Apa itu Phishing?
Pada dasarnya, phishing dibuat untuk mencuri informasi penting milik seseorang maupun perusahaan. Phishing telah menjadi ancaman serius bagi pengguna internet. Tahun lalu, email phishing telah merugikan industri bisnis di Inggris sebesar 6,91 miliar euro. Phishing adalah teknik penipuan yang memanfaatkan situs web palsu, pesan palsu, dan manipulasi psikologis untuk memikat perhatian seseorang agar menyerahkan secara sukarela informasi atau uang yang mereka miliki. 32% dari total pelanggaran data di internet adalah phishing. Sebagian penjahat dunia maya akan memanfaatkan informasi yang didapat dari phishing untuk serangan siber yang lebih besar.
Daftar Isi
Daftar Isi
Pengertian Phishing
Phishing adalah suatu metode kejahatan dalam dunia maya dimana calon korban dihubungi melalui email, telepon, atau pesan teks oleh seseorang yang berpura-pura menjadi orang lain atau organisasi yang sah untuk mengelabui individu agar menyerahkan informasi sensitif seperti rincian kartu kredit, kredensial log in akun, atau identitas pribadi. Biasanya, phishing seringkali melibatkan teknik spoofing URL, web, atau email. Kemudian, informasi yang didapat akan digunakan untuk membuka akun-akun penting sehingga mengakibatkan pencurian data serta kerugian finansial.
Jenis-jenis Phishing
1. Email Phishing
Phishing email adalah bentuk phishing yang paling dikenal luas. Serangan phising email adalah upaya untuk mencuri informasi sensitif melalui email yang tampaknya berasal dari organisasi atau perusahaan yang sah. Ini bukan serangan yang ditargetkan dan dapat dilakukan secara massal. Phising email mungkin saja terlihat seperti berasal dari perusahaan yang Anda kenal atau percayai. Berikut adalah beberapa hal yang mungkin Anda temukan dalam email phising.
- “Verifikasi akun Anda.” Situs resmi tidak akan pernah meminta kata sandi atau informasi pribadi lainnya melalui email.
- “Jika Anda tidak merespon dalam 48 jam, akun Anda akan ditangguhkan.” Ini merupakan pesan bernada ancaman, agar Anda merespon dengan cepat tanpa mempertimbangkannya.
- “Pelanggan yang Terhormat.” Email phishing biasanya dikirim secara massal sehingga tidak memuat nama lengkap target.
2. Web Phishing
Web phishing atau situs phising adalah sebuah situs web yang sengaja dirancang untuk menipu calon korban dengan cara mengumpulkan informasi sensitif mereka seperti data kartu kredit, kata sandi, dan data penting lainnya. Situs web yang sedang melakukan phising akan tampak sama persis seperti situs asli baik dari penampilan, nama domain, dan lainnya, agar calon korban tidak curiga. Biasanya, para penjahat sengaja menduplikasi situs web yang populer seperti media sosial, situs bank, dan keuangan.
Beberapa contoh nyata phising site adalah kikbca.com (duplikasi dari klikbca.com) dan twlitter.com (duplikasi dari twitter.com). Para penjahat biasanya juga menautkan situs-situs palsu tersebut dalam email phishing, kiriman media sosial, pesan teks, atau alat komunikasi lainnya. Tautan phishing atau link phishing adalah domain yang mengarahkan Anda pada situs palsu, malware, atau kejahatan dunia maya lainnya. Jika ini terjadi, Anda perlu mencari tahu cara untuk menyingkirkan virus dan malware di ponsel.
3. Clone Phishing
Clone Phishing adalah jenis serangan phishing di mana peretas menyalin pesan email sah yang dikirim dari organisasi terpercaya. Peretas kemudian mengubah email dengan mengganti atau menambahkan tautan yang mengarahkan ulang ke situs web jahat atau palsu. Email tersebut selanjutnya dikirim ke sejumlah calon korban dan peretas akan mengawasi korban yang mengkliknya. Ketika korban berhasil tertipu, peretas akan meneruskan email palsu tersebut ke kontak yang ada di kotak masuk korban.
4. Spear Phishing
Spear phishing adalah serangan phising yang disesuaikan dan ditargetkan pada individu tertentu. Sebelum mengirim phishing email, peretas terlebih dahulu akan meneliti target mereka. Peretas akan mengumpulkan informasi atau data mining dari sumber-sumber seperti media sosial, situs web perusahaan, dan basis data publik untuk membuat email atau pesan yang meyakinkan. Informasi ini termasuk detail pribadi, kebiasaan, dan hubungan profesional.
Penyerang dapat mempersonalisasi pesan-pesan ini agar terlihat lebih sah dan relevan bagi korban, meningkatkan kemungkinan penipuan dan memberikan informasi sensitif. Spear phishing merupakan bentuk phishing yang sangat ditargetkan dan canggih yang menggunakan data mining untuk mengumpulkan dan menganalisis informasi tentang calon korban.
5. Whaling
Whaling adalah bentuk lain dari spear phishing di mana penyerang berpura-pura menjadi anggota perusahaan tingkat tinggi seperti direktur utama, anggota dewan, pemegang saham utama, dan lain-lain. Penjahat dunia maya akan berusaha lebih keras untuk meniru orang-orang penting tersebut karena lebih sulit untuk ditiru. Namun, karena orang-orang penting seperti itu memiliki pengaruh yang lebih besar di perusahaan, maka kerugian dari serangan ini akan jauh lebih besar pula. Karyawan biasanya tak segan untuk mentransfer dana atau memberi tahu informasi rahasia tanpa terlalu banyak bertanya.
6. Smishing dan Vishing
Sama seperti serangan phising pada umumnya, smishing dan vishing adalah bentuk manipulasi psikologis. Namun, smishing adalah serangan yang berbasis SMS dan vishing berbasis panggilan telepon. Pada smishing, peretas akan mengirimkan pesan yang tampaknya dari organisasi atau perusahaan terpercaya. Pesan tersebut biasanya disisipi dengan tautan eksternal untuk Anda klik. Jika Anda mengklik tautan tersebut, Anda akhirnya diarahkan ke situs web palsu dan diminta untuk memasukkan data sensitif.
Sedangkan vishing bekerja dengan sedikit berbeda. Ini sangat bergantung pada rekayasa sosial, dengan menciptakan situasi stres yang mendorong orang untuk bertindak tanpa berpikir. Penyerang sering mencoba menakut-nakuti korbannya dengan menyatakan bahwa seseorang mencoba menggunakan kartu kreditnya, bahwa mereka lupa membayar denda, dan lain-lain. Ketika orang dikuasai emosi, mereka tidak lagi pikir panjang dan dapat dengan mudah memberikan detail perbankan online dan informasi pribadi lainnya.
Serangan vishing dan smishing juga dapat menyebabkan peretasan ponsel. Anda perlu cek hp di hack jika mendapatkan vishing dan smishing. Serangan-serangan ini dapat mengarah pada pencurian data, pemasangan malware, dan taktik rekayasa sosial. Penyerang dapat menggunakan taktik ini untuk menciptakan rasa terdesak dan meyakinkan korban untuk memberikan informasi sensitif melalui telepon.
Vishing menargetkan pengguna layanan Voice over IP (VoIP), sehingga memudahkan penyerang untuk memalsukan ID penelepon dan tampak sah. Selama panggilan berlangsung, penyerang dapat meminta informasi pribadi, detail kartu kredit, atau kredensial login.
Hal ini dapat digunakan untuk serangan lebih lanjut atau dijual di web gelap. Baik smishing maupun vishing dapat mengarah pada pencurian data pribadi, pemasangan malware, dan akses tidak sah ke akun dan perangkat.
Contoh kasus phishing
Email Phishing
Di atas adalah email phishing yang sering berhasil membuat takut dan mempengaruhi target untuk bereaksi cepat agar mengklik tautan. Penjahat dunia maya akan mengancam menonaktifkan akun Anda jika tidak membuka tautan yang disisipkan, memasukkan kredensial masuk atau mengambil tindakan lainnya seperti menyerahkan informasi keuangan. Dulunya, serangan siber email phishing sangat mudah dikenali. Tapi belakangan ini, mereka terlihat sangat realistis.
Web Phishing
Penjahat dunia maya tidak akan berhenti untuk mencuri informasi. Web phishing adalah salah satu metode yang terkenal. Pada tahun 2016 lalu, otoritas imigrasi dan pemeriksaan Singapura (ICA) memperingatkan bahwa terdapat sebuah situs web yang meniru mereka. Situs palsu tersebut memungkinkan pengunjung untuk mengajukan visa secara online. Ketika pengunjung mencoba untuk membuat permohonan aplikasi visa, situs tersebut meminta “nomor referensi visa” dan “nomor dokumen perjalanan” mereka. ICA mengatakan jika mereka tidak menerima satu data pun dari situs palsu tersebut. Kasus tersebut telah dilaporkan ke pihak kepolisian. Jika Anda menemukan web phishing, jangan segan untuk melakukan lapor situs penipuan.
Apa yang harus Anda lakukan jika menerima email phishing?
- Jangan klik tautan apa pun. Anda tidak boleh mengklik tautan dalam email atau membuka lampiran, kecuali Anda yakin 100 persen bahwa Anda mengenal dan mempercayai pengirimnya. Anda juga tidak boleh membalas email tersebut. Penjahat mungkin mengirim email ke ribuan alamat setiap hari, dan jika Anda membalas salah satu pesan mereka, itu menginformasi bahwa alamat email Anda aktif. Ini membuat Anda menjadi lebih dari sekedar target.
- Laporkan email tersebut. Penyedia email Anda mungkin memiliki proses yang dapat Anda ikuti untuk melaporkan email phishing, mekanismenya bervariasi. Pada kasus Gmail Phishing, klik tiga titik di samping opsi “Balas”, lalu pilih “Laporkan phishing”. Sebuah panel terbuka akan meminta Anda untuk mengkonfirmasi bahwa Anda ingin melaporkan email tersebut. Klik “Laporkan Pesan Phishing”, lalu Google akan meninjau email tersebut.
- Amankan akun yang terkena phishing. Jika Anda tidak sengaja membuka tautan phising, memberikan informasi pada web phishing, atau merasa bahwa Anda adalah target, segera amankan akun Anda. Ubah kata sandi dan aktifkan verifikasi dua langkah saat masuk pada setiap akun yang Anda miliki. Namun, apabila Anda telah terlanjur memberikan informasi pribadi seperti detail kartu kredit, maka Anda harus segera memberitahu pihak bank. Beritahu mereka jika Anda telah menjadi korban, pihak bank memiliki prosedur tersendiri untuk mengamankan rekening Anda.
Lindungi diri Anda dari penipuan phishing
- Berhati-hatilah dengan semua komunikasi yang Anda terima. Jika ini tampak seperti komunikasi phishing, jangan tanggapi.
- Jangan klik tautan apa pun yang tercantum dalam pesan email dan jangan buka lampiran apa pun yang terdapat dalam email yang mencurigakan.
- Jangan masukkan informasi pribadi di layar pop-up dan melalui email. Perusahaan, agensi, dan organisasi yang sah tidak meminta informasi pribadi melalui email dan layar pop-up.
- Instal filter phishing pada aplikasi email Anda dan juga pada peramban. Memang, filter ini tidak akan menahan semua pesan phishing, tetapi akan mengurangi jumlah upaya phishing.
- Gunakan VPN setiap kali Anda terhubung ke internet. Fitur Threat Protection Pro NordVPN dapat memblokir situs-situs yang awam digunakan dalam serangan phishing.
Lindungi hingga 10 perangkat dengan satu akun.
Privasi internet dimulai dengan satu klik.