Phishing adalah jenis serangan siber paling populer dan membahayakan. Selama bertahun-tahun, serangan phising telah berhasil menipu perusahaan, pelaku bisnis, dan individu agar menyerahkan data sensitif atau men-download malware.
Siapa saja beresiko menjadi korban serangan phising, termasuk kamu. Dengan menjadi lebih sadar akan pengertian phising, jenis-jenis, dan ciri-cirinya, kamu akan mampu melindungi diri dari serangan siber ini.
Kalau begitu, apa itu phising?
Apa Itu Phising Attack?
Phising adalah serangan siber yang bertujuan mencuri data personal atau finansial korban dengan sebuah umpan berupa data palsu yang dibuat seperti data aslinya.
Istilah “phising” berasal dari kata fishing atau memancing, karena serangan ini biasanya dilancarkan agar korban terpancing untuk memberikan informasi sensitif mereka sendiri.
Penyerang biasanya menggunakan identitas palsu dan tidak jarang mengatasnamakan sebuah lembaga atau institusi resmi.
Terdapat berbagai macam modus phising yang beredar. Ada yang mengirimkan pesan phising melalui email, SMS, telpon, atau website palsu.
Biasanya, pesan tersebut dibuat se-menarik dan se-meyakinkan mungkin, bisa dalam bentuk pengumuman bahwa korban telah memenangkan hadiah, undian, dan sebagainya. Beberapa modus phising yang dimulai dengan pemberitahuan resmi juga tidak jarang mengandung ancaman seperti penutupan akun jika korban tidak melakukan aksi yang diharapkan.
Aksi yang dilakukan korban dapat berupa meng-klik sebuah link, men-download aplikasi, atau mengunjungi website palsu.
Dengan mengklik link atau mendownload aplikasi yang diperintahkan, korban secara tidak sengaja akan mendownload virus atau malware yang mampu menggali data sensitif dari perangkat korban.
Jika modus phisingnya melalui website, sesampainya korban di website tersebut, korban diarahkan untuk memberikan data diri pribadi seperti nomor kartu kredit atau informasi akun bank mereka.
Orang-orang yang melakukan phising (phiser) akan menggunakan berbagai strategi untuk mengelabui calon korban dan mengakses informasi rahasia yang dapat mereka gunakan untuk keuntungan pribadi.
Baca Juga: 5 Tips Menjaga Keamanan Cloud Terbaik yang Wajib Diikuti Tiap Organisasi
Jenis-Jenis Phising
Peretas memiliki berbagai taktik dalam melancarkan serangan phising. Di Indonesia, serangan yang sering terjadi yaitu phising melalui chat di aplikasi WhatsApp, dengan mengatasnamakan instansi tertentu, seperti Bank.
Selain serangan massal, ada juga serangan phising yang dibuat lebih sistematis dan ditujukan untuk menjerat perusahaan atau pelaku bisnis. Dengan begitu, peretas akan mendapat untung yang lebih banyak.
Berbagai jenis serangan phising di antaranya:
1. Email Phising
Banyak sekali serangan phising yang dikirimkan melalui email. Peretas seringkali berpura-pura menjadi instansi atau organisasi tertentu, dan memiliki domain yang palsu.
Untuk mengelabui korban, seringkali peretas menggunakan nama yang mirip dengan organisasi aslinya, sehingga bisa saja tidak terdeteksi jika pembacanya tidak teliti. Contohnya, menggunakan huruf “r” dan “n” untuk meniru huruf “m”.
Misalnya, alih-alih menulis “amazon”, peretas tersebut menulis “arnazon”.
Oleh karena itu, penting untuk mengecek alamat email yang kamu terima, dan berpikir dua kali sebelum meng-klik sebuah link atau mengunduh lampiran dalam email.
2. Spear Phising
Serangan spear phishing ditujukan untuk menipu target supaya memberi informasi sensitif seperti kredensial login, data finansial, atau supaya mereka mendownload malware.
Spear phishing cenderung lebih efektif dan lebih sulit dideteksi karena peretas biasanya mengumpulkan dahulu informasi mengenai target, seperti nama, jabatan pekerjaan, bahkan koneksi.
Dengan informasi ini, peretas mengirim pesan yang terlihat resmi dan meyakinkan, seringkali mengatasnamakan individu yang dipercaya oleh target, atau suatu organisasi.
3. Vishing
Serangan vishing adalah serangan phising yang dilakukan dengan menggunakan suara (voice), sehingga serangan ini kebanyakan terjadi melalui telepon. Tidak jarang pula peretas menggunakan nomor telepon yang tidak valid untuk menyembunyikan identitas asli mereka.
Modusnya bermacam-macam. Ada yang menelepon dengan dalih memberi kabar kerabat atau orang terdekat kecelakaan, ditangkap polisi, atau bahkan mendapatkan hadiah undian.
Bahkan, seiring berkembangnya teknologi, ada pula serangan vishing dengan suara artificial intelligence (AI).
Pada akhirnya, target akan diminta untuk mentransfer sejumlah uang.
4. Smishing
Smishing adalah serangan phising yang dilakukan melalui SMS. Pesan-pesan ini biasanya menggunakan bahasa yang mendesak atau menggoda untuk menekan korban agar melakukan pembayaran, meyakinkan mereka bahwa mereka telah memenangkan undian, atau menerima sejumlah uang yang besar.
Setelah target terlibat dengan pesan smishing, mereka diarahkan ke situs web palsu yang meniru yang sah, di mana mereka diminta untuk memasukkan informasi sensitif seperti nama pengguna, kata sandi, atau rincian keuangan.
Atau, target didorong untuk mengklik tautan atau lampiran dalam pesan smishing, yang mengakibatkan unduhan malware ke perangkat penerima.
5. Whaling
Dalam dunia siber, whaling adalah kegiatan phising yang ditujukan kepada target besar seperti CEO, pemilik bisnis, atau pemangku jabatan eksekutif.
Serangan ini menggunakan metode seperti pemalsuan email dan situs web untuk menipu target agar melakukan tindakan tertentu, seperti mengungkapkan data sensitif atau mentransfer uang.
6. Web Phising
Web phising adalah taktik di mana situs web atau surel palsu meniru yang asli untuk menipu pengguna agar mengungkapkan informasi sensitif seperti kata sandi atau rincian keuangan.
Penyerang menargetkan situs populer, menggunakan teknik seperti spoofing email atau cloning situs web.
Begitu pengguna berinteraksi dengan situs palsu ini, informasi mereka diambil untuk disimpan otomatis dalam database dan dapat digunakan untuk login ke situs asli untuk disalahgunakan.
Ciri-Ciri Phising
Berikut ciri-ciri phishing:
- Kejutan atau permintaan mendesak. Pesan phising seringkali menciptakan rasa mendesak, panik atau senang, yang mendorong korban untuk bertindak cepat atau menghindari konsekuensi dari ancaman, secara sadar maupun tidak sadar. Contohnya, kalimat seperti “Selamat! Anda memenangkan hadiah 50 juta! Klaim hadiah Anda di link ini!” atau “KLIK DI SINI UNTUK MENGHAPUS VIRUS DALAM PERANGKAT ANDA”.
- Link mencurigakan. Email atau chat phishing biasanya mengandung link mencurigakan yang terlihat seperti link yang baik-baik saja. Periksa apakah URL dalam email sesuai dengan situs web yang diklaim oleh email tersebut. Dan teliti domainnya. Sebagai contoh, www.google.com tidak sama dengan www.google-search.com.
- Menodong informasi pribadi. Organisasi yang sah biasanya tidak meminta informasi sensitif melalui email. Berhati-hatilah terhadap email yang meminta kata sandi, nomor jaminan sosial, atau rincian keuangan.
- Ejaan dan tata bahasa yang salah. Email phising seringkali mengandung kesalahan ejaan dan tata bahasa, menandakan kurangnya profesionalisme.
- Mengirim file berbahaya. Meskipun terlihat resmi, waspadalah terhadap email atau pesan dari orang asing yang mencantumkan lampiran. Penyerang sering menyamar dengan mengirim dokumen dalam format APK yang berpotensi membahayakan perangkat korban.
Cara Melindungi Diri dari Phising
- Teliti ketika membaca chat dan email
Umumnya, phisher tidak memperhatikan ejaan, tanda baca, atau tata bahasa dalam pesan yang mereka kirim. Oleh karena itu, pastikan kamu memperhatikan tanda baca, EYD, typo setiap pesan yang kamu terima.
- Analisis link yang akan diklik
Ciri-ciri phising yaitu link palsu yang mungkin terlihat normal. Oleh karena itu, selain memperhatikan EYD, teliti pula link yang tercantum dalam sebuah pesan yang kamu terima.
Kamu dapat mengarahkan cursor mouse kamu ke link tersebut tanpa mengkliknya (hover). Lalu, kamu bisa melihat preview dari tujuan URL tersebut di pojok kiri bawah layar. Jika menggunakan HP, kamu bisa klik lalu tahan sekitar 2-3 detik sampai muncul alamat lengkap dari URL yang tercantum dalam pesan tersebut.
Jika kamu tidak yakin akan URL tersebut atau kamu tidak yakin dengan pesannya, jangan klik link tersebut.
- Jaga data sensitif kamu
Data sensitif meliputi informasi pribadi seperti nomor kartu kredit, nomor identitas, atau kata sandi yang dapat memberikan akses ke akun penting.
Oleh karena itu, penting untuk selalu berhati-hati dalam menyimpan dan memberikan informasi pribadi, baik secara online maupun offline. Hal ini dapat dilakukan dengan menggunakan kata sandi yang kuat, menghindari membagikan informasi pribadi melalui email atau platform komunikasi yang tidak aman, serta menggunakan sistem keamanan tambahan seperti VPN saat terhubung ke internet.
- Install software antivirus
Kehadiran software antivirus memiliki peran yang sangat penting mengingat beragamnya jenis ancaman internet selain phising. Untuk menjaga keamanan data kamu, disarankan untuk menggunakan perangkat lunak antivirus ESET atau Avira.
- Install plugin anti-phising
Pemasangan plugin anti-phising seperti NetCraft, juga dapat meningkatkan keamanan saat menjelajahi internet. Plugin ini membantu mengidentifikasi dan memperingatkan kamu tentang situs web yang mencurigakan atau telah dicatat dalam daftar blokir.
Baca Juga: Mengenal Apa Itu Firewall: Pengertian, Fungsi, Cara Kerja, dan Jenisnya
Jadi .. Apa Itu Phising?
Serangan phishing adalah upaya penipuan di mana penyerang berpura-pura menjadi orang atau lembaga terpercaya untuk memperoleh informasi sensitif seperti kata sandi, nomor kartu kredit, atau data pribadi lainnya.
Serangan ini dapat dilancarkan dengan berbagai macam cara melalui email, telepon, SMS, dan media sosial. Biasanya, serangan ini dapat diidentifikasi dari ajakan atau instruksi mendesak, link mencurigakan, dan penulisan pesan yang tidak sesuai tata bahasa atau EYD.
Oleh karena itu, pastikan untuk lebih teliti dalam mengecek pesan yang kamu terima, jaga data pribadi, dan jangan klik sembarang link untuk menghindari terdampak serangan phishing.
Baca Juga: Kenali Apa Itu Hardware Security Module (HSM) dan Fungsinya
About The Author
