Phishing : Pengertian, Jenis, dan Cara Menghindari Phising

Pengertian Phishing

Phising merupakan istilah yang berasal dari kata fishing yang memiliki arti memancing. Disebut memancing karena phising merupakan sebuah Teknik penipuan yang dilakukan dengan cara memancing orang lain untuk memberikan informasi sensitive seperti data pribadi, data akun, data finansial, data Unit instansi, data Kesehatan, dan data yang sensitive lainnya. Data data yang didapatkan akan digunakan untuk tujuan kejahatan.

Waspada Phising, berpikir sebelum klik.

Phishing adalah upaya seseorang untuk menipu kita, agar mengungkapkan informasi pribadi seperti (nama, usia, alamat), data akun (username dan password), dan data finansial (informasi kartu kredit, rekening), kata sandi, nomor kartu kredit, atau nomor identitas sosial. Phishing dapat terjadi melalui email, pesan teks, atau platform online lainnya. Kegiatan phising memang bertujuan memancing orang untuk memberikan informasi pribadi secara sukarela tanpa disadari. Padahal informasi yang dibagikan tersebut akan digunakan untuk tujuan kejahatan.

Pelaku phising biasanya menampakkan diri sebagai pihak atau institusi yang berwenang. Dengan menggunakan website atau email palsu yang tampak meyakinkan, banyak orang berhasil dikelabui. Informasi data phising yang diperoleh bisa langsung dimanfaatkan untuk menipu korban. Atau, bisa juga dijual ke pihak lain untuk melakukan tindakan tidak bertanggung jawab seperti penyalahgunaan akun. Aksi cyber crime ini memang berbahaya.

Mengapa korban bisa mempercayai phising dan mudah untuk mengirimkan informasi pribadinya?

Teknik pencurian phising tersebut biasanya tidak diketahui oleh korbannya karena beberapa alasannya, seperti :

Menyamar sebagai Unit instansi / institut resmi : pelaku phising biasanya akan menyamar atau menampakkan diri menjadi Unit instansi atau institut resmi yang berwenang, dan mereka akan membuat email atau website palsu resmi yang dirancang semirip mungkin dengan yang aslinya, bagi orang yang kurang berhati hati biasanya akan mudah mempercayainya dan memasukkan data data yang mungkin sensitif.

Menyamar sebagai orang yang dikenal : Teknik menyamar sebagai orang yang dikenal merupakan Teknik Dimana pelaku phising akan menyamar sebagai seseorang yang dikenal, seperti teman, keluarga, dan lainnya. Dan pelaku nantinya akan meminta bantuan berupa biaya. Bagi orang yang kurang teliti dengan Teknik penyamaran ini biasanya mereka akan menuruti apa yang pelaku inginkan, seperti data pribadi atau mungkin sejumlah uang

Memanfaatkan emosi : Seseorang yang memiliki rasa takut, kaget atau panik akan melakukan segala sesuatu tanpa mereka sadari. Hal hal tersebutlah yang sering dimanfaatkan oleh pelaku phising untuk menimbulkan perasaan takut atau panik, Pelaku biasanya akan memanfaatkan salah satu kenalan korban yang mengaku terkena sebuah permasalahan, contohnya yakni pelaku phising yang mengaku guru di sekolahan, mereka akan menargetkan para orangtua yang biasanya memiliki anak yang sedang bersekolah, pelaku akan mengelabui orangtua korban bahwa anaknya telah terjatuh. Terkadang orang tua akan panik dan takut, dan kebanyakan juga mereka akan melakukan apa saja yang diminta oleh pelaku

Jenis Phishing

Banyak sekali cara-cara phising yang dapat dilakukan, berikut ini adalah jenis phising yang sangat sering ditemui di saat ini :

  1. Email phishing: merupakan penipuan dengan media email, penipu akan mengirimkan email palsu yang bernamakan Unit instansi resmi seperti bank, Unit instansi media social, email tersebut memiliki isi yang menarik pengguna, seperti mendapatkan bonus, mendapatkan keberuntungan dan lainnya yang membuat pengguna mengklik tautan dari email tersebut dan memasukkan informasi informasi pribadi. Email Phising, Penipu mengirim email palsu yang berpura-pura berasal dari organisasi terpercaya
  2. Spear Phishing: sejenis juga dengan email phising. Yang membedakan adalah Dimana pelaku melakukan riset terlebih dahulu tentang korban, dan nantinya saat pelaku mengirimkan email palsu kepada korban, pelaku akan menambahkan informasi informasi tentang korban yang telah didapatkan terlebih dahulu oleh pelaku, informasi tersebut seperti nama, ulangtahun, Alamat, dan lainnya.
  3. Whaling Phishing: merupakan Langkah phising yang menargetkan kewenangan tinggi dalam suatu organisasi. Seperti pejabat, direktur, manajer, CEO dan petinggi lainnya.
  4. Smishing dan Vishing : Smishing dan Vishing adalah dua bentuk serangan phising yang menggunakan metode komunikasi selain email, yakni SMS (smishing) yang memiliki metode penyerang mengirimkan pesan teks ke ponsel korban dengan pesan yang seakan akan berasal dari institute resmi. Dan Voice (Vishing) yang memiliki metode penyerang melakukan panggilan telepon ke korban. SMS Phising, Penipu mengirim pesan teks dengan tautan palsu atau permintaan informasi pribadi.
  5. Sosial Media Phising :Penipu membuat profil atau postingan palsu untuk menipu Anda agar mengklik tautan atau membagikan informasi pribadi.
  6. Web Phising : Upaya memanfaatkan website palsu untuk mengelabui calon korban. Website untuk phising akan terlihat mirip dengan website resmi dan menggunakan nama domain yang mirip. Hal ini disebut domain spoofing.

Identifikasi serangan digital

Tanda Bahaya dalam Upaya Phishing adalah peringatan atau indikator yang membantu individu mengidentifikasi potensi penipuan. Beberapa tanda bahaya umum dalam phishing meliputi:

  1. Bahasa mendesak atau mengancam

Upaya phishing sering kali menciptakan rasa urgensi atau menggunakan bahasa yang mengancam untuk mendorong tindakan segera. Frasa seperti “tindakan segera diperlukan,” “akun akan ditangguhkan,” atau “akun Anda akan dihapus” mungkin menunjukkan upaya phishing.

  1. Informasi pengirim yang mencurigakan

Periksa alamat email atau profil media sosial pengirim jika ada yang mencurigakan. Email dan pesan phishing sering menggunakan alamat email generik atau mencurigakan yang tidak sesuai dengan entitas sah yang mereka klaim wakili.

  1. Permintaan informasi pribadi

Organisasi yang sah seperti Kementerian Keuangan tidak meminta informasi pribadi, seperti nama pengguna, kata sandi, nomor identitas sosial, rekening bank, atau nomor kartu kredit melalui email atau cara online lainnya. Waspadalah terhadap permintaan informasi pribadi.

  1. Kesalahan ejaan atau tata Bahasa

Email atau pesan phishing mungkin mengandung kesalahan ejaan dan tata bahasa, menunjukkan terburu-buru dalam pembuatannya dan kurangnya pengeditan profesional yang biasanya tidak ada dalam komunikasi organisasi yang sah. Kesalahan yang jelas adalah tanda bahaya upaya phishing.

  1. Tautan atau lampiran yang mencurigakan

Waspadalah terhadap tautan atau lampiran dalam email atau pesan dari sumber yang tidak dikenal atau tidak dipercaya. Arahkan kursor ke tautan untuk memeriksa tujuan sebenarnya, dan jangan klik tautan mencurigakan atau unduh lampiran yang tidak Anda harapkan.

  1. Salam umum

Email phishing mungkin menggunakan salam umum seperti “Pelanggan yang Terhormat” alih-alih menyebut nama Anda. Organisasi yang sah biasanya mempersonalisasi komunikasi mereka dengan nama Anda atau informasi relevan lainnya.

  1. Terlalu bagus untuk menjadi kenyataan

Upaya phishing seringkali memikat individu dengan tawaran menarik, seperti memenangkan hadiah, mendapatkan jabatan baru atau mendapatkan diskon besar. Jika tawaran tampak terlalu bagus untuk menjadi kenyataan, itu mungkin upaya phishing. Kabar fantastis: memberi kabar yang menguntungkan dan pernyataan yang menarik seperti memenangkan ponsel mewah, undian berhadiah, atau barang mewah.

Identifikasi Email Phising

Email yang terindikasi berisi link phising dapat diidentifikasi dengan memvalidasi email dan memverifikasi reputasi email tersebut melalui situs: https://easydmarc.com/tools/phishing-url

Tips mewaspadai Email Phising

  1. From
  • Email pengirim bukan dari seseorang yang saya kenal dan biasa saya ajak berkomunikasi.
  • Email pengirim dari pihak luar Kemenkeu dan tidak terkait dengan tanggungjawab/pekerjaan saya.
  • Email pengirim bukan dari email kedinasan Kemenkeu
  1. To
  • Email dikirim melalui cc pada satu orang atau lebih, tetapi secara pribadi saya tidak tahu orang lain yang dikirimi email tersebut.
  • Saya menerima email yang juga dikirim ke banyak orang yang tidak biasa dan tidak saya kenal.
  1. Hyperlink
  • Ketika saya mengarahkan mouse ke hyperlink yang ada dalam isi email, alamat tautan tertuju kepada situs web yang berbeda.
  • Tautan tidak menggunakan HTTPS.
  • Saya menerima email dengan hyperlink yang salah mengeja situs web yang saya ketahui. Misalnya, www.kernenkeu.go.id (“m” sebenarnya adalah dua karakter – “r” dan “n“).
  1. Date

Apakah saya menerima email yang biasa saya dapatkan selama jam kerja, tetapi dikirim pada waktu yang tidak biasa (seperti pukul 3 pagi)?

  1. Subject
  • Apakah saya mendapatkan email dengan subjek yang tidak relevan atau tidak cocok dengan isi pesan email?
  • Apakah isi email itu adalah balasan untuk sesuatu yang tidak pernah saya kirim atau minta?
  1. Attachments
  • Pengirim menyertakan lampiran email yang mencurigakan.
  • Saya melihat lampiran dengan jenis file yang mungkin berbahaya. Satu-satunya jenis file yang selalu aman untuk diklik adalah file .txt
  1. Content

Apakah pengirim meminta saya untuk mengklik tautan atau membuka lampiran dengan alasan untuk menghindari konsekuensi negatif?

Mitigasi Serangan Phising : Cara Terhindar Dari Korban Phishing

Setelah mengetahui bagaimana phising melakukan penipuan, berikut ini adalah beberapa cara agar mengetahui phising atau tidaknya. Sehingga data data pribadi aka naman dan tidak di salah gunakan

  1. Verifikasi email yang masuk atau pesan dari orang tidak dikenal

Waspadai Email dan Pesan yang Mencurigakan: Karena saat ini marak terjadinya penipuan dari email dan pesan. Perlu juga waspadai apakah email dan pesan tersebut benar berasal dari institut resmi atau orang yang asli. Yang perlu diperhatikan seperti Perhatikan tanda-tanda seperti kesalahan ejaan, tata bahasa yang buruk, atau alamat email yang tidak sesuai dengan Alamat email asli unit instansi.

  1. Hindari oversharing informasi pribadi di internet. Hati-hati dengan Informasi Pribadi: Jangan pernah memberikan informasi pribadi atau keuangan melalui email atau telepon, harus cek dengan baik dan benar. Dan juga jangan membocorkan informasi pribadi pada media social, seperti Alamat rumah, ulangtahun, data Kesehatan, karena informasi yang disebar di medsos bisa penipu gunakan untuk melakukan serangan phishing, selalu berhati-hati sebelum mengunggah foto atau video ke media social.
  2. Filter permintaan pertemanan atau pesan masuk dari orang asing
  3. Jangan mudah tergiur penawaran undian/hadiah dari tautan asing serta hadiah yang Ditawarkan Email/Pesan Teks. Selain waspada saat menerima telpon, Anda juga sebaiknya tidak mudah tergoda oleh hadiah dari email atau pesan teks. Sebagian besar hadiah semacam itu hanyalah kedok untuk melakukan phising. Jika Anda tergiur, bukannya mendapat hadiah milyaran, Anda malah akan kehilangan banyak data berharga, termasuk data rekening.
  4. Laporkan dan blokir akun palsu yang mengaku sebagai petugas bank/instansi
  5. Jangan Klik Tautan yang Mencurigakan: saat sebuah email atau pesan mengirimkan tautan link yang disiapkan untuk pengguna. Selalu waspada dan melakukan verifikasi, apakah tautan tersebut asli dari institute atau tidak. bisa membedakannya dari form pengisian data yang mencurigakan, bahasa konten yang bukan seperti biasa Anda terima, dan lain sebagainya.
  6. Gunakan Two-Factor Authentication: Two-Factor Authentication merupakan langkan password yang dilakukan verifikasi 2 langkah. Yakni pertama menggunakan password dan yang kedua menggunakan code yang berasal dari ponsel atau biometric (scan finger, scan wajah, dan lainnya). Two-factor authentication sangat berguna Ketika pelaku sudah menemukan password dan email akun, seperti akun bank. Jika sudah mengaktifkan Two-Factor Authentication, nantinya saat pelaku sudah masukkan password dan email mereka belum tentu bisa masuk kedalam akun, karena akan diminta code yang ada di ponsel, atau biometric yang membuat gagal masuk akun.
  7. Memasang Aplikasi Pelindung Phising. Tips menghindari phising yang terakhir adalah memasang aplikasi pelindung phising dan malware. Ada banyak aplikasi semacam ini tersebar di internet, baik aplikasi ponsel atau aplikasi komputer. Oleh karena itu, pastikan aplikasi ini selalu terpasang di gadget Anda, agar gadget awet dari serangan phising maupun malware.
  8. Perbarui Perangkat Lunak Anda: Pastikan sistem operasi dan perangkat lunak antivirus Anda selalu diperbarui untuk melindungi terhadap serangan phising dan malware terbaru.
  9. Verifikasi Sumber: Jika Anda menerima permintaan untuk informasi pribadi atau keuangan, verifikasi sumbernya dengan menghubungi organisasi atau unit instansi secara langsung melalui saluran resmi.
  10. Gunakan Perangkat Lunak Keamanan: Pasang perangkat lunak keamanan yang dapat mendeteksi dan memblokir situs web phising dan malware. dan juga melakukan scan malware secara dengan perangkat lunak keamanan untuk mengetahui apakah terdapat script yang mencurigakan, atau malware yang mencurigakan
  11. Rutin Memeriksa Keamanan Gadget. Phising adalah kejahatan yang dapat menyerang seluruh aplikasi dalam gadget, termasuk aplikasi mobile banking. Jika kita suka menyimpan informasi di gadget (dalam aplikasi Note, misalnya), data ini juga akan terancam jika gadget kita terkena phising. Oleh karena itu, lakukan pemeriksaan keamanan menyeluruh di gadget secara rutin. Cek riwayat penggunaan aplikasi, file-file aneh, dan suhu gadget setiap kali Anda punya waktu luang.
  12. Menyimpan Informasi Login dengan Hati-Hati. Tips menghindari phising selanjutnya adalah menyimpan informasi login dengan hati-hati. Kita seringkali meninggalkan info login kita di sembarang tempat, misalnya di komputer umum atau di ponsel orang lain. Anda sebaiknya menghindari ini jika tidak ingin jadi korban phising. Selain menyimpan info login dengan hati-hati, pastikan juga untuk selalu menggunakan kata sandi unik. Jika takut kesulitan mengingat, Anda bisa menulisnya di sebuah catatan pribadi dan tidak meninggalkannya di sembarang tempat.
  13. Tidak Mengikuti Perintah Email/Pesan Teks Mencurigakan. Tips berikutnya menghindari phising adalah dengan mengabaikan seluruh email atau pesan teks mencurigakan. Dalam sehari, Anda bisa saja menerima serangan phising lebih dari beberapa kali. Sesering apapun, jangan sampai Anda melakukan perintah dari pengirim mencurigakan. Jika pengirim tersebut mengaku sebagai orang lain, coba hubungi orang aslinya.
  14. Mengakses Website dengan SSL, SSL adalah Secure Socket Layer yang dipasang di website agar pengaksesnya terlindung serangan online. Jika ingin perangkat Anda terlindung dari phising dan malware, sebaiknya hanya kunjungi website dengan SSL. Cara membedakan website SSL dengan tanpa SSL adalah dari protokol aksesnya. Website dengan SSL protokol aksesnya adalah “https://”, bukan “http://”
  15. Waspada Menerima Telpon Tidak Dikenal. Tips menghindari phising berikutnya adalah tidak menerima telpon orang asing. Kalau pun Anda harus menerima, dengarkan dulu apa kepentingan orang asing tersebut. Jika permintaannya menyangkut hal-hal privasi/meminta uang, sebaiknya Anda abaikan saja telponnya.

Setelah mengetahui apa itu phising dan jenisnya, diharapkan berhati hati dengan apa yang dikirimkan kepada anda, selalu melakukan cek dan verifikasi keaslian sebelum memberikan data dan mengklik tautan. Karena data pribadi yang telah dicuri oleh pelaku phising, dapat digunakan untuk melakukan aksi kejahatan yang mengatasnamakan diri kita, sehingga nantinya yang mendapatkan masalah adalah diri kita sendiri.

 

Cara Mengidentifikasi Situs yang Mengandung Phising

ilustrasi phishing (dok. CSO Online)

Penipuan berjenis phishing masih marak terjadi hingga kini dan bahkan menjadi lebih canggih seiring berjalannya waktu. Sebagian besar penipuan semacam ini dilakukan dengan mengirim email penipuan ke calon korban, di mana email tersebut akan mengarahkan korban ke situs palsu dengan nama dan tampilan yang mirip seperti situs aslinya.

Meski mengerikan, ada beberapa cara untuk mengidentifikasi situs yang mengandung phishing. Apa saja itu? Berikut ulasan lengkapnya.

1. Periksa URL-nya

ilustrasi URL (Unsplash/Remotar Jobs)

Cara termudah untuk mengidentifikasi situs yang mengandung phishing adalah dengan memeriksa URL-nya. Waspadai situs yang memiliki domain dengan ejaan yang salah dan menggunakan angka sebagai pengganti huruf. Contohnya seperti “g00gle.com” atau “binance.com.com” yang berusaha untuk mengelabui pengguna dengan berpura-pura menjadi Google atau Binance.

2. Lihat HTTPS dan ikon gembok

Cara selanjutnya untuk mendeteksi situs yang mengandung phishing adalah melihat ikon gembok di address bar. Ikon gembok itu wajib terkunci dan URL harus dimulai dengan “https://”. HTTPS merupakan protokol yang mengindikasikan jika suatu situs telah terenkripsi dan memiliki sertifikat Secure Socket Layer (SSL). Jika ikon gembok itu terbuka atau punya coretan merah, maka dapat dipastikan jika situs tersebut berbahaya.

3. Punya tampilan yang tampak murahan

ilustrasi tampilan situs (Unsplash/Hal Gatewood)

Situs yang mengandung phishing biasanya tidak dirancang dengan sempurna dan punya tampilan yang tampak murahan. Beberapa di antaranya seperti ejaan yang salah, placeholder atau teks “lorem ipsum” dan gambar berkualitas rendah. Selain itu, beberapa situs yang mengandung phishing juga tidak memiliki halaman ‘Contact Us’ atau punya halaman tersebut namun isinya tidak sesuai dengan situsnya.

4. Waspada dengan pop-up

Pop-up menjadi salah satu elemen yang sering digunakan oleh situs yang mengandung phishing. Waspadai situs yang memunculkan pop-up yang meminta informasi personal tak lama setelah dibuka. Intinya, jangan memasukkan username atau password apapun kedalam pop-up kecuali kamu tahu jika situs yang kamu kunjungi aman dan asli.

5. Masukkan informasi asal-asalan

ilustrasi memasukkan informasi (Unsplash/Sigmund)

Salah satu cara terbaik untuk menguji sebuah situs mengandung phishing atau tidak adalah dengan memasukkan informasi asal-asalan ketika dimintai informasi personal. Sebab, sebagian besar situs yang mengandung phishing akan menerima jawaban apapun yang kamu masukkan. Usahakan untuk minimal memasukkan informasi palsu dua kali, karena beberapa situs yang mengandung phishing akan menganggap jawabanmu salah di percobaan pertama.

6. Periksa metode pembayaran

ilustrasi metode pembayaran (Unsplash/Mike Baumeister)

Tidak semua situs yang mengandung phishing meminta pembayaran namun jika ada, kebanyakan akan meminta metode pembayaran kripto atau transfer bank. Situs yang mengandung phishing sangat jarang meminta pembayaran via kartu kredit atau PayPal, karena pembayaran via keduanya bisa dibatalkan. Maka dari itu, selalu periksa metode pembayaran tiap kali ingin melakukan pembayaran di situs yang baru dikunjungi.

7. Gunakan pendeteksi phishing

ilustrasi Google Chrome (Unsplash/Nathana Reboucas)

Pendeteksi phishing menggunakan machine learning untuk mengidentifikasi serangan phishing. Itu termasuk menganalisis URL, konten dari situs atau email terkait, registrasi domain dan variabel lainnya. Hampir semua layanan email besar memiliki fitur anti-phishing bawaan sementara browser seperti Google Chrome dan Firefox menggunakan layanan Safe Browsing dari Google untuk memperingatkanmu apabila ada situs yang dinilai berbahaya.