Phishing dapat dianggap sebagai ancaman virtual yang sangat umum saat ini, karena siapa pun, termasuk pengguna biasa, pelaku bisnis, dan perusahaan, bisa menjadi korban. Bahkan kamu sendiri tidak luput dari risiko ini, karena kejahatan di dunia maya selalu mengintai, dan dampaknya bisa sangat serius dalam kehidupan sehari-hari.
Oleh karena itu, dalam artikel ini kami akan membantu kamu meningkatkan kewaspadaan saat beraktivitas online dengan menjelaskan apa yang dimaksud dengan phishing. Kami juga akan membahas berbagai jenis phishing dan tanda-tanda yang dapat membantu kamu menghindarinya.
Mari kita mulai pembahasan di bawah ini dan pastikan kamu membaca hingga selesai!
Apa itu Phising?
Phishing adalah salah satu bentuk penjahat cyber yang bertujuan untuk mencuri informasi dan data pribadi seseorang melalui berbagai metode seperti email, telepon, SMS, atau tautan, dengan menyamar sebagai entitas atau pihak yang sebenarnya.
Istilah “phishing” sendiri berasal dari kata “fishing” yang artinya memancing. Dalam konteks ini, “memancing” merujuk pada tindakan pelaku phishing, yang disebut sebagai “phisher,” yang berusaha untuk meraih atau “memancing” data sensitif dari individu untuk kepentingan yang jahat. Data sensitif tersebut meliputi kata sandi, informasi kartu kredit, alamat email, dan kode one-time password (OTP).
Data yang berhasil dicuri melalui phishing seringkali digunakan untuk berbagai jenis kejahatan, seperti pencurian, penyalahgunaan identitas pribadi, atau bahkan pemerasan uang.
Oleh karena itu, sangat penting untuk meningkatkan kewaspadaan saat melakukan transaksi online di mana pun, terutama saat berhubungan dengan website perbankan.
Cara Kerja Phising
Phishing bekerja dengan cara menipu target melalui berbagai jenis tipuan yang dirancang sedemikian rupa sehingga target tidak menyadari bahwa data pribadi mereka telah disusupi. Berikut adalah cara kerja phishing:
1. Mengincar data target
Langkah awalnya, phisher memilih calon korban dengan mencari data yang ada, seperti nama, nomor telepon, email, atau alamat.
Setelah itu, mereka akan berusaha untuk menghubungi korban dengan tujuan untuk memperoleh informasi lebih sensitif, seperti Nomor Induk Kependudukan (NIK), kata sandi, nomor rekening bank, informasi kartu kredit, kode one-time password (OTP), dan sejenisnya.
2. Phisher menentukan tujuan phising
Setelah mengidentifikasi calon korban yang berpotensi, pelaku akan mulai merencanakan tujuan dari serangan phishing.
Tujuan tersebut bisa berupa perolehan username dan kata sandi pengguna untuk mengambil alih akun, atau mungkin mendapatkan data sensitif seperti Nomor Induk Kependudukan (NIK) dan nama ibu kandung dari target.
3. Phisher membuat website phising
Selanjutnya, pelaku phishing akan mempersiapkan website palsu sebagai bagian dari upaya phishing mereka untuk meningkatkan tingkat kepercayaan.
Dalam banyak kasus, mereka merancang website palsu dengan nama domain yang mirip dengan domain asli dan mengisi kontennya dengan teks yang dirancang untuk meyakinkan korban.
4. Korban mengakses website phising
Dengan website yang terlihat meyakinkan dan informasi yang dipresentasikan dengan baik, sejumlah korban potensial seringkali tertipu dan mengakses website phishing tersebut.
Langkah ini sering dimulai dengan penyebaran tautan kepada korban melalui email, pesan, atau melalui akun media sosial.
5. Korban mengikuti instruksi phisher
Inilah inti dari kesuksesan serangan phishing. Apabila calon korban mematuhi instruksi yang diberikan oleh pelaku, maka pelaku akan mencapai tujuannya.
Sebagai contoh, pada website palsu yang disediakan, korban diminta untuk menginputkan informasi seperti Nomor Induk Kependudukan (NIK), nama ibu kandung, rincian kartu kredit, dan sebagainya.
Setelah korban mengisi data tersebut dan menekan tombol “submit,” pada saat itulah semua informasi korban berhasil direbut oleh pelaku.
6. Phisher memanfaatkan data korban
Jika serangan phishing berhasil, pelaku akan memanfaatkan data yang mereka peroleh. Phisher dapat menjual informasi korban kepada pihak ketiga, mengakses akun korban secara ilegal, atau bahkan mengajukan pinjaman online atas nama korban.
Jenis-Jenis Phising
Meskipun kamu telah memahami apa itu phishing dan mulai mempertimbangkan cara-cara untuk melindungi diri, penting untuk tidak meremehkan ancaman ini. Penjahat cyber selalu mencari berbagai cara baru untuk mencuri data kamu, dan mereka terus berinovasi.
Sebagai contoh, di Indonesia, serangan phishing yang paling umum terjadi melalui pesan scam di aplikasi WhatsApp. Jenis serangan ini termasuk yang paling sering terjadi dan biasanya menargetkan individu sebagai korban.
Tidak hanya itu, ada juga serangan yang lebih ditargetkan kepada perusahaan dan bisnis. Serangan ini dilakukan dengan cara yang sistematis dan terstruktur untuk mencapai tujuan yang menguntungkan bagi pelaku.
Oleh karena itu, untuk meningkatkan tingkat kewaspadaan, penting untuk mengenali berbagai jenis phishing yang ada saat ini.
1. Scam Phising
Scam phishing adalah usaha yang dilakukan oleh pelaku penjahat cyber dengan maksud menipu kamu agar mengungkapkan informasi pribadi seperti nomor rekening bank, kata sandi, dan nomor kartu kredit.
Mereka cenderung mengirimkan tautan atau berkas yang telah dimodifikasi atau mengandung perangkat lunak berbahaya. Data yang diperoleh dari upaya ini digunakan untuk meretas akun kamu, mencuri dana, atau melakukan transaksi ilegal.
Saluran yang sering digunakan untuk serangan scam phishing meliputi telepon, email, SMS, atau platform media sosial.
2. Blind Phising
Dari semua jenis serangan phishing, blind phishing adalah yang paling umum terjadi.
Jenis serangan ini umumnya melibatkan pengiriman email massal tanpa strategi khusus. Para pelaku hanya mengandalkan faktor keberuntungan, harapannya adalah ada penerima yang terjebak dan mengikuti instruksi dalam email tersebut.
3. Spear Phising
Spear phishing, diambil dari kata “spear” yang berarti tombak, merujuk pada teknik pemancingan yang spesifik, mirip dengan pemancing yang menggunakan tombak untuk menargetkan ikan tertentu.
Dalam konteks serangan ini, targetnya adalah kelompok tertentu, seperti pejabat pemerintah, pelanggan dari suatu perusahaan, atau bahkan individu tertentu.
Serangan spear phishing sering kali ditujukan untuk meretas dan mengakses database khusus dengan tujuan mendapatkan informasi penting, file rahasia, atau data keuangan yang bernilai.
4. Clone Phising
Serangan ini melibatkan pengklonaan website asli dengan maksud untuk mengecoh dan memikat pengguna. Biasanya, website palsu phishing ini akan meminta calon korban untuk memasukkan informasi sensitif pada kolom yang telah disediakan.
Namun, yang tidak diketahui oleh korban adalah bahwa informasi yang dimasukkan tersebut akan langsung dikirimkan kepada pelaku kejahatan. Setelah itu, pengguna akan diarahkan ke website asli tanpa menyadari bahwa mereka telah menjadi korban serangan phishing.
5. Whaling
Istilah “whaling” berasal dari kata “whale” dalam bahasa Inggris yang berarti paus. Seperti yang masih terkait dengan aktivitas pemancingan, jenis phishing ini ditujukan kepada target “besar” atau bukan individu biasa.
Whaling umumnya menargetkan eksekutif tingkat tinggi atau tokoh terkenal, seperti direktur perusahaan, dengan tujuan untuk merusak reputasi atau operasi perusahaan tersebut.
Serangan whaling seringkali dilakukan dengan menyamar sebagai staf pengadilan atau dalam konteks pengumuman terkait situasi internal perusahaan.
6. Vishing
Serangan vishing adalah bentuk serangan dimana huruf “P” digantikan dengan huruf “V” karena serangan ini dilakukan oleh penjahat menggunakan suara (voice) untuk melancarkan serangan phishing dan mencari korban.
Seringkali kita melihat video-video di media sosial yang menampilkan panggilan penipuan. Beberapa panggilan ini dapat menimbulkan kepanikan dengan memberikan kabar palsu, seperti kerabat yang ditangkap polisi atau terlibat dalam kecelakaan, atau menawarkan hadiah undian. Pada akhirnya, korban akan diminta untuk mentransfer sejumlah uang tertentu.
Pelaku phishing yang melakukan vishing kadang-kadang menggunakan nomor telepon yang tidak valid atau teknologi VoIP untuk menyembunyikan identitas mereka.
7. Pharming
Serangan ini melibatkan DNS spoofing dan mengincar banyak korban sekaligus. DNS merupakan sistem yang bertugas menerjemahkan nama domain ke alamat IP. Setiap kali pengguna mencari sebuah website di internet dengan mengetikkan URL (misalnya, google.com), sistem DNS akan mencari alamat IP yang sesuai dengan nama domain tersebut di server.
Namun, ketika sistem ini berhasil diretas, URL yang diketikkan oleh pengguna bisa mengarahkannya ke halaman palsu yang dibuat khusus untuk tujuan serangan tersebut.
8. Smishing
Smishing adalah istilah yang digunakan untuk merujuk pada jenis phishing yang dilakukan melalui SMS. Seperti jenis penipuan phishing lainnya, pesan teks biasanya berisi kalimat-kalimat yang mendorong penerimanya untuk mengambil tindakan tertentu.
Serangan smishing juga sering terjadi di Indonesia, dengan pesan yang menekankan korban untuk membayar sesuatu, menyakinkan bahwa korban telah memenangkan lotre, undian hadiah, atau mengklaim bahwa mereka akan menerima jumlah uang yang fantastis.
Ciri-Ciri Phising
Untuk menghindari phishing, penting untuk mengenali ciri-cirinya terlebih dahulu. Berikut adalah tanda-tanda umum dari serangan phishing yang dapat dengan mudah dikenali:
1. Mengatasnamakan instansi tertentu
Untuk mendapatkan kepercayaan dari calon korban, hampir semua teknik phishing melibatkan penyamaran sebagai pihak atau instansi yang dikenal oleh korban. Ini mencakup penggunaan nama yang serupa dan upaya untuk membuat tampilan serupa sebanyak mungkin.
Sebagai contoh, dalam kasus situs web e-commerce, mereka mungkin menggunakan domain yang telah dimodifikasi, seperti tok-ped.com atau shoppe.com, dengan tujuan mengecoh pengguna.
Selain itu, mereka bisa juga mengaku sebagai kurir dari perusahaan ekspedisi populer seperti JNE atau J&T untuk menarik perhatian korban.
2. Kalimat mengejutkan atau mendesak
Kalimat seperti “Selamat! Anda telah memenangkan hadiah senilai 100 juta! Silakan klaim hadiah Anda di tautan berikut!” atau “PERANGKAT ANDA TELAH TERINFEKSI VIRUS!!! KLIK DI SINI UNTUK MEMPERBAIKINYA” adalah contoh umum dalam serangan phishing.
Kalimat-kalimat yang penuh dengan klaim mengejutkan dan mendesak digunakan oleh phisher untuk memicu perasaan senang atau panik pada korban, sehingga korban menjadi terdorong untuk mengikuti instruksi dari phisher tanpa menyadarinya.
3. Mencantumkan link palsu
Biasanya, email atau pesan yang dikirim oleh phisher akan menyertakan tautan atau link palsu yang mungkin terlihat sah, tetapi sebenarnya sangat berbahaya jika diakses.
Tautan ini sering kali disamar-samarkan untuk tampak seolah berasal dari platform media sosial populer seperti Instagram, Telegram, dan sebagainya. Padahal, sebenarnya tautan tersebut hanyalah tautan palsu yang dirancang untuk melakukan serangan phishing.
4. Terdapat file berbahaya
Meskipun email atau pesan tersebut mencoba mengaku sebagai representasi dari suatu instansi tertentu, sangat penting untuk selalu waspada ketika menerima komunikasi dari orang yang tidak dikenal. Hal ini khususnya berlaku ketika mereka melampirkan file.
Ada kasus di mana phisher berusaha menyamar sebagai pengirim yang mengirimkan dokumen seperti bukti transfer atau dokumen penting dalam format yang sebenarnya adalah program executable atau APK yang berpotensi mengandung virus dan dapat mengakibatkan pencurian data jika diinstal. Oleh karena itu, kewaspadaan harus selalu diutamakan dalam hal ini.
5. Tidak menyebutkan nama penerima
Salah satu tanda yang dapat mengindikasikan adanya serangan phishing adalah ketika phisher tidak menyertakan nama penerima dalam sambutan atau pesan khusus.
Ini dapat menandakan bahwa email atau pesan tersebut kemungkinan adalah jenis blind phishing yang dikirim ke banyak penerima sekaligus.
Cara Menghindari Phising
Untuk mencegah terjebak dalam serangan phishing, penting untuk mengambil langkah-langkah keamanan yang dapat menangkal berbagai strategi baru yang digunakan oleh para pelaku kejahatan cyber.
Meskipun banyak peringatan dan pengingat tentang bahayanya, ada beberapa tindakan pencegahan yang bisa kamu lakukan untuk melindungi diri dari phishing.
1. Jaga data pribadi kamu
Di dunia online, penting untuk menjaga kerahasiaan data pribadi dengan tidak membagikannya kepada orang asing, termasuk informasi seperti kode one-time password (OTP).
Selain itu, sebaiknya hindari mempublikasikan nomor telepon pribadi kamu secara tidak perlu di tempat-tempat yang dapat diakses oleh semua orang, seperti mencantumkan nomor HP pribadi di curriculum vitae online yang kemudian kamu bagikan di platform media sosial.
2. Jangan asal klik tautan
Seperti yang telah tekankan sebelumnya, salah satu tanda phishing adalah penggunaan link palsu. Oleh karena itu, sangat penting untuk tidak mengklik link dengan gegabah, meskipun tampilannya tampak biasa.
Untuk memastikan keamanan, cobalah arahkan kursor mouse ke link tersebut tanpa melakukan klik. Selanjutnya, periksa URL yang muncul di pojok kiri bawah layar monitor kamu untuk melihat tujuan sebenarnya dari link tersebut.
Kamu juga dapat melakukan metode lain dengan mengklik kanan link dan menyalinnya, lalu tempelkan di notepad untuk melihat tujuan sebenarnya. Harus tetap waspada terhadap penggunaan short URL yang sering digunakan untuk menyembunyikan link asli.
Jika kamu menggunakan perangkat seluler, kmau dapat klik dan tahan sekitar 2-3 detik pada link yang akan dikunjungi. Hal ini akan menampilkan beberapa menu, termasuk alamat lengkap dari tautan yang akan kamu kunjungi.
3. Perhatikan ejaan dan tata bahasa
Phisher biasanya tidak memperhatikan tata bahasa, tanda baca, atau ejaan dalam pesan yang mereka kirimkan. Hal ini bisa digunakan sebagai petunjuk apakah pesan tersebut adalah upaya phishing atau tidak, terutama jika pelaku berpura-pura sebagai pihak yang sah.
Dengan mudahnya, kamu hanya perlu memperhatikan tata bahasa yang benar (EYD), penggunaan tanda baca yang sesuai, dan kesalahan penulisan seperti typo.
4. Jangan mengakses website tidak aman
Yang paling penting adalah pastikan kamu hanya mengakses website yang aman. Ciri-cirinya adalah bahwa website tersebut telah mengaktifkan SSL yang ditunjukkan dengan HTTPS (bukan hanya HTTP), dan kamu dapat melihat ikon gembok di bilah alamat browser.
Selain memeriksa keamanan website melalui penggunaan SSL, pastikan juga kamu tidak mengunjungi website penipuan yang telah berupaya meniru tampilan situs asli dengan sebaik mungkin.
5. Tingkatkan keamanan data
Untuk menghindari phishing, langkah berikutnya adalah meningkatkan keamanan data kamu di dunia maya. Misalnya, mengaktifkan otentikasi dua faktor (2FA) untuk akun-akun yang kamu daftarkan secara online.
Selain itu, kamu juga dapat menggunakan alamat email yang bersifat khusus untuk mendaftar akun di media sosial dan akun yang berisi informasi keuangan yang digunakan untuk transaksi daring.
Sudah Paham Mengenai Phising?
Sekarang kamu telah memiliki pemahaman yang lebih baik tentang phishing, yaitu jenis kejahatan cyber yang dapat menyerang siapa pun dengan cara memikat korban untuk mengungkapkan data pribadi mereka.
Meskipun ada berbagai jenis phishing, mereka memiliki beberapa kesamaan dalam ciri-ciri mereka, seperti penggunaan link atau file berbahaya, penyamaran sebagai entitas tertentu, dan penggunaan kata-kata yang mengejutkan.
Tenang, ada banyak cara untuk menghindari serangan phishing, salah satunya adalah dengan berhati-hati dalam mengakses website yang aman.
Bagi mereka yang memiliki website, penting untuk melindungi situs dengan SSL certificate untuk memberikan tingkat keamanan yang lebih tinggi kepada pengunjung saat mereka melakukan pertukaran data.
Demikianlah isi artikel ini, semoga bermanfaat! kamy juga dapat menemukan artikel-informatif lainnya di blog kami!