Apa itu Phishing?

Phishing adalah suatu metode kejahatan dalam dunia maya dimana calon korban dihubungi melalui email, telepon, atau pesan teks oleh seseorang yang berpura-pura menjadi orang lain atau organisasi yang sah untuk mengelabui individu agar menyerahkan informasi sensitif seperti rincian kartu kredit, kredensial log in akun, atau identitas pribadi. Biasanya, phishing seringkali melibatkan teknik spoofing URL, web, atau email. Kemudian, informasi yang didapat akan digunakan untuk membuka akun-akun penting sehingga mengakibatkan pencurian data serta kerugian finansial.

Phishing email adalah bentuk phishing yang paling dikenal luas. Serangan phising email adalah upaya untuk mencuri informasi sensitif melalui email yang tampaknya berasal dari organisasi atau perusahaan yang sah. Ini bukan serangan yang ditargetkan dan dapat dilakukan secara massal. Phising email mungkin saja terlihat seperti berasal dari perusahaan yang Anda kenal atau percayai. Berikut adalah beberapa hal yang mungkin Anda temukan dalam email phising.

• “Verifikasi akun Anda.” Situs resmi tidak akan pernah meminta kata sandi atau informasi pribadi lainnya melalui email.
• “Jika Anda tidak merespon dalam 48 jam, akun Anda akan ditangguhkan.” Ini merupakan pesan bernada ancaman, agar Anda merespon dengan cepat tanpa mempertimbangkannya.
• “Pelanggan yang Terhormat.” Email phishing biasanya dikirim secara massal sehingga tidak memuat nama lengkap target.

Web phishing atau situs phising adalah sebuah situs web yang sengaja dirancang untuk menipu calon korban dengan cara mengumpulkan informasi sensitif mereka seperti data kartu kredit, kata sandi, dan data penting lainnya. Situs web yang sedang melakukan phising akan tampak sama persis seperti situs asli baik dari penampilan, nama domain, dan lainnya, agar calon korban tidak curiga. Biasanya, para penjahat sengaja menduplikasi situs web yang populer seperti media sosial, situs bank, dan keuangan.

Beberapa contoh nyata phising site adalah kikbca.com (duplikasi dari klikbca.com) dan twlitter.com (duplikasi dari twitter.com). Para penjahat biasanya juga menautkan situs-situs palsu tersebut dalam email phishing, kiriman media sosial, pesan teks, atau alat komunikasi lainnya. Tautan phishing atau link phishing adalah domain yang mengarahkan Anda pada situs palsu, malware, atau kejahatan dunia maya lainnya.

Clone Phishing adalah jenis serangan phishing di mana peretas menyalin pesan email sah yang dikirim dari organisasi terpercaya. Peretas kemudian mengubah email dengan mengganti atau menambahkan tautan yang mengarahkan ulang ke situs web jahat atau palsu. Email tersebut selanjutnya dikirim ke sejumlah calon korban dan peretas akan mengawasi korban yang mengkliknya. Ketika korban berhasil tertipu, peretas akan meneruskan email palsu tersebut ke kontak yang ada di kotak masuk korban.

Spear phishing adalah serangan phising yang disesuaikan dan ditargetkan pada individu tertentu. Sebelum mengirim phishing email, peretas terlebih dahulu akan meneliti target mereka. Peretas akan mencari tahu informasi dari akun media sosial, pelanggaran data yang tersebar, atau perusahaan tempat target bekerja. Dengan semua informasi ini, penjahat dunia maya dapat berpura-pura menjadi seseorang yang dapat dipercaya seperti rekan kerja, teman lama, atau perwakilan dari layanan populer yang sering digunakan korban.

Whaling adalah bentuk lain dari spear phishing di mana penyerang berpura-pura menjadi anggota perusahaan tingkat tinggi seperti direktur utama, anggota dewan, pemegang saham utama, dan lain-lain. Penjahat dunia maya akan berusaha lebih keras untuk meniru orang-orang penting tersebut karena lebih sulit untuk ditiru. Namun, karena orang-orang penting seperti itu memiliki pengaruh yang lebih besar di perusahaan, maka kerugian dari serangan ini akan jauh lebih besar pula. Karyawan biasanya tak segan untuk mentransfer dana atau memberi tahu informasi rahasia tanpa terlalu banyak bertanya.

Sama seperti serangan phising pada umumnya, smishing dan vishing adalah bentuk manipulasi psikologis. Namun, smishing adalah serangan yang berbasis SMS dan vishing berbasis panggilan telepon. Pada smishing, peretas akan mengirimkan pesan yang tampaknya dari organisasi atau perusahaan terpercaya. Pesan tersebut biasanya disisipi dengan tautan eksternal untuk Anda klik. Jika Anda mengklik tautan tersebut, Anda akhirnya diarahkan ke situs web palsu dan diminta untuk memasukkan data sensitif.

Sedangkan vishing bekerja dengan sedikit berbeda. Ini sangat bergantung pada rekayasa sosial, dengan menciptakan situasi stres yang mendorong orang untuk bertindak tanpa berpikir. Penyerang sering mencoba menakut-nakuti korbannya dengan menyatakan bahwa seseorang mencoba menggunakan kartu kreditnya, bahwa mereka lupa membayar denda, dan lain-lain. Ketika orang dikuasai emosi, mereka tidak lagi pikir panjang dan dapat dengan mudah memberikan detail perbankan online dan informasi pribadi lainnya.

Email Phishing

Di atas adalah email phishing yang sering berhasil membuat takut dan mempengaruhi target untuk bereaksi cepat agar mengklik tautan. Penjahat dunia maya akan mengancam menonaktifkan akun Anda jika tidak membuka tautan yang disisipkan, memasukkan kredensial masuk atau mengambil tindakan lainnya seperti menyerahkan informasi keuangan. Dulunya, serangan siber email phishing sangat mudah dikenali. Tapi belakangan ini, mereka terlihat sangat realistis.

Web Phishing

Penjahat dunia maya tidak akan berhenti untuk mencuri informasi. Web phishing adalah salah satu metode yang terkenal. Pada tahun 2016 lalu, otoritas imigrasi dan pemeriksaan Singapura (ICA) memperingatkan bahwa terdapat sebuah situs web yang meniru mereka. Situs palsu tersebut memungkinkan pengunjung untuk mengajukan visa secara online. Ketika pengunjung mencoba untuk membuat permohonan aplikasi visa, situs tersebut meminta “nomor referensi visa” dan “nomor dokumen perjalanan” mereka. ICA mengatakan jika mereka tidak menerima satu data pun dari situs palsu tersebut. Kasus tersebut telah dilaporkan ke pihak kepolisian. Jika Anda menemukan web phishing, jangan segan untuk melakukan lapor situs penipuan.

• Jangan klik tautan apa pun. Anda tidak boleh mengklik tautan dalam email atau membuka lampiran, kecuali Anda yakin 100 persen bahwa Anda mengenal dan mempercayai pengirimnya. Anda juga tidak boleh membalas email tersebut. Penjahat mungkin mengirim email ke ribuan alamat setiap hari, dan jika Anda membalas salah satu pesan mereka, itu menginformasi bahwa alamat email Anda aktif. Ini membuat Anda menjadi lebih dari sekedar target.
• Laporkan email tersebut. Penyedia email Anda mungkin memiliki proses yang dapat Anda ikuti untuk melaporkan email phishing, mekanismenya bervariasi. Pada kasus Gmail Phishing, klik tiga titik di samping opsi “Balas”, lalu pilih “Laporkan phishing”. Sebuah panel terbuka akan meminta Anda untuk mengkonfirmasi bahwa Anda ingin melaporkan email tersebut. Klik “Laporkan Pesan Phishing”, lalu Google akan meninjau email tersebut.
• Amankan akun yang terkena phishing. Jika Anda tidak sengaja membuka tautan phising, memberikan informasi pada web phishing, atau merasa bahwa Anda adalah target, segera amankan akun Anda. Ubah kata sandi dan aktifkan verifikasi dua langkah saat masuk pada setiap akun yang Anda miliki. Namun, apabila Anda telah terlanjur memberikan informasi pribadi seperti detail kartu kredit, maka Anda harus segera memberitahu pihak bank. Beritahu mereka jika Anda telah menjadi korban, pihak bank memiliki prosedur tersendiri untuk mengamankan rekening Anda.

• Berhati-hatilah dengan semua komunikasi yang Anda terima. Jika ini tampak seperti komunikasi phishing, jangan tanggapi.
• Jangan klik tautan apa pun yang tercantum dalam pesan email dan jangan buka lampiran apa pun yang terdapat dalam email yang mencurigakan.
• Jangan masukkan informasi pribadi di layar pop-up dan melalui email. Perusahaan, agensi, dan organisasi yang sah tidak meminta informasi pribadi melalui email dan layar pop-up.
• Instal filter phishing pada aplikasi email Anda dan juga pada peramban. Memang, filter ini tidak akan menahan semua pesan phishing, tetapi akan mengurangi jumlah upaya phishing.
• Gunakan VPN setiap kali Anda terhubung ke internet. Fitur CyberSec NordVPN dapat memblokir situs-situs yang awam digunakan dalam serangan phishing.