Pengertian Phising, Ciri, Cara Kerja, Jenis, dan Cara Menghindarinya

Table of Contents
Pengertian Phising
Phising

A. Pengertian Phising

Phising adalah teknik pengelabuan, istilah resmi phising adalah phishing, yang berasal dari kata fishing yaitu memancing. Phising adalah sebuah kejahatan digital berupa serangan manipulasi psikologis yang bertujuan untuk mencuri informasi dan data pribadi melalui email, telepon, pesan teks atau tautan yang mengaku sebagai instansi atau pihak-pihak tertentu.

Serangan cyber ini merupakan salah satu jenis pembobolan data tertua yang pertama kali muncul pada tahun 1990-an. Hingga sekarang phising masih menjadi salah satu teknik cyberattack yang paling merusak, terutama dengan metode eksekusinya yang menjadi semakin canggih. Umumnya, data yang menjadi sasaran phising adalah data pribadi (nama, usia, alamat), data akun (username dan password), dan data finansial (informasi kartu kredit, rekening).

Kegiatan phising bertujuan memancing orang untuk memberikan informasi pribadi secara sukarela tanpa disadari. Cara kerjanya adalah dengan mengelabui target dengan berbagai tipuan yang terlihat normal bagi target. Data yang dicuri tentu saja digunakan untuk tindak kejahatan seperti pencurian, penyalahgunaan identitas pribadi, hingga pemerasan uang.

B. Ciri Phising

Terdapat beberapa hal yang perlu diketahui tentang phising agar bisa lebih waspada di antaranya,
1. Pelaku tindakan phising sering meminta data sensitif pribadi seperti alamat email, kata sandi, nomor rekening, data kartu kredit, nomor telepon, one-time password (OTP), dan alamat rumah.
2. Data pengirim dan isi email terlihat sangat mirip dengan instansi yang digunakan untuk menipu, seperti bank, perusahaan, atau brand yang Anda ketahui. Contoh: tok-ped.com, shoppe.com, dan sebagainya.
3. Pada beberapa kasus spear phising, penyerang sudah mengetahui beberapa informasi tentang Anda, seperti nama dan alamat email atau data pribadi lain. Anda patut mencurigai apakah Anda pernah mengirimkan data Anda ke instansi dari si pengirim email.
4. Tindakan phising melalui email, kalimat yang digunakan biasanya berisi kejutan yang menyenangkan seperti “Selamat! Anda menang undian 100jt!”. Tapi terkadang phiser email juga mendesak Anda untuk memutuskan sesuatu seperti memperbarui kata sandi yang baru saja diretas.
5. Pengirim pesan phising sering kali bermasalah dengan ejaan dan tanda baca seperti typo, penggunaan tanda baca yang kurang tepat, menggunakan simbol atau emoji, dan sebagainya.
6. Beberapa kasus phising melalui website juga mengandung unsur desakan dan tidak memberikan banyak pilihan seperti iklan pop-up. Alhasil, Anda terpaksa mengambil keputusan sesuai keinginan hacker atau phiser ini.

C. Cara Kerja Phising

Cara kerja phising adalah memanipulasi informasi dan memanfaatkan kelalaian korban.
1. Pelaku Memilih Calon Korban
Tahap awal kegiatan web phising akan dimulai dengan menentukan siapa calon korbannya. Pada umumnya, korban yang disukai adalah pengguna platform pembayaran online seperti PayPal, Ovo, dan lainnya. Tidak hanya itu saja, banyak pelaku phising yang mengincar pengguna platform yang memiliki celah keamanan. Kasus terbaru terjadi pada platform komunikasi Zoom. Tak kurang dari 1000 upaya phising terjadi hanya di bulan April 2020 saja.

2. Pelaku Menentukan Tujuan Phising
Setelah mendapatkan calon korban yang potensial, pelaku akan mulai memikirkan apa yang akan dicapai dari kegiatan web phising yang dilakukan. Apakah akan menarget username dan password pengguna untuk menguasai akun. Apa malah mendapatkan semua informasi korban melalui sebuah prosedur yang disiapkan. Pada contoh aksi phising PayPal, pelaku menginginkan semua informasi dari pengguna platform tersebut. Seperti ditunjukkan welivescurity.com, pengguna akan menerima email untuk mengkonfirmasi data diri melalui sebuah link website palsu yang disediakan.

3. Pelaku Membuat Website Phising
Untuk melancarkan aksinya, pelaku akan mulai menyiapkan website palsu untuk melakukan aksi phising. Mulai dari mendesain website palsu, memilih nama domain yang mirip dengan domain asli hingga menyiapkan konten dengan tulisan yang meyakinkan. Pada praktiknya, pelaku kadang membuat website yang sangat menyerupai halaman website resmi tapi menggunakan nama domain yang jauh berbeda. Namun, pada contoh kasus phishing Danamon Online beberapa waktu lalu, akan langsung terlihat bahwa domain yang digunakan mirip sekali dengan website resminya.

4. Calon Korban Mengakses Website Phising
Dengan tampilan website dan informasi yang meyakinkan, tak sedikit calon korban yang akhirnya mengakses website phising milik pelaku. Langkah ini biasanya didahului dengan mengajak calon korban melalui email phising atau link yang disebarkan via SMS atau akun media sosial.

5. Calon Korban Mengikuti Instruksi Pelaku
Inilah kunci dari terjadinya aksi phising. Jika calon korban melakukan instruksi yang diberikan pelaku, maka pelaku akan berhasil mencapai tujuannya. Sebagai contoh, pada halaman website yang disediakan, calon korban diminta melakukan update informasi pribadi hingga data pembayaran pada akun yang digunakan. Pada saat selesai mengisi data dan melakukan submit, saat itulah semua informasi korban berhasil dimiliki.

6. Data Korban akan Dimanfaatkan
Jika aksi web phising berhasil, pelaku akan memanfaatkan data yang telah diterima di antaranya,
1. Menjual informasi yang didapatkan ke pihak ketiga yang membutuhkan data calon konsumen. Misalnya, untuk tujuan telemarketing atau kegiatan marketing online lainnya.
2. Menjual informasi data tersebut untuk kepentingan politik atau iklan penjualan produk.
3. Menjalankan aksi penipuan. Misalnya, dengan menyatakan seseorang memenangkan undian tertentu yang pada akhirnya meminta orang tersebut mengirimkan sejumlah uang.
4. Menggunakan data yang dimiliki untuk mencoba membobol akun yang dimiliki atau akun lain.
5. Melakukan pinjaman online mengatasnamakan korban dengan menggunakan data diri lengkap korban. Tentu saja, korban lah yang akan ditagih pelunasan atas pinjaman tersebut.

D. Jenis Phising

Terdapat beberapa jenis kegiatan phising yang sering dilakukan oleh penjahat cyber di antaranya,
1. Deceptive Phishing
Deceptive phishing adalah upaya penipuan dengan menggunakan identitas dari instansi, perusahaan, atau pihak-pihak tertentu yang kemungkinan besar Anda kenal. Phiser akan menggunakan alamat email dan tautan yang menyerupai instansi, perusahaan atau brand ternama. Deceptive phising dapat dilakukan melalui email, pesan teks, dan yang saat ini sedang marak melalui WhatsApp.

2. Spear Phising
Mirip seperti cara menangkap ikan yang diincar menggunakan tombak (spear), teknik phising yang satu ini juga memburu korban yang sudah diincar oleh si pencuri data (phiser). Artinya, phiser sudah memiliki tujuan tertentu dan informasi yang dibutuhkan untuk menghubungi korban, baik melalui email, pesan WhatsApp, SMS, telepon, dan sebagainya. Dibanding dengan teknik lainnya, spear phising memiliki tingkat keberhasilan yang lebih tinggi karena dibuat untuk lebih meyakinkan bagi korban yang diincar. Tapi kita bisa mengenali pesan phising dari penggunaan grammar atau tanda baca yang kurang tepat.

3. Whaling
Whaling umumnya diartikan sebagai kegiatan berburu paus. Tapi di dunia cyber, whaling digunakan untuk mendeskripsikan kegiatan spear phising dengan serangan ke target yang lebih “besar”. Target “besar” yang dimaksud adalah pihak-pihak yang memiliki banyak kewenangan. Tentunya hal ini dilakukan demi mendapatkan data yang lebih besar. Biasanya, phiser akan mengoleksi identitas seseorang yang berkewenangan di suatu instansi, seperti CEO, pendiri, atau pemangku jabatan eksekutif lain. Mereka mengelabui karyawan untuk mendapatkan data yang diperlukan, lalu data ini digunakan untuk menyalahgunakan kewenangan korban sehingga phiser dapat mengakses data lain dalam instansi tersebut.

4. Smishing
Smishing adalah bentuk phising yang disebar melalui pesan teks (SMS). Istilah smishing adalah bentuk gabungan dari SMS dan phishing. Smishing tergolong sangat mudah dilakukan oleh phiser, mereka hanya perlu mengurut nomor telepon untuk menyebarkan pesan tipuan. Oleh karena itu, saat ini smishing merupakan salah satu jenis penipuan yang paling marak ditemukan. Kemungkinan Anda sudah pernah menerima beberapa pesan teks yang mengaku dari instansi tertentu dengan tautan yang mencurigakan seperti di bawah ini.

E. Cara Menghindari Phising

Agar terhindar dari kejahatan phising beberapa cara yang bisa dilakukan di antaranya,
1. Selalu Update Informasi terkait Phising.
Meskipun kita mempunyai pengetahuan tentang jenis phising, namun tidak menutup kemungkinan jenis kejahatan online akan terus berkembang. Baik dari media yang digunakan untuk phising ataupun jenis serangan yang dilakukan. Oleh karena itu, selalu ikuti berita perkembangan phising dengan baik.

2. Selalu Cek Siapa Pengirim Email.
Email phising masih menjadi jenis kejahatan online yang marak. Dengannya kita perlu berhati-hati ketika mendapatkan email dari pengirim yang mencurigakan. Sebaiknya tidak hanya melihat nama pengirim, tapi juga alamat email yang mengirimkannya pada bagian From field. Sebab, email tersebut bisa saja palsu. Bahkan harus extra waspada kalau email yang Anda terima terkait dengan perubahan informasi akun, pembayaran dan hal penting lainnya.

3. Jangan Asal Klik Link yang Diterima.
Kuncinya apakah kita menjadi korban phising adalah apakah kita melakukan klik pada link yang disiapkan oleh pelaku phising atau tidak. Seperti kita tahu, email dan website untuk phising dibuat mirip dengan aslinya. Namun, selalu ada hal yang membedakan sumber resmi dengan palsu. Bisa dari form pengisian data yang mencurigakan, bahasa konten yang bukan seperti biasa kita terima, dan lain sebagainya.

Jadi, sebelum meng-klik link apapun, pastikan link tersebut aman. Caranya, arahkan mouse ke link tersebut tanpa diklik (hover). Kemudian, akan muncul informasi URL dari link tersebut. Jika mengarah ke website asli, berarti aman. Jika mengarah ke website lain yang tidak dikenal, lebih baik diurungkan.

4. Pastikan Keamanan Website yang Diakses
Jangan kunjungi website yang tidak aman, terutama website yang akan memproses data pribadi atau finansial. Hanya lakukan transaksi pada website yang menggunakan SSL saja, yaitu website yang ditandai dengan penggunaan protokol HTTPS. Dengan memastikan aktivitas online kita hanya pada website yang aman, maka kemungkinan Anda menjadi korban phising lebih kecil.

5. Gunakan Browser Versi Terbaru
Sarana kita untuk melakukan aktivitas online adalah browser. Jadi, selalu gunakan versi browser terbaru yang dapat melindungi keamanan data dan privasi kita. Langkah ini penting karena setiap browser merilis versi terbaru, selalu terkait dengan perbaikan pada celah keamanan dan fitur yang lebih efektif. Untuk memudahkan, Anda cukup mengaktifkan status automatic update di tiap browser yang Anda gunakan.

6. Waspada Ketika Dimintai Data Pribadi
Pada dasarnya, jangan pernah memberikan data pribadi kita ketika mengakses sebuah website. Kecuali, website tersebut memang resmi dan data kita dibutuhkan untuk menjalankan proses transaksi. Sebagai contoh, terdapat beberapa toko online yang hanya melayani pembelian dari anggota yang sudah terdaftar. Namun, ada juga yang memperbolehkan transaksi pembelian tanpa harus login. Apapun pilihan kita, lakukanlah yang paling memberikan dampak keamanan minimal.

7. Cek Akun Online Anda secara Rutin
Tak jarang kita melakukan registrasi ke berbagai platform atau situs dan kemudian tidak pernah menggunakannya lagi. Padahal, semua informasi kita masih tersimpan di platform tersebut. Rekomendasi yang dapat kami berikan, lakukan penghapusan akun dan data jika sudah tidak digunakan. Atau, kita bisa terus melakukan perubahan password secara berkala di akun tersebut jika masih ingin menggunakannya di waktu tertentu.

8. Gunakan Two-Factor Authentication
Jika platform yang kita gunakan menyediakannya, selalu aktifkan Two-Factor Authentication (2FA). Sistem ini menggunakan verifikasi 2 langkah, yaitu password dan ponsel kita. Pada saat pelaku phising sudah menemukan username dan password kita tapi tidak dapat memasukkan kode verifikasi 2FA, platform tidak akan melanjutkan proses. Artinya, akun kita akan terlindungi dengan lebih baik.

9. Lakukan Scan Malware secara Berkala
Salah satu serangan dalam phising adalah meminta kita mendownload file tertentu melalui email palsu yang kita terima. Pada saat melakukannya, bisa saja kita sedang mengunduh malware yang akan bekerja di komputer kita secara rahasia. Untuk menghindari hal ini, gunakanlah software anti-malware yang akan melakukan scan secara otomatis sesuai dengan setting yang kita gunakan. Jangan lupa untuk segera menghapus script yang mencurigakan yang bisa saja mencuri informasi pribadi kita.
 

Dari berbagai sumber

Download

Aletheia Rabbani
Aletheia Rabbani “Barang siapa yang tidak mampu menahan lelahnya belajar, maka ia harus mampu menahan perihnya kebodohan” _ Imam As-Syafi’i

Post a Comment