda. Salam hangat, Tim Human Capital

Jumardi langsung melotot.
Matanya Langsung Berbinar.
Ga Pake Mikir, Dia Klik Tautan di Email ny itu ...

Masuklah dia ke halaman login yang tampangnya nyaris identik dengan portal kantor. Header biru tua, logo kantor, form login — semuanya familiar.

Jumardi: "Wah... keren juga, bikin portal khusus buat bonus!"

Jumardi pun mulai ngetik. Perlahan. Penuh keyakinan.

Email: jumardi@ptusahamasadepan.co.id
Password: jumardi123

Klik Submit.
Loading...

...dan...

🌀 Halaman-nya nge-freeze.

Dia tunggu...
Masih freeze.

Jumardi: "Ah biasa, server-nya sibuk kali."

Dia malah senyum dikit. Bangga. Merasa jadi bagian dari ‘yang terpilih’. Gak sadar... data-nya udah dilahap si penipu.

⚡ Tapi Sementara Itu...

Di warnet pinggir jalan, seseorang tertawa kecil. Wajahnya datar. Tapi matanya puas.

Dia baru aja dapet:

Email aktif
Password valid
Akses ke sistem internal

Hacker: Mudah banget, Jumardi. Terlalu mudah.

Tanpa basa-basi, dia login ke sistem payroll, reset akun finance, dan ubah data THR karyawan jadi... Rp 0.

Lalu dia... keluar warnet. Senyum tipis. Tanpa jejak.

😶 Dan 10 Menit Kemudian...

HP Jumardi bunyi. Nada deringnya masih “Love Scenario”.

Mbak Finance: Mas Jumardi... ini kenapa semua akun payroll logout?! DAN DATA THR KARYAWAN ILANG SEMUA?!

Jumardi langsung pucat. Kopi sachet rasa duriannya tumpah ke keyboard. Kursi kantor berderit. Ada backsound petir. Padahal cuaca cerah.

Jumardi: YA AMPUN... INI BUKAN BONUS... INI BENCANA!

Bersambung ke episode berikutnya...

🤔 Coba Bayangin...

Kalau kamu jadi Jumardi, dapet email "HRD", tampilannya meyakinkan, isinya tentang apresiasi...

…dan kamu gak pernah diajarin tentang email spoofing, gak tau cara bedain domain asli dan palsu, dan kamu keburu seneng.

Kamu gak bodoh. Kamu cuma terlalu percaya.

Di dunia Social Engineering, percaya buta itu kadang... fatal.

🔐 Tapi di Luar Dunia Jumardi...

Kita — sebagai developer, devops, security engineer — harus lihat ini dari sisi lain.

Karena se-powerful apapun sistem yang kita bangun, kalau user kayak Jumardi bisa masuk ke perangkap kayak gini, maka kita harus bantu pasang jaring pengaman.

🧑‍💻 Apa yang Bisa Kita Lakuin?

ℹ️ Info Gaes!

💡 Coba Gini Nih!

Aktifkan SPF, DKIM, dan DMARC di domain email perusahaan.
Pastikan SSO login cuma bisa dari domain resmi (auth.perusahaan.co.id) dan gak bisa di-embed iframe.
Tambahkan alert kalau ada login dari lokasi mencurigakan.
Batasi hak reset data sensitif ke role tertentu aja.
Edukasi user bahwa email bisa dipalsukan, dan link bisa menjebak.

📘 Terkait OWASP & UUPDP

Standar/Pasal	Relevansi
OWASP A10	Improper Redirects & SSRF – attacker bisa eksploitasi login palsu
Pasal 35 UU PDP	Wajib lindungi kerahasiaan & keamanan data pribadi
Pasal 57 UU PDP	Akses ilegal ke sistem = pelanggaran pidana & administratif

😅 Hikmah Episode Ini

Hari itu, Jumardi kehilangan THR. Bukan karena gak dapet... tapi karena dia percaya terlalu cepet.

Dan sekarang, setiap kali HRD ngirim email, Jumardi ngebacanya sambil... nangis tipis-tipis.

⚠️ Waspada, Lur!

Pernah ngerasa jadi Jumardi? Gak papa. Yang penting sekarang paham. Yuk, bantu edukasi tim kamu biar gak jadi episode berikutnya.

Konten Terkait :

Rohaya dan Si Telepon Misterius yang Minta Akses VPN