SocEng Lab: Membangun Cognitive Defense Melalui Simulasi Social Engineering

Pendahuluan: Dari Teori Psikologi ke Ruang Latihan Digital

Social engineering bukan lagi sekadar topik yang muncul di modul keamanan informasi ia telah menjadi frontline attack vector dalam setiap insiden besar selama dekade terakhir.
Kita tahu: eksploitasi manusia lebih efisien daripada eksploitasi sistem. Tapi selama ini, materi pembelajaran yang ada berhenti di level kesadaran (awareness), bukan ketangkasan (skill).

Banyak training masih berupa video motivasi dan checklist “jangan klik link sembarangan”, padahal di dunia nyata, manipulasi sosial jauh lebih dinamis dan kontekstual.
Ada rasa ingin tahu, tekanan waktu, bahkan elemen psikologis yang dipelajari dari riset perilaku konsumen.

Inilah ruang yang coba diisi SocEng Lab platform laboratorium interaktif di bawah Tegalsec, yang bertujuan membangun muscle memory dalam mengenali dan mematahkan manipulasi sosial.
Bukan lewat ceramah, tapi lewat simulasi.
Bukan lewat teori, tapi lewat pengalaman.

Visi: Membangun Kesadaran yang Dapat Diukur

Ketika proyek ini dimulai, ide awalnya sederhana:
“Bagaimana jika social engineering awareness bisa dipelajari seperti CTF?”

Kita ingin keluar dari konsep “ceramah + quiz”, menuju experience-based learning.
Setiap pengguna harus bisa merasakan sendiri bagaimana bias psikologis dieksploitasi.
Dan, yang paling penting, setiap progres harus terukur.

Dari situlah konsep SocEng Dashboard lahir.
Platform ini memadukan gamifikasi, progress tracking, dan psychological pattern analysis dalam satu ekosistem.
User tidak hanya belajar, tapi membentuk kebiasaan baru dengan data engagement yang konkret.

Struktur Utama Platform

Ketika pengguna login ke soceng.tseclabs.xyz, mereka akan langsung bertemu dengan sistem yang rapi dan modular.
Setiap bagian memiliki fungsi edukatif dan psikologis sendiri.

1. Dashboard

Tempat semua data progres berkumpul.
Dari total points, streak harian, hingga progress level (Beginner → Intermediate → Advanced).

Sistemnya berbasis reward loop.
Semakin konsisten pengguna berlatih, semakin cepat mereka naik level.
Dashboard juga menampilkan daily challenge skenario sosial engineering yang berubah setiap hari dengan bonus poin ganda.

2. Challenges – Cialdini’s Principles in Action

Bagian inti dari SocEng Lab.
Setiap challenge didesain berdasarkan 6 prinsip pengaruh Cialdini:
Reciprocity, Commitment, Social Proof, Authority, Liking, dan Scarcity.

Total ada 37 challenge aktif yang terbagi dalam kategori (akan terus diupdate):

• Kasus Indonesia – simulasi penipuan lokal berbasis marketplace, investasi, hingga voice phishing.
• Phishing & Baiting – latihan mendeteksi anomali teknis dan manipulasi emosional.
• Pretexting – skenario berbasis narasi internal perusahaan, HR, dan social infiltration.
• Dan yang lainya

Setiap challenge memiliki:

• Deskripsi psikologis (apa bias yang dieksploitasi)
• Skenario nyata
• Referensi kasus publik
• 10 pertanyaan analisis situasional
• Progress & poin spesifik (100–250 pts per challenge)

Studi Kasus: Voucher Gratis Marketplace

Untuk memahami logika challenge, kita ambil contoh Voucher Gratis Marketplace: Trap Belanja Minimal dari kategori Reciprocity.

Deskripsi:

Strategi promosi marketplace besar memanfaatkan rasa ingin membalas kebaikan.
Voucher gratis Rp100K, tetapi hanya berlaku jika belanja Rp500K.
Akibatnya, pengguna mengeluarkan lebih banyak uang agar “tidak rugi”.

Skenario:

Pengguna menerima notifikasi dari “Tokobeli”:
“Selamat! Anda mendapat voucher gratis Rp100K, minimal belanja Rp500K, berlaku hari ini.”
Produk yang dibutuhkan seharga Rp200K, tapi agar voucher berlaku, pengguna menambah barang hingga Rp500K.
Akhirnya membayar Rp400K, bukan Rp200K.

Pertanyaan Analisis (contoh):

1. Bagaimana prinsip reciprocity dieksploitasi dalam kasus ini?
   ✅ Jawaban benar:
   “Voucher gratis menciptakan rasa wajib menggunakan hadiah tersebut. Syarat belanja memaksa pengguna mengeluarkan lebih banyak uang untuk ‘menghemat’ Rp100K.”

2. Apa tujuan taktik urgensi “berlaku hari ini saja”?
   ✅ Kombinasi scarcity dan reciprocity: rasa takut kehilangan kesempatan + tekanan waktu.

Setiap challenge seperti ini memaksa peserta berpikir cepat, menganalisis motif pelaku, dan memahami titik kelemahan manusia bukan sekadar mengenali “email palsu”.

Mini Game: Spot the Phishing

Salah satu fitur paling populer di lab ini adalah mini game deteksi email phishing.
Game ini hanya berdurasi 60 detik dan memberi 3 nyawa, dengan sistem streak bonus untuk jawaban benar beruntun.

Gameplay:

• Email akan muncul acak di layar.
• Pengguna harus memilih PHISHING atau LEGITIMATE secepat mungkin.
• Setiap kesalahan mengurangi satu nyawa, dan waktu terus berjalan.

Contoh level:

From: support@banc-bca.co.id
Subject: URGENT: Verifikasi Akun Anda Sekarang!
“Akun Anda terdeteksi aktivitas mencurigakan. Klik link berikut dalam 24 jam atau akun akan ditutup: [http://bca-verify.ml/login]”

Jawaban: 🔴 Phishing.
Domain tidak valid, format pesan mendesak, dan link eksternal mencurigakan.

Game ini menjadi simulasi nyata phishing pressure environment.
Ketika waktu hampir habis, otak pengguna harus mengandalkan insting dan di sinilah awareness level sebenarnya diuji.

Course: Belajar Secara Terstruktur

SocEng Lab tidak hanya berisi challenge.
Ada juga Course Section (masih tahap pengembangan) yang dirancang seperti mini curriculum dengan alur berjenjang:

1. Fundamental Social Engineering

• • Durasi: 120 menit
  • 3 modul: teori, pola psikologis, dan studi kasus
  • Level: Beginner

1. Advanced Phishing Techniques

• • Durasi: 90 menit
  • Modul tunggal dengan pendekatan deteksi dan forensik ringan
  • Level: Advanced

Kedua course ini mempersiapkan peserta sebelum menghadapi Quiz Mode dan Challenge Expert.
Bagi instruktur, section ini juga berfungsi sebagai syllabus digital memudahkan integrasi ke sesi workshop atau pelatihan langsung.

Quiz Mode: Mode Kompetisi Cepat

Untuk peserta yang sudah memahami banyak challenge, tersedia SocEng Quiz Mode.
Formatnya speed quiz: 10 pertanyaan acak, waktu total 60 detik, dan bonus 1.5x untuk penyelesaian cepat.

Contoh soal:

“Bagaimana membedakan penawaran keamanan palsu dari yang sah?”
✅ Periksa reputasi perusahaan, domain resmi, referensi klien, dan kontrak tertulis sebelum aktivitas teknis.

Quiz ini menguji pemahaman lintas kategori dari phishing, pretexting, hingga quid pro quo scams.

Achievement System & Engagement Metrics

SocEng Lab menggunakan sistem penghargaan berbasis pengalaman untuk meningkatkan retensi pengguna.

• Achievement “First Blood” – ketika menyelesaikan challenge pertama.
• Achievement Points – total poin dikalkulasi dari kombinasi challenge, streak, dan quiz.
• Daily Activity Heatmap – visualisasi seberapa aktif pengguna per hari.
• Leaderboard Global – memunculkan top 10 peserta mingguan dan bulanan.

📊 Engagement Data (versi Beta):

• • Rata-rata penyelesaian challenge: 12 menit
  • Rata-rata streak pengguna aktif: 4,6 hari
  • Challenge paling populer: Deepfake Voice Phishing: AI-Generated CEO Voice (250 pts)
  • Rata-rata akurasi di Mini Game “Spot the Phishing”: 78%

Data ini bukan sekadar statistik ia mencerminkan behavioural learning curve pengguna yang berprogres dari sekadar sadar menjadi reflektif.

Pendekatan Desain: Edukasi yang Realistis tapi Etis

Dalam merancang platform ini, kami menetapkan tiga prinsip utama:

1. Learning Through Simulation
   Setiap kasus diambil dari data nyata namun direkonstruksi ulang agar aman dan etis.
   Tidak ada eksploitasi aktif atau data personal nyata yang digunakan.

2. Indonesia Context First
   Sebagian besar skenario mengacu pada pola lokal:

   • Marketplace traps (Tokopedia, Shopee, Lazada)

   • Phishing via voice note / deepfake

   • Investasi fiktif “AI Trading”

   • Corporate scam dengan impersonasi CEO

   Pendekatan ini membuat pengguna langsung merasa relevan dan memahami risikonya dalam konteks kehidupan digital mereka sendiri.

3. Measurable Awareness
   Setiap interaksi menghasilkan data numerik: waktu respons, ketepatan, dan pola kesalahan.
   Hasil ini bisa digunakan oleh trainer, HR, atau organisasi untuk evaluasi tingkat kesiapan SDM mereka.

Ekosistem Teknis di Balik Layar

Platform ini dibangun dengan arsitektur modern berbasis container agar mudah dikembangkan dan di-deploy.

Stack utama:

• Frontend: React + Tailwind
• Backend: FastAPI (Python)
• Database: MongoDB
• Reverse Proxy: Nginx
• Deployment: Docker Compose di VPS TegalSec Labs

Keuntungan desain ini:

• Modular scalability: setiap komponen (challenge API, game engine, quiz service) bisa diupdate terpisah.
• Security sandbox: setiap user session dipisahkan agar tidak ada data sharing antarpeserta.
• Real-time scoring: backend menghitung skor dinamis dan menyimpan progres di database per akun.

Seluruh environment dapat di-deploy ulang di lab internal atau workshop offline tanpa koneksi internet, membuatnya ideal untuk pelatihan lapangan.

Dari Awareness Menuju Ketangkasan (Skill)

Salah satu konsep yang paling sulit dalam pelatihan keamanan manusia adalah mengubah “kesadaran” menjadi “refleks”.
Itulah kenapa SocEng Lab tidak berhenti di pelatihan pasif.

• Saat user memainkan mini game, mereka sebenarnya sedang melatih heuristic decision-making.
• Saat user menganalisis challenge, mereka mengasah metakognisi dan bias awareness.
• Saat menjawab quiz cepat, mereka membangun intuitive risk pattern recognition.

Pendekatan ini adalah bentuk baru security conditioning: mengajarkan otak manusia untuk mengenali tanda bahaya tanpa perlu berpikir panjang.

Untuk Komunitas: Kolaborasi dan Kontribusi

Tegalsec selalu memandang riset dan edukasi sebagai dua sisi dari koin yang sama.
SocEng Lab terbuka untuk kolaborasi dari komunitas dan akademisi:

• Kontributor Challenge: menulis kasus baru berbasis insiden lokal (misal: scam rekrutmen, deepfake keuangan, dll.)
• Instruktur & Trainer: menggunakan lab sebagai bahan praktikum dalam workshop atau seminar.
• Peneliti: menganalisis data anonim (pattern kesalahan, waktu respons, atau pengaruh urgensi).

Semua kontribusi akan dikurasi secara etis dan diverifikasi oleh tim Tegalsec sebelum dipublikasikan di platform.

Rencana Pengembangan (Q1-Q2 2026)

Beberapa fitur sedang disiapkan untuk fase berikutnya:

1. Instructor Dashboard untuk memonitor progres peserta per kelas.
2. Dynamic Difficulty sistem yang menyesuaikan tingkat kesulitan otomatis berdasarkan performa pengguna.
3. Challenge Creator Engine memungkinkan kontributor menulis challenge langsung lewat antarmuka web.
4. Enterprise Edition mode simulasi phishing internal organisasi.
5. Mobile-Responsive Mode adaptasi UI untuk smartphone (khusus training lapangan).

Setiap fitur baru akan tetap membawa semangat awalnya: melatih otak, bukan sekadar membaca teori.

Kesimpulan: “Train the Mind Before the Machine”

Banyak yang berpikir keamanan adalah soal teknologi.
Namun pengalaman di lapangan dari pentest, red team, hingga forensic investigation menunjukkan bahwa manusia tetap rantai terlemah.

SocEng Lab diciptakan bukan untuk menakuti pengguna, melainkan untuk melatih insting pertahanan digital.
Platform ini menempatkan pengguna di tengah permainan manipulasi, lalu perlahan mengajarkan mereka untuk mengenali, menolak, dan menilai.

Ketika kita bisa mengubah intuisi manusia menjadi lapisan keamanan, maka kita telah menciptakan pertahanan paling kuat:
Kesadaran yang terlatih.