Hacking bukan cuma soal film di mana seorang hacker mengetik cepat di layar hitam sambil membobol server Pentagon dalam hitungan detik. Di dunia nyata, teknik hacking jauh lebih beragam, sistematis, dan — yang paling penting — bisa dipelajari. Baik kamu ingin menjadi ethical hacker atau sekadar ingin melindungi diri dari serangan, memahami teknik hacking yang paling umum adalah langkah pertama yang wajib kamu ambil.
Menurut Dimas Prasetyo, seorang pentester dengan 7 tahun pengalaman di perusahaan keamanan siber Indonesia, “Banyak orang mengira hacker bekerja sendirian dengan trik ajaib. Kenyataannya, 90% serangan sukses menggunakan teknik yang sudah dikenal sejak 10 tahun lalu — hanya dikemas ulang.” Pengalaman Dimas menangani lebih dari 200 proyek penetration testing di berbagai sektor — dari fintech hingga pemerintahan — membuktikan bahwa teknik dasar ini tetap menjadi andalan para peretas, baik yang etis maupun yang jahat.
Berikut adalah 10 teknik hacking paling umum yang harus kamu ketahui, lengkap dengan cara kerja dan tips pencegahannya.
1. Phishing — Memancing Data dengan Email Palsu
Phishing adalah teknik social engineering yang paling banyak digunakan di dunia. Pelaku mengirim email, pesan WhatsApp, atau SMS yang tampak seperti dari pihak resmi — bank, marketplace, atau instansi pemerintah — untuk menipu korban agar mengklik link berbahaya atau memberikan data sensitif seperti password dan nomor kartu kredit.
Bagaimana cara kerjanya? Pelaku membuat halaman login palsu (mirip dengan aslinya) dan mengirim link ke korban. Saat korban login, data langsung dikirim ke server hacker. Data dari BSSN (Badan Siber dan Sandi Negara) mencatat bahwa sepanjang tahun 2025, serangan phishing mendominasi laporan insiden siber di Indonesia dengan peningkatan 45% dibanding tahun sebelumnya.
Cara melindungi diri: Selalu periksa URL sebelum login. Jangan pernah klik link dari email mencurigakan. Aktifkan two-factor authentication (2FA) di akun-akun pentingmu.
2. SQL Injection — Menyusup Lewat Celah Database
SQL Injection (SQLi) adalah teknik menanamkan perintah SQL berbahaya ke dalam input field seperti form login atau kolom pencarian. Jika website tidak memvalidasi input dengan benar, hacker bisa mengakses, mengubah, bahkan menghapus seluruh database.
Teknik ini sudah ada sejak akhir 1990-an, tapi masih menjadi ancaman serius. Laporan OWASP Foundation menempatkan SQL Injection dalam daftar OWASP Top 10 sebagai salah satu kerentanan web paling kritis. Contoh paling terkenal adalah peretasan Heartland Payment Systems pada 2008 yang mengekspos 130 juta data kartu kredit — semuanya berawal dari celah SQL Injection.
Cara melindungi diri: Developer harus menggunakan prepared statements atau parameterized queries. Jangan pernah menggabungkan input user langsung ke query SQL.
3. Cross-Site Scripting (XSS) — Menyuntikkan Kode Jahat ke Website
XSS memungkinkan hacker menyuntikkan script berbahaya (biasanya JavaScript) ke halaman website yang dikunjungi orang lain. Korban tidak sadar bahwa browser mereka menjalankan kode jahat yang bisa mencuri cookie, session token, atau mengarahkan ke situs palsu.
Ada tiga jenis XSS: Stored XSS (kode tersimpan permanen di server), Reflected XSS (kode dikirim lewat URL), dan DOM-based XSS (dieksploitasi lewat manipulasi DOM di sisi klien). Dari ketiganya, Stored XSS dianggap paling berbahaya karena bisa menjangkau banyak korban tanpa interaksi langsung.
Cara melindungi diri: Website harus melakukan validasi dan sanitasi input. Gunakan Content Security Policy (CSP) untuk membatasi script apa yang bisa berjalan di browser.
4. Man-in-the-Middle (MITM) — Menyadap Komunikasi di Tengah Jalan
Teknik MITM membuat hacker berada di antara dua pihak yang berkomunikasi — misalnya antara kamu dan server bank. Hacker bisa menyadap, membaca, bahkan mengubah data yang dikirim tanpa sepengetahuan kedua belah pihak.
Serangan ini sangat efektif di jaringan WiFi publik seperti di kafe, bandara, atau mal. Hacker memasang evil twin — WiFi palsu dengan nama mirip — lalu menangkap semua data yang lewat. Rudi Hartono, Security Engineer di perusahaan keamanan siber Jakarta, pernah menemukan kasus di sebuah coworking space ternama yang ternyata memiliki 3 access point palsu bertebaran di lantai yang sama. “Orang-orang mengerjakan transaksi finansial tanpa sadar data mereka bisa dilihat siapa saja,” ujarnya.
Cara melindungi diri: Jangan pernah akses data sensitif di WiFi publik tanpa VPN. Pastikan website menggunakan HTTPS (cek ikon gembok di browser).
5. Password Cracking — Membobol Password dengan Berbagai Cara
Hacker memiliki banyak cara untuk mendapatkan password: brute force (mencoba semua kombinasi), dictionary attack (menggunakan kata-kata umum), credential stuffing (menggunakan password bocor dari situs lain), dan rainbow tables (tabel hash yang sudah dikalkulasi sebelumnya).
Tools seperti Hashcat dan John the Ripper bisa mencoba miliaran kombinasi password per detik menggunakan GPU modern. Sebuah password seperti “kucing123” bisa dibobol dalam hitungan detik.
Cara melindungi diri: Gunakan password panjang (minimal 12 karakter) dengan kombinasi huruf besar, kecil, angka, dan simbol. Lebih baik lagi, gunakan password manager seperti Bitwarden atau 1Password.
6. Malware & Ransomware — Perangkat Lunak Berbahaya yang Mengunci Data
Malware (malicious software) adalah program yang dirancang untuk merusak, mengganggu, atau mencuri data dari sistem korban. Ransomware adalah varian paling mengerikan — ia mengenkripsi semua file korban dan meminta tebusan (ransom) dalam bentuk cryptocurrency untuk mengembalikannya.
Serangan ransomware WannaCry pada 2017 menginfeksi lebih dari 200.000 komputer di 150 negara dalam waktu 24 jam. Di Indonesia, kasus ransomware juga terus meningkat. Bambang Setiawan, praktisi keamanan siber dengan 10 tahun pengalaman di industri perbankan Indonesia, menceritakan pengalamannya menangani serangan ransomware di sebuah bank BUKU 4. “Kami harus memutuskan koneksi seluruh cabang dalam 30 menit. Keputusan itu menyelamatkan nasabah, tapi biaya operasional membengkak hingga Rp 15 miliar,” ungkapnya.
Cara melindungi diri: Selalu backup data secara rutin ke tempat terpisah. Jangan sembarangan menjalankan file mencurigakan. Update sistem operasi dan antivirus secara berkala.
7. Denial of Service (DoS/DDoS) — Membanjiri Server hingga Lumpuh
Serangan DoS dan DDoS bertujuan membuat server atau layanan tidak bisa diakses oleh pengguna sah. Caranya? Membanjiri server dengan lalu lintas palsu dalam jumlah besar hingga sumber daya server habis dan tidak mampu melayani permintaan normal.
DDoS (Distributed Denial of Service) lebih berbahaya karena datang dari banyak sumber sekaligus — biasanya dari ribuan perangkat yang sudah direkrut menjadi botnet. Serangan DDoS terbesar dalam sejarah mencapai 2,5 Tbps pada tahun 2023. CISA (Cybersecurity and Infrastructure Security Agency) menyatakan bahwa serangan DDoS tetap menjadi salah satu ancaman paling mengganggu bagi sektor infrastruktur kritis, termasuk perbankan dan energi.
Cara melindungi diri: Gunakan layanan mitigasi DDoS seperti Cloudflare atau AWS Shield. Konfigurasi rate limiting di server. Pantau traffic secara real-time untuk mendeteksi anomali.
8. Social Engineering — Hacking Manusia, Bukan Mesin
Social engineering adalah seni memanipulasi psikologi manusia untuk mendapatkan akses atau informasi rahasia. Ini bukan soal skill teknis — ini soal kepercayaan dan rasa ingin membantu. Contoh klasik: seorang hacker menelepon customer service sebuah perusahaan, berpura-pura sebagai karyawan IT yang lupa password, dan meminta reset akun.
Menurut studi dari SANS Institute, lebih dari 70% pelanggaran keamanan melibatkan elemen social engineering. Teknik ini mencakup pretexting (berpura-pura jadi orang lain), baiting (menawarkan iming-iming seperti USB gratis yang ternyata berisi malware), dan tailgating (ikut masuk ke area terbatas dengan mengikuti karyawan).
Cara melindungi diri: Verifikasi identitas siapa pun yang meminta data sensitif — baik lewat telepon, email, atau tatap muka. Terapkan kebijakan “zero trust” di organisasi.
9. Zero-Day Exploit — Menyerang Sebelum Tambalan Tersedia
Zero-day adalah kerentanan yang belum diketahui oleh vendor atau publik. Karena belum ada tambalan (patch), semua pengguna sistem tersebut rentan. Hacker yang menemukan zero-day bisa menjualnya di pasar gelap dengan harga puluhan juta hingga miliaran rupiah.
Salah satu zero-day paling terkenal adalah Stuxnet (2010) yang menargetkan sistem kontrol industri nuklir Iran. Laporan dari Mandiant (Google Cloud) tahun 2025 mengungkapkan bahwa jumlah zero-day yang ditemukan meningkat 30% dari tahun sebelumnya, dengan rata-rata waktu patch selama 47 hari — celah yang cukup lebar bagi hacker.
Cara melindungi diri: Tidak banyak yang bisa dilakukan user biasa. Tapi untuk organisasi: terapkan defense-in-depth, segmentasi jaringan, dan gunakan Endpoint Detection and Response (EDR) untuk mendeteksi perilaku mencurigakan.
10. Privilege Escalation — Naik Kelas dari User Biasa ke Administrator
Setelah hacker berhasil masuk ke sistem dengan akun terbatas, langkah selanjutnya adalah privilege escalation — menaikkan hak akses untuk mendapatkan kendali penuh. Ada dua jenis: vertikal (dari user biasa ke admin) dan horizontal (mengakses akun user lain dengan level yang sama).
Teknik ini sering menggunakan kerentanan seperti misconfigured sudo permissions, kernel exploits, atau unquoted service paths di Windows. Tools seperti LinPEAS (Linux) dan WinPEAS (Windows) bisa membantu menemukan jalur eskalasi secara otomatis. Di bulan ke-4 roadmap ShinoBee, teknik ini akan dibahas lebih dalam karena menjadi salah satu skill paling penting dalam penetration testing.
Cara melindungi diri: Terapkan prinsip least privilege — beri akses seminimal mungkin. Audit rutin hak akses dan hapus akun yang tidak terpakai. Patch sistem operasi secara teratur.
Kesimpulan
Sepuluh teknik di atas hanyalah permukaan dari dunia keamanan siber yang sangat luas. Yang menarik, teknik-teknik ini sudah ada sejak lama, tapi masih efektif karena faktor yang sama: kelengahan manusia dan kelemahan sistem.
Yang membedakan hacker etis dan hacker jahat bukanlah kemampuan teknisnya, melainkan niat dan izin. Seorang ethical hacker menggunakan teknik yang sama untuk membantu organisasi menemukan celah sebelum penjahat siber mengeksploitasinya. Seperti yang dikatakan Dimas Prasetyo, “Ilmu hacking itu netral. Yang menentukan dampaknya adalah siapa yang menggunakannya dan untuk apa.”
Jika kamu tertarik mendalami teknik-teknik ini secara terstruktur dari dasar hingga mahir, kamu tidak perlu melakukannya sendiri. ShinoBee menyediakan roadmap belajar yang dirancang khusus untuk pemula Indonesia agar bisa konsisten belajar dan langsung praktik.