Rohaya dan Si Telepon Misterius yang Minta Akses VPN
2025-05-21
social-engineeringπ’ DISCLAIMER
Semua tokoh dan cerita dalam serial ini adalah fiktif.
Kalau ada nama, jabatan, atau kejadian yang terasa mirip...
itu murni kebetulan.
Tapi kalau kamu ngerasa relate... ya berarti kamu aja yang tau π
β Kenalan Sama Rohaya
Rohaya itu... staff administrasi senior yang loyal, telaten, dan selalu ngeteh tiap jam 3 sore.
Setiap orang di kantor kenal dia. Termasuk vendor. Termasuk OB. Termasuk... penipu.
π Hari Itu Dimulai Dengan Telepon
Jam 10 pagi, HP Rohaya bunyi. Nomor nggak dikenal. Tapi dia angkat. Karena... ya namanya juga Rohaya β orangnya sopan.
π [Rekaman Percakapan Telepon]
π¦ΉββοΈ Penelepon: "Selamat pagi, Bu Rohaya. Saya dari IT pusat. Kami lagi audit VPN."
π§ Rohaya: "Oh iya Mas, saya ada waktu. Mau dicek apa ya?"
π¦ΉββοΈ Penelepon: "Kami kirim link via SMS ya Bu. Tolong klik dan install aplikasinya."
π§ Rohaya: "Yang warna biru ini? Ada tulisan 'Secure Admin Remote'?"
π¦ΉββοΈ Penelepon: "Betul sekali Bu. Tinggal login seperti biasa."
Dan Rohaya percaya, karena mungkin suaranya yang sopan, tidak mencurigakan. Dan katanya dari βIT Pusatβ.
π§ Beberapa Jam Kemudian...
Tim DevOps detect aktivitas aneh dari VPN internal. IP address luar negeri. Akses ke dashboard sistem. Download database log.
Security langsung lacak.
Dan hasilnya? Satu laptop staff admin terhubung via remote tool gak resmi. Yang ternyata... dari HP Rohaya.
Rohaya: Lah... katanya buat bantu maintenance internal π
π Coba Bayangin...
Kamu dapat telepon, ngaku dari βanak IT pusatβ. Bilang mau bantu. Pakai bahasa sopan. Ngasih link. Minta akses.
Dan kamu gak pernah diajarin buat cek ulang:
- Ini bener dari internal?
- Emang IT support pakai SMS?
- Kenapa minta install tool yang gak ada di portal resmi?
Kamu terlalu percaya sama suara yang terdengar profesional.
Dan dalam dunia Social Engineering... itu kelemahan paling empuk.
π Tapi Kalau Kamu Developer...
...kamu bisa bantu. Karena sistem kamu sekuat apapun, tetap bisa jebol kalau kamu:
- Gak limit IP whitelist buat VPN
- Gak logging remote tool di endpoint user
- Gak kasih edukasi ke end-user via onboarding
- Gak aktifin OTP atau device binding
π‘ Apa yang Bisa Dilakuin?
π‘ Biar Gak Ada Rohaya Berikutnya:
- Validasi semua email & panggilan support via 1 channel resmi.
- Blokir auto-install tool asing di device kantor.
- Setup push-notification saat ada remote access.
- Edukasi user buat selalu tanya ulang: βIni dari tim mana ya, Mas?β
π Terkait OWASP & UUPDP
| Standar/Pasal | Relevansi |
|---|---|
| OWASP A05 | Security Misconfiguration β remote access terbuka |
| Pasal 35 UU PDP | Wajib jaga akses & otorisasi data pribadi |
| Pasal 57 UU PDP | Penyalahgunaan akses = pelanggaran pidana |
π Hikmah Episode Ini
Rohaya bukan staff sembarangan. Dia loyal. Rajin. Sopan.
Tapi penipu... lebih sopan.
Pernah percaya orang yang katanya dari βITβ? Jangan-jangan kamu juga hampir jadi Rohaya.
Konten Terkait :