Apa Itu Pishing? Pahami dan Hindari !

Kupang-NTT, Garda Indonesia | Saat ini banyak sekali media online membicarakan tentang kasus pencurian data atau penjualan data pelanggan perusahaan startup di Indonesia. Karena berita ini, para pelanggan dari E-Commerce tersebut khawatir terhadap akun dan datanya yang mungkin bisa disalahgunakan.

Apa Itu Phising?

Dilansir dari master web.com, seiring berkembangnya jaman dan juga teknologi, saat ini banyak sekali kasus cybercrime yang terjadi, salah satunya yaitu Phising.

Phising adalah suatu metode kejahatan dunia maya di mana target dihubungi melalui email, telepon atau pesan teks oleh seseorang yang menyamar sebagai lembaga yang sah untuk memikat individu agar memberikan data sensitif seperti informasi yang dapat diidentifikasi secara pribadi, rincian kartu kredit dan perbankan, serta kata sandi. Di dalam e-mail tersebut biasanya akan terdapat sebuah tautan ke halaman palsu yang tampilannya dibuat persis seperti website yang asli untuk menjebak seseorang.

Informasi tersebut kemudian digunakan untuk mengakses akun-akun penting dan dapat mengakibatkan pencurian identitas dan kerugian finansial. Gugatan pertama kasus phishing diajukan pada tahun 2004 terhadap seorang remaja California yang menciptakan tiruan dari website “America Online”. Dengan website palsu ini, ia dapat memperoleh informasi sensitif dari pengguna dan mengakses detail kartu kredit untuk menarik uang dari akun bank mereka.

Jenis Jenis Phising

Phising terbagi menjadi beberapa jenis dan teknik yang terus menerus dilakukan oleh penjahat cyber, jenis-jenisnya yaitu :

Spear Phising

Spear phishing adalah tindakan mengirim e-mail ke target spesifik dan mengaku sebagai pengirim terpercaya. Isi email tersebut biasanya berisi tautan yang mengarahkan penerima ke situs web palsu yang penuh dengan malware. Upaya ini ditargetkan untuk mencuri informasi sensitif seperti kredensial akun atau informasi keuangan dari korban tertentu. Meskipun sering dimaksudkan untuk mencuri data untuk tujuan jahat, penjahat cyber mungkin juga berniat untuk menginstal malware di komputer pengguna yang ditargetkan. Ini adalah bentuk paling sukses untuk memperoleh informasi rahasia di internet, mencakup 91% serangan.

Deceptive Phising

Deceptive Phising adalah jenis penipuan phishing yang paling umum. Penipuan ini terjadi ketika sumber yang dikenal atau perusahaan yang Anda kenal mengirim email kepada Anda untuk mengkompromikan informasi. Biasanya, email-email ini meminta Anda:

• Verifikasi informasi akun
• Masukkan kembali informasi, seperti login atau kata sandi
• Minta Anda mengubah kata sandi Anda
• Melakukan pembayaran

Setelah informasi ini dimasukkan, peretas akhirnya mendapatkan informasi dan dapat mengakses akun Anda lalu menggunakan informasi sensitif untuk mencuri informasi kartu pembayaran, menjual informasi pribadi Anda atau memanfaatkan informasi sensitif Anda untuk mendapatkan keuntungan.

Ada 2 cara yang bisa dilakukan oleh pelaku untuk melakukan tindakan phising ini, cara pertama yaitu pelaku mengklaim atau menyamar sebagai perwakilan dari sebuah instansi/perusahaan resmi dan meminta korbannya tersebut untuk memberikan informasi tertentu. Cara kedua, pelaku ini menyisipkan situs berbahaya di tautan yang korban klik.

Smishing

Smishing adalah jenis phishing yang melibatkan pesan teks. Sering kali, bentuk phishing ini melibatkan pesan teks dalam SMS atau nomor telepon. Smishing sangat menakutkan karena kadang-kadang orang cenderung lebih mempercayai pesan teks daripada e-mail. Sebagian besar orang menyadari risiko keamanan yang terlibat dengan mengklik tautan di email. Namun lain hal jika melalui pesan teks.

Biasanya pelaku kejahatan menggunakan cara atau trik agar korban mengklik tautan yang diberikan, menelpon nomor yang tertera, atau membalas pesan tersebut dengan informasi yang pelaku butuhkan. Contohnya yang sering ada di Indonesia yaitu menang undian atau hadiah dari perusahaan besar dan mengatasnamakan diri mereka bagian dari perusahaan tersebut.
Selain hal tersebut sebenarnya masih banyak lagi modus lainnya. Oleh karena itu hati-hati yaa dan jangan mudah percaya.

Whale Phising

Whale phishing adalah istilah yang digunakan untuk menggambarkan serangan phishing yang secara khusus ditujukan untuk individu yang kaya, berkuasa, atau terkemuka. Karena status mereka, jika pengguna seperti itu menjadi korban serangan phishing, ia dapat dianggap sebagai big fish (ikan besar) atau whale (ikan paus). Whale phising ini pelaku menggunakan taktik yang sama seperti spear phising.

Serangan phishing dasar mencoba menipu pengguna untuk memasukkan detail pribadi atau informasi rahasia lainnya, dan email adalah metode paling umum untuk melakukan serangan ini. Diperkirakan 3,7 miliar orang mengirim sekitar 269 miliar email setiap hari. Para peneliti di Symantec menyatakan bahwa hampir satu dari setiap 2.000 email ini adalah e-mail phishing, yang berarti sekitar 135 juta serangan phishing dicoba setiap hari.

Kebanyakan orang tidak punya waktu untuk menganalisis setiap pesan yang masuk ke kotak masuknya dengan hati-hati dan inilah yang dieksploitasi oleh phisher menggunakan beberapa cara. Teknik kampanye phishing yang umum mencakup penawaran hadiah yang dimenangkan dalam kompetisi palsu seperti lotere atau kontes oleh pengecer yang menawarkan ‘voucher pemenang’.
Dalam contoh ini, untuk ‘memenangkan’ hadiah, para korban diminta untuk memasukkan rincian mereka seperti nama, tanggal lahir, alamat dan detail bank untuk mengklaim.

Teknik serupa juga digunakan dalam penipuan lain di mana pelaku mengklaim berasal dari bank yang ingin memverifikasi detail pembelian yang tidak ada atau kadang-kadang bahkan lebih parah lagi pelaku akan mengklaim berasal dari perusahaan keamanan teknologi dan mereka memerlukan akses ke informasi untuk menjaga keamanan pelanggan mereka.

Penipuan lain yang lebih canggih yaitu ditujukan untuk pengguna bisnis. Di sini pelaku dapat berperan sebagai seseorang dari dalam organisasi yang sama atau salah satu pemasoknya dan akan meminta Anda untuk mengunduh lampiran yang mereka klaim berisi informasi tentang kontrak atau kesepakatan.

Dalam banyak kasus file tersebut akan mengeluarkan perangkat lunak berbahaya ke dalam sistem dan akan memanen data pribadi. Namun dalam banyak kasus file itu juga digunakan untuk menyebarkan ransomware.

Ciri-Ciri Phising

Ejaan atau Tata Bahasa yang Buruk
Pesan resmi dari organisasi besar mana pun tidak mungkin mengandung ejaan atau tata bahasa yang buruk.

URL Singkat di Email

Banyak contoh serangan phishing akan mengundang korban untuk mengklik ke URL yang terlihat resmi. Namun, jika pengguna meluangkan waktu sedetik untuk memeriksa tautan tersebut, maka dapat ditemukan bahwa itu bukan URL yang sah. Pelaku berharap korban tidak akan memeriksa tautan sama sekali dan cukup mengklik. Dalam kasus lain, pelaku akan mengambil sedikit variasi pada alamat web yang sah dan berharap pengguna tidak menyadarinya.

Alamat Pengirim Yang Tidak Sesuai

Perusahaan resmi biasanya akan menggunakan alamat email resmi yang berasal dari nama domain website nya. Pastikan terlebih dahulu bahwa email itu memiliki website yang bisa diakses dan merupakan website resmi perusahaan.

Tampilan Website Relatif Mirip Asli

Ini menjadi salah satu ciri web phising yaitu tampilan website terlihat relatif mirip dengan yang asli. Jika ada beberapa hal yang tidak sesuai atau merasa berbeda seperti biasanya, Anda harus memastikan terlebih dahulu bahwa itu website yang sah.

Alamat Website Typo

Walaupun pelaku bisa membuat website yang mirip dengan website aslinya, namun untuk domain tidak akan bisa menirunya nya. Karena 1 domain resmi hanya bisa digunakan untuk 1 website. Jadi untuk mengelabui korban, pelaku menggunakan domain yang sedikit mirip dengan website aslinya contoh www.klikbca.com dibuat web palsu nya dengan domain www.klikkbca.com. Jadi sebelum login pastikan alamat website nya benar.

Website Tidak ada HTTPS

Untuk memberikan keamanan pada penggunanya biasanya situs-situs besar atau kredibel menggunakan SSL untuk website-nya. Anda bisa melihat di bagian address bar untuk mengetahui website tersebut menggunakan HTTPS (SSL) atau tidak. Sebagian besar situs phising tidak memiliki SSL Certificate.

Login Sering Gagal

Jika Anda sudah menggunakan username dan password yang benar namun masih tidak bisa masuk, Anda perlu curiga mungkin Anda berada di situs phising. Jika Anda sudah terlanjur mengisi data di sana, segeralah Anda masuk ke website aslinya dan ganti password Anda.

Cara Menghindari Phising :

• Memeriksa akun secara rutin
• Buat bookmark untuk halaman login
• Jangan mengklik apapun di pesan SMS
• Jangan mengklik tautan di pesan email yang mencurigakan
• Pastikan ejaan URL website tersebut resmi dan memiliki SSL (HTTPS)
• Ubah password secara berkala
• Waspada setiap menerima pesan dari orang yang tidak dikenal
• Install software untuk keamanan internet dan tetap update antivirus.
• Waspada terhadap email atau pesan teks mendapat hadiah.

Foto utama (*/istimewa)
Editor (+rony banase)