Pendahuluan

Multi-Factor Authentication (MFA) adalah salah satu teknologi keamanan paling efektif saat ini. Namun di sisi lain, social engineering adalah senjata andalan para peretas yang menyerang bukan teknologi, tapi manusia.

Pertanyaannya: dapatkah MFA mengalahkan social engineering? Atau justru teknik manipulasi manusia ini tetap bisa menembus lapisan-lapisan keamanan digital?

Dalam artikel ini, kita akan membedah pertarungan antara MFA dan social engineering, dua kekuatan dari dunia keamanan dan peretasan digital yang terus berevolusi.

Apa Itu Social Engineering?

Social engineering adalah teknik manipulasi psikologis untuk membuat seseorang memberikan informasi rahasia atau melakukan tindakan tertentu tanpa sadar.

Alih-alih menerobos sistem, peretas memanipulasi manusia sebagai celah.

Contoh teknik social engineering:

  • Phishing: Email palsu mengarahkan pengguna ke situs login palsu

  • Pretexting: Peretas berpura-pura sebagai petugas IT meminta OTP

  • Vishing: Panggilan suara yang meyakinkan pengguna untuk membocorkan kode autentikasi

  • MFA Prompt Bombing: Membanjiri notifikasi hingga korban menyetujuinya tanpa berpikir

Bagaimana MFA Melindungi?

MFA melindungi akun dengan meminta lebih dari satu bukti identitas, seperti:

  • Password (faktor pengetahuan)

  • OTP dari ponsel (faktor kepemilikan)

  • Sidik jari atau wajah (faktor biometrik)

Artinya, meskipun password berhasil dicuri, akun tetap aman tanpa verifikasi tambahan.

Titik Lemah MFA: Faktor Manusia

Meski sistem MFA sangat kuat secara teknis, faktor manusia sering menjadi celah. Berikut beberapa skenario nyata:

1. Pengguna Memberikan OTP ke Peretas

Saat ditelepon oleh orang yang mengaku dari bank atau perusahaan teknologi, banyak pengguna tanpa sadar memberikan OTP atau kode autentikasi.

2. Pengguna Menyetujui Permintaan Login Palsu

MFA berbasis push notification bisa dibanjiri permintaan hingga korban secara refleks menekan tombol “Setujui”.

3. Phishing Halaman MFA

Peretas membuat halaman login palsu yang juga meminta kode autentikasi — dan meneruskannya ke sistem asli secara real-time.

Siapa yang Menang?

Jika hanya mengandalkan teknologi, MFA menang.

Namun, jika peretas berhasil mengelabui manusia, social engineering bisa menembus MFA.

Dalam banyak kasus kebocoran data besar, kelemahan utamanya bukan sistem — tetapi pengguna yang tertipu.

Cara Mengatasi Social Engineering terhadap MFA

  1. Edukasi Pengguna

    • Ajarkan bagaimana mengenali email, situs, atau telepon palsu

    • Beri tahu bahwa OTP tidak boleh diberikan kepada siapa pun

  2. Gunakan MFA yang Lebih Aman

    • Gunakan aplikasi autentikator daripada SMS

    • Gunakan MFA berbasis perangkat fisik seperti YubiKey

  3. Terapkan Notifikasi Detail

    • Notifikasi login harus menampilkan lokasi, perangkat, dan waktu login

  4. Blokir MFA Spam

    • Batasi jumlah permintaan autentikasi dalam waktu singkat

  5. Pantau Perilaku

    • Gunakan sistem deteksi anomali dan login mencurigakan

Kesimpulan

MFA adalah perisai kuat, tapi bukan pedang yang tak tertembus. Ketika bertemu dengan social engineering, semua kembali pada kesadaran pengguna. Sistem yang hebat bisa tumbang jika manusia di dalamnya tidak siap.

Jadi, siapa yang menang? Mereka yang sadar dan waspada. Gabungan antara teknologi MFA dan edukasi pengguna adalah kunci untuk menang dalam pertarungan melawan rekayasa sosial digital.

Penulis: Andi Waldiyunso

NIM: 23156201003

Jurusan: Sistem Komputer, STMIK Catur Sakti Kendari