Apa itu phising? Seperti yang kita ketahui, perkembangan teknologi membawa dampak yang begitu besar di kehidupan umat manusia. Dari yang sebelumnya kegiatan masih manual dan cenderung lambat, sekarang lebih otomatis dan lebih masif.
Banyak sekali dampak positif dari perkembangan teknologi. Tapi apa perkembangan teknologi 100% berdampak positif?
Jika kita pahami, ternyata banyak juga dampak negatif dari perkembangan teknologi. Salah satunya adalah kasus cybercrime yang marak akhir-akhir ini digunakan, phising.
Kerugian yang didapatkan ketika menjadi korban jenis cybercrime ini bisa berupa data pribadi yang mengancam keamanan, hingga pencurian rekening.
Lantas, apasih yang dimaksud phising itu?
MiVa akan mengajak Vaganzer untuk berkenalan dengan phising, mulai dari pengertian hingga cara menghindari web phising.
Apa itu Phising?
Jika diterjemahkan dari bahasa Inggris ke bahasa Indonesia, phising berarti pengelabuan. Lebih jelasnya, phising adalah suatu bentuk penipuan untuk mendapatkan informasi/data penting dengan menyamar sebagai seorang yang terpercaya.
Dalam bahasa Inggris, asal mula phising berasal dari kata fishing yang berarti memancing. Dalam konteks Phising, yang dipancing adalah data penting pengguna seperti email, password, kartu kredit, atau rekening bank.
Kenapa seseorang bisa kena Phising?
Pelaku biasanya berpura-pura menjadi orang atau instansi yang “terpercaya” untuk menawarkan Hadiah seperti uang tunai, voucher game, hp, dan sebagainya.
Karena hadiahnya menggiurkan inilah, banyak juga orang yang tergiur untuk mengambilnya.
Selain itu, pelaku biasanya berusaha semaksimal mungkin agar terlihat profesional dan terpercaya sehingga calon korban masuk perangkapnya. Seperti membuat website yang sangat bagus, menambahkan berbagai kontak dan profil perusahaan yang ditiru, membuat email sebagus mungkin, ataupun lainnya.
Jika yang dicuri oleh pelaku berupa informasi korban, maka pelaku mengambil keuntungan dari menjual informasi tersebut di deep web. Informasi/data pribadi biasanya digunakan seseorang untuk melakukan tindakan “belok” seperti penyalahgunaan akun contohnya.
Bahkan menurut laporan dari Statista di akhir tahun 2019 tercatat jenis cybercrime yang paling mendominasi dari total cybercrime adalah jenis Phising/Vishing/Smishing/Pharming.
Oleh karena itu, hal ini tidak bisa dianggap sepele karena gampang sekali seseorang terkena cybercrime berjenis Phising ini.
Jenis-jenis Phising
1. Deceptive Phising
Phising jenis ini dicontohkan dengan misalnya sebuah perusahaan ternama mengirimkan email/SMS kepada korban secara acak untuk melakukan hal-hal berikut :
- Meminta verifikasi akun terkait
- Login ulang akun terkait dengan mengirim ke halaman baru dan meminta email + password
- Meminta pengubahan kata sandi
- Meminta pembayaran
Setelah pelaku mendapatkan informasi dari data yang diisi, maka informasi krusial tersebut digunakan untuk melakukan pembayaran, dijual datanya, hingga memanfaatkan informasi tersebut untuk membobol akun-akun korban.
Jumlah deceptive phising ini sangat banyak. Bahkan menurut data tercatat, 3,4 miliar email Phising dikirim setiap harinya. Coba bayangkan berapa banyak orang yang terperangkap ke jenis cybercrime ini.
2. Spear Phising
Sebenarnya jenis phising ini hampir sama dengan Deceptive Phising. Bedanya, Spear Phising lebih tertarget korbannya.
Spear diartikan ke dalam bahasa Indonesia sebagai tombak. Jadi dapat dijelaskan, Spear Phising adalah Phishing yang “calon korbannya” sudah tertarget alias pelaku memang sengaja ingin melakukan Phising ke korban A.
Bagaimana ini bisa terjadi? Biasanya, teknik Spear Phising ini dilakukan pelaku ketika pelaku sudah mengetahui informasi dasar dari calon korban. Email misal.
Bentuk phisingnya sama saja, ini bisa berupa pengiriman email yang mengaku berasal dari perusahaan yang terpercaya. Jika korban mengklik atau mengisi data pribadi di link yang dikirim pelaku, maka data korban akan dicuri.
Bisa juga, bentuk phising ini berupa email yang membawa korban menuju website yang penuh berisi dengan virus malware. Nah, malware ini bisa mengobrak-abrik perangkat korban untuk mencuri data penting korban dan akhirnya dimanfaatkan untuk keuntungan pelaku.
3. Smishing
Smishing adalah jenis phising yang berhubungan dengan SMS alias pesan teks. Bentuk pemipuannya berupa SMS atau telepon dari si pelaku.
Smishing cukup ramai beberapa tahun silam. Korbannya rata-rata adalah orang dewasa yang agak gagap masalah teknologi. Makanya mereka mudah sekali kena perangkap pelaku Phishing.
Modus yang ramai seperti menang undian dan membuat website yang sangat norak, “mama minta pulsa”, “saudara kecelakaan”, dan berbagai modus lainnya.
4. Whale Phising
Whale Phising diistilahkan sebagai jenis phishing yang ditargetkan bukan kepada orang biasa, tetapi kepada orang-orang yang memiliki wewenang, kekuasaan, kekayaan, atau terkenal.
Kenapa jenis ini dinamakan whale? Ini karena orang-orang besar seperti itu diibaratkan whale/ikan paus. Vaganzer tau sendiri kan ikan paus ukurannya seberapa.
Taktik yang digunakannya hampir sama dengan Spear Phishing yang menargetkan korban sehingga membuat korban percaya.
Cara Kerja Phising
Bagaiman Phising bekerja dan bagaimana seorang pelaku menjalankan kejahatan ini? Berikut gambarannya
Langkah pertama sebelum pelaku melakukan kejahatan phising adalah ia akan menentukan calon korbannya terlebih dahulu. Misalnya pengguna Paypal.
Nah setelah menentukan calon korban pelaku menentukan tujuan Phising. Dalam contoh Phising Paypal, pelaku menginginkan data pribadi seperti email dan password email di Paypal korban.
Setelah itu, pelaku akan mulai menyiapkan berbagai amunisi untuk mencuri data si korban. Misalnya dengan membuat website palsu Paypal dengan memilih nama domain yang mirip, membuat konten yang meyakinkan si korban.
Nah, sesudah amunisi siap, pelaku bakal mengirimkan email Phising kepada korban yang tertarget. Misal email mengenai login ulang Paypal karena akun terdeteksi login di perangkat lain. Di sini, email akan dibuat senatural mungkin mirip dengan email dari Paypal sehingga korban akan terbujuk.
Ketika korban memasukkan data penting di website palsu tersebut, maka data login Paypal korban sudah ada di tangan pelaku. Kini pelaku tinggal memanfaatkan data login tersebut sesuai keingin dia. Data login tersebut bisa digunakan untuk :
Keuntungan dari penjualan data login. Biasanya data-data login tersebut dijual di deep web. Si pembeli diuntungkan dengan tujuan pemanfaatan akun korban dengan cara login di akun-akun yang berisi uang.
Melakukan penipuan atas nama korban. Sehingga pelaku sekaligus penipuan tersebut lebih aman karena jejaknya tertutupi.
Membobol akun-akun korban untuk dicuri uangnya
Penjualan informasi korban untuk kepentingan politik. Biasanya data penting dari orang-orang besar memiliki harga jual yang cukup tinggi di deep web.
Melakukan pembayaran atau pinjaman online dengan atas nama korban.
Ciri-Ciri Phising
1. Menggunakan Ejaan yang Buruk
Biasanya jika memang dari organisasi atau perusahaan resmi, maka pesan yang dikirim oleh mereka adalah pesan yang benar-benar menggunakan bahasa yang sesuai dengan kaidah kebahasaan bahasa Indonesia yang benar.
Jika tidak, Vaganzer perlu curiga apakah itu pesan benar-benar dari perusahaan resmi atau palsu.
2. Domain Website yang Divariasikan
Hal yang paling membuat buat calon korban terperangkap oleh pelaku phising adalah melihat domain yang sekilas terlihat mirip dengan dengan aslinya. Misalnya halaman paypal.com diganti menjadi web-paypal.com .
3. Email Pengirim yang Agak Aneh
Jika benar-benar menerima dari perusahaan resmi, maka ini yang digunakan pengirim adalah email yang jelas keasliannya yang berasal dari nama website perusahaan mereka.
Misal [email protected] . Jika tidak, maka Vaganzer wajib curiga dengan email tersebut.
4. Tampilan Website yang Berbeda dari Website Resminya
Website phising yang digunakan oleh pelaku biasanya memiliki tampilan norak (biasanya ini penipuan berbentuk SMS gebyar hadiah yang menuju ke web penipuan).
Atau jika mirip dengan website aslinya, coba Vaganzer bandingkan secara langsung deh seperti apa website yang resmi dengan website yang digunakan pelaku.
5. Tidak Memiliki HTTPS
Jika website resmi perusahaan, biasanya mereka menggunakan situs-situs mereka menggunakan SSL untuk keamanannya. Kenapa? Karena website yang memiliki SSL, data dari pengunjung bakal terenkripsi sehingga lebih aman dari pencurian data.
Vaganzer bisa mengetahui apakah website tersebut memiliki SSL atau tidak dengan cara melihat pada address bar dan mengklik ikon gembok. Jika terproteksi SSL, maka pesannya adalah “Connection is Secure”.
6. Login Gagal Terus
Jika calon korban sudah masuk ke website , lalu memasukkan email dan password, tapi masih tidak bisa login, maka website tersebut terindikasi web phising.
Sebenarnya, meskipun tidak bisa masuk, email dan password korban sudah tersimpan di sana. Jika sudah begini, segera ganti password dan email di website resminya agar aman dari pelaku.
Cara Menghindari Phising
Agar terhindar dari jenis cybercrime ini, MiVa punya tips agar tidak menjadi korban Phising. berikut pparannya :
1. Selalu Update Pemahaman Informasi Mengenai Phising
Vaganzer kan sekarang sudah paham mengenai Phising dari artikel ini. Tapi tidak menutup kemungkinan, bahwa kejahatan jenis ini akan terus berkembang dari segi tekniknya, medianya, atau jenis-jenisnya
Maka dari itu selalu update informasi Vaganzer jika ada berita-berita mengenai pembobolan akun, penipuan, dan berbagai kejahatan siber lainnya.
Kulik secara mendalam bagaimana cara kerja cybercrime tersebut, dan apa saja langkah-langkah untuk memproteksi agar data kita aman dari penjahat cybercrime, khususnya Phising.
2. Jangan Asal Klik Link yang Diterima dari Manapun
Jika masih menjadi target maka belum tentu calon korban menjadi korban Phising. Karena masih ada step-step hingga data calon korban tercuri oleh pelaku.
Yakni si calon korban mengklik link yang dikirim pelaku phising. Jika masih belum tercuri, berarti calon korban masih harus mengisi data pribadi seperti email, password, dan nomor hp.
Cek juga link yang dikirim, tapi bukan dengan cara diklik. Arahkah pointer mouse ke atas link tersebut, jangan klik (hover). Nah, di pojok kiri bawah akan muncul informasi calon korban akan dibawa kemana nanti saat mengklik link tersebut.
3. Pastikan Website Aman
Seperti yang sudah MiVa jelaskan sebelumnya, website yang aman dari pencurian data biasnaya menggunakan protokol HTTPS alias SSL.
Tapi tidak menutup kemungkinan, meskipun website sudha terproteksi SSL, bisa jadi website tersebut melakukan Phising. Jadi SSL adalah tanda bahwa data Vaganzer terenkripsi saja dan lebih aman dari pencurian data website.
4. Gunakan Browser dengan Versi Teranyar
Selalu gunakan browser versi terbaru jika ingin melakukan aktivitas browsing. Kenapa? Ini karena browser versi terbaru memiliki perbaikan pada security (keamanan) menjadi lebih baik.
Android itu gunakan update otomatis pada aplikasi browser Vaganzer.
5. Pakai Fitur Two-Factor Authentication
Jika website menyediakan fitur ini, saran MiVa nih pakai saja. Karena jika fitur ini diaktifkan, maka setiap login di platform tersebut, Vaganzer akan diminta kode OTP yang dikirimkan lewat SMS.
Jadi setiap ada yang ingin mencoba login ke akun Vaganzer, maka akan ada SMS kode OTP yang masuk. Jadi waspada jika ada OTP masuk, tetapi Vaganzer sedang tidak melakukan aktivitas login apapun.
6. Jangan Mudah Membagikan Data Pribadi
Dimanapun dan kapanpun jangan mudah membagikan data pribadi ke orang lain. Contoh data pribadi adalah email, password (sangat bahaya), nomor HP, alamat, atau bahkan kode OTP.
Kode OTP ini nih yang sering jadi ladang penipuan terutama “bocil”. Mereka meminta kode OTP dengan alasan baik-baik. Padahal, kode OTP biasanya digunakan untuk melakukan reset password. Jika Vaganzer membagikan kode OTP ini, maka relakan akun karena akun sudah ada di tangan mereka.
7. Cek Aktivitas Akun
Biasanya ketika Vaganzer login menggunakan perangkat baru, maka akan dikirim email kalau “akun login di perangkat yang tidak dikenal”.
Jika itu memang Vaganzer sendiri ya tidak perlu panik. Tapi kalau memang tidak login dimana-mana dan tiba-tiba ada aktivitas login seperti itu, maka langsung ubah email, password, bahkan nomor hp akun tersebut agar aman. Maka dari itu cek selau aktivitas akun jika mencurigakan.
8. Lakukan Scan Malware di Website yang Dituju
Seperti yang dijelaskan sebelumnya, Salah satu bentuk serangan phishing adalah dengan memaksa user untuk mengunduh file malware, baik melalui email palsu, atau web phising.
Untuk mencegah hal diatas maka gunakan anti-virus yang sudah mendukung fitur anti malware sehingga nanti setiap membuka website, antivirus tersebut akan men-scan dahulu apakah website yang dituju aman dari Malware dan virus.
9. Gunakan Password yang Berbeda antara Email, Platform Uang, dan Platform Umum
Ini nih yang cukup diremehkan tapi dampaknya cukup besar. Banyak orang yang tidak ingin dibuat dengan email dan password sehingga mereka membuat email dan password di berbagai platform sama.
Bagaimana jika suatu saat dia membuat akun di platform yang bertujuan mencuri data pengguna ? Yang ada mereka bakal login semua akun korban termasuk keuangan, hingga Gmail korban phising. Padahal tau sendiri kan kalau email adalah pusat dari semua akun kita.
10. Selalu Skeptis
Cara menghindari Phising yang terakhir adalah, selalu skeptis/curiga terhadap apapun yang diterima di email. Jangan mudah mengklik kalau memang email bukan dari perusahaan yang resmi.
Apalagi sampai memasukkan email dan password, perlu curiga penuh jika mendapat email seperti ini jika sebelumnya tidak pernah melakukan aktivitas reset password dan semacamnya.
Akhir Kata
Itu tadi arti dari MiVa mengenai pengertian , jenis-jenis , cara kerja , dan cara menghindari phising.
Pesan dari MiVa, jangan mudah memberikan data pribadi yang penting seperti email, password, dan nomor HP, hingga kode OTP. Karena sekali Vaganzer memberikan data-data di atas, maka pelaku phising akan dengan sigap mengganti data-data di atas sehingga Vaganzer tidak bisa membuka akun di platform tersebut.
