Apa itu email phishing?
Definisi email phishing
Email phishing adalah pesan penipuan yang masuk ke kotak email Anda. Pesan ini biasanya meminta Anda mengklik tautan atau mengunduh lampiran untuk mencuri data sensitif. Penipu mengirim email ini secara massal, bukan khusus untuk satu orang.
Penipu memakai tautan palsu untuk menipu Anda. Mereka bisa menawarkan hadiah menarik, menakut-nakuti dengan ancaman palsu, atau menyamar sebagai pihak yang Anda kenal, seperti keluarga atau layanan resmi.
Tujuan mereka sederhana: membuat Anda mengklik tautan yang terlihat aman, padahal mengarah ke situs berbahaya. Istilah “phishing” berasal dari kata “fishing” atau memancing.
Penipu melempar “umpan” berupa email yang tampak meyakinkan. Mereka berharap Anda terpancing, lalu memberikan data penting seperti kata sandi, nomor kartu kredit, atau nomor rekening.
Bagaimana cara kerja email phishing?
Email phishing bekerja dengan menyamar sebagai pesan dari sumber yang terlihat sah, seperti bank, perusahaan, media sosial, atau bahkan orang yang Anda kenal. Penipu membuat pesan yang menarik perhatian, misalnya peringatan palsu bahwa akun Anda diretas, tawaran yang terlalu menggiurkan, atau permintaan bantuan mendesak.
Tingkat kerumitannya berbeda-beda. Penipu berpengalaman bisa memalsukan alamat email agar terlihat resmi, sementara yang lain memakai cara phising yang lebih sederhana. Biasanya, email ini berisi tautan yang mengarah ke situs web palsu. Di situs tersebut, penipu meminta Anda memasukkan data sensitif, seperti kata sandi, nomor kartu kredit, atau informasi pribadi lain.
Setelah Anda memasukkannya, penipu akan mencuri dan menyalahgunakan data tersebut. Contohnya, Anda menerima email yang terlihat seperti dari bank dan meminta Anda memverifikasi identitas. Karena khawatir, Anda mengklik tautan itu.
Tautan tersebut membawa Anda ke situs yang tampak seperti situs resmi bank. Tanpa sadar, Anda memasukkan data login. Padahal, Anda baru saja memberikan informasi penting kepada penipu, yang kemudian bisa mengakses rekening Anda.
Contoh email phishing
Penipuan email phishing bisa muncul di kotak masuk Anda dengan menyamar sebagai pesan dari sumber tepercaya. Dengan mengetahui ciri-ciri email semacam ini, Anda bisa terhindar dari menjadi korbannya.
Penipuan mata uang kripto
Email phishing tentang setoran kripto mencoba menipu Anda agar percaya bahwa Anda menerima sejumlah besar mata uang kripto. Pesan ini biasanya menampilkan detail seperti jumlah dana, ID pelanggan, dan kata sandi agar terlihat meyakinkan.
Contoh umum: email mengklaim bahwa puluhan Bitcoin telah masuk ke akun Anda dan menyertakan tautan ke situs tertentu. Penipu sengaja membangkitkan rasa senang dan penasaran. Mereka berharap Anda langsung mengklik tautan tersebut tanpa berpikir. Padahal, tautan itu mengarah ke situs palsu yang bertujuan mencuri data Anda.
Penipuan perbankan
Anda mungkin menerima email yang menyatakan bahwa Anda menambahkan penerima pembayaran baru atau terjadi aktivitas mencurigakan di rekening bank Anda. Penipu sering menggunakan pesan seperti ini dalam penipuan perbankan.
Mereka akan mendesak Anda untuk mengklik tautan guna mengonfirmasi atau memverifikasi data. Jangan langsung percaya. Tautan tersebut biasanya mengarah ke situs palsu yang bertujuan mencuri informasi Anda.
Rasa penasaran memang bisa membuat Anda ingin mengkliknya, tetapi tetap waspada. Jika Anda tidak memiliki rekening di bank yang disebutkan, abaikan email tersebut dan jangan klik tautan apa pun.
Email phishing di media sosial
Email phishing juga sering menyamar sebagai pesan dari media sosial, seperti Facebook, Twitter, atau Instagram. Pesan ini biasanya berisi peringatan keamanan agar Anda panik, misalnya akun Anda terancam diretas jika tidak segera bertindak.
Setelah itu, penipu meminta Anda mengklik tautan untuk mengganti kata sandi. Jangan terburu-buru. Tautan tersebut biasanya mengarah ke situs palsu. Jika Anda memasukkan kata sandi di sana, penipu bisa mencuri data login Anda dan mengambil alih akun Anda.
Email phishing yang dikirim oleh CEO
Seorang penjahat siber melihat di LinkedIn bahwa CEO sebuah perusahaan sedang berada di luar negeri. Ia lalu mengirim email kepada karyawan dengan menyamar sebagai CEO atau eksekutif.
Dalam email itu, ia meminta karyawan mentransfer dana ke mitra di luar negeri dengan alasan mendesak. Karena percaya, karyawan tersebut langsung mengirim uang ke rekening yang ternyata milik penipu.
Kasus ini adalah contoh klasik penipuan yang memanfaatkan kepercayaan korban. Orang sering menyebutnya sebagai penipuan email bisnis atau penipuan CEO.
Pengiriman paket gagal
Email phishing bertema “pengiriman paket gagal” mencoba menipu Anda agar mengklik tautan berbahaya atau memberikan data pribadi. Pesan ini sering mengaku berasal dari layanan kurir seperti UPS, FedEx, atau DHL.
Penipu akan mendesak Anda untuk mengklik tautan guna menjadwal ulang pengiriman atau melihat detail paket. Sering kali, mereka menyalin email asli (clone phishing) lalu mengganti tautannya dengan tautan berbahaya.
Tautan tersebut biasanya mengarah ke situs pengiriman palsu yang tampak sangat mirip dengan situs resmi. Di sana, Anda bisa diminta memasukkan data seperti alamat, nomor telepon, atau bahkan informasi pembayaran. Dalam beberapa kasus, cukup dengan mengklik tautan saja, perangkat Anda bisa langsung terinfeksi malware tanpa Anda sadari.
Halaman login Google Docs palsu
Dalam penipuan phishing Google Docs, penjahat siber membuat halaman login Google Docs palsu untuk mencuri data Anda. Mereka mengirim email yang terlihat seperti dari orang yang Anda kenal.
Biasanya, subjek email berbunyi bahwa seseorang telah membagikan dokumen kepada Anda. Email tersebut mengarahkan Anda ke halaman login palsu. Jika Anda memasukkan email dan kata sandi di sana, penipu akan langsung mendapatkan akses ke akun Google Anda.
Selamat! Anda telah memenangkan…
Email-email seperti ini dan yang serupa, yang berisi kalimat “Selamat, Anda adalah pengunjung beruntung hari ini”, semuanya merupakan upaya phishing. Meskipun sudah banyak diketahui orang, para penipu tetap mengirimkan email-email phishing ini, dengan harapan rasa gembira Anda akan mengaburkan penilaian Anda mengenai keaslian email tersebut.
Anda telah menerima pembayaran…
Email phishing yang mengklaim Anda menerima pembayaran, padahal Anda tidak menunggunya, bertujuan menipu Anda agar mengklik tautan berbahaya atau memberikan data pribadi.
Pesan ini biasanya menampilkan detail seperti jumlah uang dan nama pengirim agar terlihat meyakinkan. Tautan dalam email tersebut biasanya mengarah ke situs pembayaran palsu, misalnya yang menyerupai PayPal dan tampak seperti aslinya.
Di sana, Anda akan diminta masuk atau mengonfirmasi data akun. Jika Anda melakukannya, penipu bisa mencuri data login Anda dan mengambil alih akun tersebut.
Cara mengenali email phishing
Anda dapat mengenali email phishing dengan menganalisis isinya. Perhatikan tanda-tanda peringatan berikut ini:
- 1.Periksa alamat email pengirim. Para penipu sering kali menggunakan teknik spoofing email agar alamat pengirim terlihat sah, tetapi jika diperhatikan lebih teliti, Anda bisa melihat ada yang janggal. Email tersebut mungkin meniru alamat perusahaan tepercaya dengan sedikit perbedaan, seperti domain yang salah ejaan (“paypall.com” alih-alih “paypal.com”).
- 2.Waspadalah terhadap sapaan umum. Para penipu sering menggunakan sapaan umum dalam email phishing untuk menjangkau banyak orang dengan cepat. Alih-alih menyesuaikan email dengan nama Anda, mereka mungkin menggunakan sapaan umum seperti “Yth. Pelanggan” untuk menghemat waktu dan memperluas jangkauan target mereka.
- 3.Waspadalah terhadap pesan-pesan yang terkesan mendesak. Tidak ada perusahaan yang sah yang akan memaksa Anda untuk mengambil keputusan terburu-buru dengan mengancam akan membatalkan pesanan Anda atau menangguhkan akun Anda. Email phishing (seperti email phishing UPS) sering kali menciptakan kesan mendesak dan memicu kepanikan, sehingga mendorong Anda untuk bertindak cepat dan mengambil keputusan yang gegabah.
- 4.Perhatikan kesalahan ejaan dan tata bahasa. Para penipu biasanya tidak meluangkan waktu untuk memeriksa apakah bahasa Inggris yang mereka gunakan sudah benar.
- 5.Perhatikan lampiran yang mencurigakan. Bukan hanya jenis file yang mencurigakan seperti .zip, .exe, atau .scr yang harus diwaspadai — bahkan format yang terpercaya seperti PDF dan file Word pun bisa berisiko. Jadi, luangkan waktu sejenak untuk berpikir dua kali sebelum mengklik lampiran apa pun.
- 6.Waspadalah terhadap email yang menawarkan hadiah atau uang. Email yang terdengar terlalu bagus untuk menjadi kenyataan sering kali memancing Anda dengan janji hadiah atau uang jika Anda mengklik tautan atau membuka lampiran. Jika pengirimnya tidak Anda kenal atau Anda tidak mengharapkan pesan tersebut, kemungkinan besar itu adalah jebakan.
Anda juga bisa membaca panduan kami untuk mengetahui lebih lanjut tentang cara mengenali email phishing.
Apa yang harus Anda lakukan jika menerima email phishing?
Menerima email phishing bisa membuat Anda merasa cemas, terutama jika Anda tidak tahu cara mengatasinya. Namun, jangan khawatir. Jika ada email semacam itu masuk ke kotak masuk Anda, ingatlah untuk:
- Hindari mengklik tautan apa pun atau membuka lampiran. Hal tersebut bisa berbahaya.
- Jangan membalas atau berinteraksi dengan pengirim. Sebaiknya abaikan saja.
- Laporkan email tersebut, lalu hapus untuk menghindari interaksi yang tidak disengaja.
Cara melaporkan email phishing
Setiap laporan sangat berarti. Dengan membagikan pengalaman Anda, Anda membantu pihak berwenang melacak para penipu dan mencegah mereka menargetkan lebih banyak orang. Anda dapat melaporkan email phishing dari pengirim yang tidak dikenal melalui beberapa cara.
- Laporkan Nomor Rekening: Masukkan nomor rekening penipu ke situs CekRekening.id milik Kominfo agar statusnya terdata dan dibekukan.
- Adukan Link/Situs Phishing: Laporkan alamat web palsu tersebut ke portal aduankonten.id atau via WhatsApp resmi Kominfo di 0811-9224-545.
- Lapor Tindak Pidana ke Polri: Buat laporan daring melalui portal Patrolisiber.id atau datangi SPKT di Polres terdekat untuk pelaporan kerugian material.
- Laporkan Nomor Telepon/SMS: Gunakan layanan Aduan.id untuk melaporkan nomor seluler yang digunakan penipu agar diblokir oleh operator telekomunikasi.
Anda juga dapat melaporkan email phishing langsung ke penyedia layanan email Anda. Sebagian besar layanan email menyediakan opsi "Laporkan phishing".
Cara menghindari menjadi korban penipuan email phishing
Sebagian besar email phishing tidak terlalu sulit dikenali. Anda bisa mendeteksinya dengan akal sehat dan metode SLAM. Namun, karena phishing semakin canggih, beberapa tips tambahan akan sangat membantu Anda menghindarinya.
Jangan hanya mengandalkan filter spam
Sebagian besar penyedia layanan email menandai email phishing dan memindahkannya ke folder spam. Namun, penjahat siber sering menemukan cara untuk melewati filter ini.
Gunakan perangkat lunak anti-phishing untuk memeriksa email masuk dan mendeteksi upaya phishing. Anda juga bisa mengikuti panduan kami untuk mencegah email phishing.
Pastikan kembali produk yang diiklankan
Jika Anda menerima email yang menawarkan hadiah tiket untuk perjalanan mewah. Pastikan dulu keabsahan penawaran tersebut sebelum mengklik tautan apa pun.
Rasa ingin tahu memang wajar, tetapi sebelum membagikan informasi sensitif apa pun, cari dulu penawaran tersebut di Google. Dan ingat — jika kedengarannya terlalu bagus untuk menjadi kenyataan, kemungkinan besar itu adalah penipuan.
Gunakan kartu kredit dengan batas kredit rendah
Pertimbangkan untuk menggunakan kartu kredit terpisah untuk pembelian online guna mencegah peretas menguras rekening bank Anda. Anda juga dapat menggunakan kartu kredit virtual untuk pembayaran satu kali atau berulang guna melindungi rekening utama Anda.
Gunakan firewall
Firewall berfungsi sebagai perisai antara komputer Anda dan ancaman online, sehingga membantu mengurangi risiko serangan phishing yang mencapai perangkat Anda. Dengan memblokir lalu lintas yang mencurigakan dan mencegah akses ke situs-situs berisiko, firewall merupakan alat yang berguna untuk mendeteksi serangan phishing.
Hindari jendela pop-up
Jendela pop-up sering kali tampak seperti bagian sah dari sebuah situs web, tetapi kebanyakan di antaranya merupakan upaya phishing. Pertimbangkan untuk menggunakan fitur Threat Protection Pro™ dari NordVPN, yang memblokir jendela pop-up, iklan banner, dan iklan video.
Gunakan autentikasi multi-faktor (MFA)
MFA memberikan lapisan perlindungan tambahan untuk akun Anda. Meskipun email phishing berhasil membujuk Anda untuk membocorkan kata sandi, penyerang tetap memerlukan langkah verifikasi kedua — seperti kode yang dikirim ke ponsel Anda atau dihasilkan oleh aplikasi — untuk mengakses akun Anda.
Hindari membagikan informasi pribadi
Semakin sedikit informasi pribadi yang Anda bagikan, semakin sedikit pula detail yang dapat dicuri dan dimanfaatkan oleh penyerang untuk merugikan Anda. Mengurangi jumlah informasi yang dibagikan membantu melindungi Anda dari pencurian data. Hal ini juga membuat email phishing yang tidak memuat detail pribadi lebih mudah dikenali sebagai palsu, sehingga Anda tidak mudah tertipu olehnya.
Update perangkat lunak Anda secara berkala
Update perangkat lunak memperbaiki celah keamanan yang dapat dimanfaatkan peretas dalam serangan phishing atau kebocoran data. Dengan selalu mengupdate perangkat lunak Anda, risiko eksploitasi kerentanan tersebut terhadap Anda pun berkurang.
Keamanan online dimulai dengan satu klik.
Tetap aman dengan VPN terkemuka di dunia
