Apa itu Phising?: Jenis, Ciri, dan Cara Melindungi
Phishing merupakan suatu bentuk penipuan daring yang bertujuan untuk mendapatkan informasi pribadi, seperti kata sandi, informasi keuangan, atau data sensitif lainnya. Serangan phishing sering kali dilakukan melalui surel palsu, situs web palsu, atau pesan instan palsu yang dirancang sedemikian rupa sehingga tampak sah dan meyakinkan.
Metode phishing sangat merugikan individu, perusahaan, dan bahkan institusi pemerintah. Serangan ini dapat menyebabkan pencurian identitas, kehilangan dana, akses ilegal ke informasi penting, dan kerugian lainnya. Pelaku phishing biasanya mencoba untuk memanfaatkan rasa percaya diri yang dibangun antara pengguna dengan penyedia layanan yang digunakan, seperti bank, media sosial, layanan email, atau platform e-commerce.
Apa itu Phising?
Phishing adalah aktivitas kejahatan di dunia digital yang mengincar informasi sensitif individu melalui surat elektronik (email), kiriman di media sosial, atau pesan teks. Kata “phishing” sendiri adalah varian dari istilah “phishing” yang berasal dari bahasa Inggris “fishing” yang berarti memancing. Secara konseptual, tindakan phishing ini seolah-olah memancing individu untuk dengan sukarela memberikan informasi pribadi, seringkali tanpa mereka sadari, yang kemudian dapat disalahgunakan untuk tujuan kriminal.
Secara sederhana, phising adalah serangan yang bertujuan memanipulasi atau memancing korban untuk mengklik tautan atau hyperlink serta memberikan informasi rahasia seperti nama pengguna dan kata sandi. Para pelaku phising umumnya menyamar sebagai entitas yang sah atau lembaga yang memiliki wewenang, sehingga mereka menyuntikkan tautan ke dalam cerita yang mereka sebarkan, yang kemudian mengarahkan korban ke halaman palsu yang mirip dengan yang asli (yang sering disebut sebagai tautan phising). Data yang menjadi target utama phising meliputi data pribadi (seperti nama, usia, dan alamat), informasi akun (nama pengguna dan kata sandi), serta rincian finansial (misalnya, informasi kartu kredit atau rekening bank).
Informasi yang diperoleh oleh pelaku dari aktivitas phising ini selanjutnya dapat dimanfaatkan untuk menjebak korban dalam skema penipuan. Terkadang, data ini juga dapat dijual kepada pihak lain yang niatnya kurang baik, untuk digunakan dalam aksi penyalahgunaan akun atau upaya lain yang merugikan.
Baca juga: Apa itu Server?: Pengertian, Fungsi, dan Cara kerja
Jenis-jenis Phising
Untuk memahami lebih lanjut mengenai praktik phishing, mari kita eksplorasi jenis-jenis phishing yang paling umum ditemukan saat ini:
Web Phishing
Dalam bentuk web phishing, upaya dilakukan dengan menciptakan situs web palsu untuk mengelabui calon korban. Situs web phising akan dirancang sedemikian rupa sehingga tampak serupa dengan situs resmi, dan seringkali menggunakan nama domain yang mirip. Proses ini sering disebut sebagai domain spoofing.
Email Phishing
Dalam jenis ini, yang dikenal sebagai email phishing, pelaku menggunakan saluran surel untuk mencapai target korban.
Tingginya frekuensi serangan email phishing dapat dicontohkan dengan angka data yang mencatat pengiriman sekitar 3,4 miliar email palsu setiap hari. Dengan angka tersebut, terbayang betapa banyaknya individu yang berpotensi terperangkap dalam jebakan ini.
Whaling
Whaling adalah bentuk lanjutan dari phishing yang tidak hanya mengejar individu secara umum, melainkan fokus pada individu yang memiliki kedudukan tinggi dalam suatu organisasi, seperti pemilik bisnis, direktur perusahaan, atau manajer sumber daya manusia.
Dengan suksesnya serangan whaling, pelaku bisa memperoleh keuntungan besar dari akses yang diperolehnya.
Spear Phishing
Spear phishing adalah variasi dari email phishing. Yang membedakan, bukan lagi pengiriman email secara masif kepada korban yang acak, melainkan menyasar individu tertentu. Biasanya, taktik ini digunakan setelah beberapa informasi dasar mengenai calon korban sudah diperoleh, seperti nama dan alamat.
Smishing
Smishing adalah bentuk phising yang dilakukan melalui pesan teks (SMS). Istilah smishing berasal dari gabungan kata SMS dan phishing. Smishing relatif mudah dilakukan oleh phisher, karena mereka hanya perlu mengirimkan pesan palsu ke sejumlah nomor telepon.
Blind Phishing
Kategori phising selanjutnya adalah blind phishing, di mana pelaku phisher mengirim email atau pesan secara masif. Ciri khas blind phishing adalah ketidakadaan penyebutan nama penerima yang spesifik, karena pesan ini ditujukan kepada banyak orang sekaligus.
Pharming
Serangan ini dijalankan melalui DNS spoofing dan menargetkan banyak korban sekaligus. Secara umum, DNS berfungsi sebagai sistem yang mengartikan domain menjadi alamat IP. Ketika seseorang mencari situs web di internet dengan mengetik URL (seperti google.com), DNS akan mencocokkan nama domain dengan alamat IP yang sesuai dalam server.
Apabila sistem ini diretas, URL yang diketikkan dapat mengarahkan pengguna ke halaman palsu yang dirancang khusus untuk serangan ini.
Baca juga: Data Ingestion: Pengertian, Jenis, dan Manfaatnya
Ciri Phising pada Umumnya
Berikut ini ciri-ciri Phising pada umumnya.
Penggunaan Identitas Palsu
Dalam usaha untuk menarik perhatian calon korban, pelaku phishing umumnya menyamar sebagai perusahaan atau individu yang dikenal oleh korban. Dengan menggunakan identitas palsu, para pelaku berharap agar calon korban percaya dan mentaati permintaan mereka untuk memberikan informasi sensitif. Oleh karena itu, penting bagi pengguna layanan digital untuk selalu melakukan pengecekan ganda terhadap pengirim pesan.
Email Berisi Rayuan atau Ancaman
Selanjutnya, karakteristik phishing seringkali melibatkan email yang mengajukan keputusan yang mendesak atas berbagai alasan. Beberapa di antaranya termasuk klaim bahwa masa berlaku promosi akan berakhir dan akan mengakibatkan kerugian, adanya transaksi mencurigakan yang memerlukan pemblokiran segera terhadap kartu atau rekening, peluang bisnis dengan imbal hasil besar, dan lainnya.
Biasanya, email atau pesan yang dikirim phisher akan mencantumkan tautan atau link palsu yang terlihat baik-baik saja namun berbahaya kalau kamu membukanya. Link tersebut umumnya terlihat berasal dari platform media sosial lain seperti Instagram, Telegram, dll. Padahal sebenarnya itu hanya link palsu dan justru mengandung phishing.
Korban Tidak Spesifik
Ciri-ciri phishing mencakup kenyataan bahwa penerima serangan phishing biasanya tidak secara spesifik diidentifikasi. Namun, pesan tersebut ditulis secara umum, seperti “Kepada Nasabah yang Terhormat,” “Kepada Bapak yang Terhormat,” “Dear Respectable Member,” dan sejenisnya.
Permintaan Pengisian Data Sensitif
Penting diingat bahwa phishing merupakan tindakan yang manipulatif. Oleh karena itu, tanda-tanda phishing meliputi pesan yang terdiri dari kalimat-kalimat banyak. Namun, selalu ada frasa atau kata yang meminta penerima untuk memberikan dan menginputkan informasi sensitif seperti kata sandi, PIN, OTP, nomor kartu kredit/debit, tanggal kedaluwarsa kartu kredit, dan CVV/CVC (tiga angka di bagian belakang kartu kredit). Perlu diingat bahwa bahkan bank tidak akan pernah meminta data semacam ini dari nasabah.
Terdapat File Berbahaya
Walaupun mengatasnamakan suatu instansi, saat menerima email atau pesan dari orang asing yang tidak dikenal kamu harus waspada jika mereka mencantumkan file. Terkadang, phisher berpura-pura mengirimkan dokumen seperti bukti transfer atau dokumen penting lainnya dalam format program executable atau APK yang bisa memicu virus dan pencurian data jika diinstal.
Baca juga: 6 Cara Membuat Email Baru di Hp dan Laptop
Cara Melindungi dari Phising
Melangsir dari djkn.kemenkue, setelah memahami apa itu phising dan ciri-cirinya, kita akan membahas beberapa tips untuk menghindarinya.
Melakukan Pemeriksaan Keamanan secara Rutin
Phising dapat mengincar berbagai aplikasi dalam perangkat, termasuk aplikasi mobile banking. Informasi yang disimpan dalam perangkat, seperti dalam aplikasi Catatan, juga berisiko jika perangkat terkena serangan phising.
Oleh karena itu, lakukan pemeriksaan keamanan secara rutin pada perangkat. Periksa riwayat penggunaan aplikasi, deteksi file yang mencurigakan, dan perhatikan suhu perangkat saat Anda memiliki waktu luang.
Menyimpan Informasi Login dengan Hati-Hati
Langkah berikutnya untuk menghindari phising adalah menjaga informasi login dengan hati-hati. Sering kali kita meninggalkan informasi login di tempat-tempat sembarangan, misalnya pada komputer umum atau ponsel orang lain. Sebaiknya hindari kebiasaan ini jika ingin menghindari risiko phising.
Selain itu, pastikan untuk selalu menggunakan kata sandi yang unik. Jika Anda khawatir akan kesulitan mengingatnya, Anda bisa mencatatnya di tempat yang aman dan pribadi, jangan meninggalkannya di tempat sembarangan.
Mengabaikan Perintah dari Email atau Pesan Teks yang Mencurigakan
Langkah lain dalam menghindari phising adalah mengabaikan seluruh email atau pesan teks yang mencurigakan. Dalam sehari, Anda mungkin akan menerima beberapa kali upaya phising. Terlepas seberapa meyakinkan, jangan pernah melaksanakan perintah yang diberikan oleh pengirim yang mencurigakan. Jika pengirim mengklaim sebagai seseorang yang Anda kenal, sebaiknya hubungi orang tersebut untuk memastikan kebenarannya.
Mengakses Situs Web dengan SSL
SSL (Secure Socket Layer) adalah lapisan keamanan yang diterapkan pada situs web untuk melindungi pengakses dari serangan online. Agar terhindar dari phising dan malware, disarankan hanya mengunjungi situs web yang menggunakan SSL. Anda bisa membedakannya dengan melihat protokol aksesnya. Situs web yang menggunakan SSL akan memiliki protokol akses “https://”, bukan “http://”.
Berhati-Hati saat Menerima Panggilan dari Nomor yang Tidak Dikenal
Langkah lain untuk menghindari phising adalah dengan tidak mengangkat panggilan dari nomor yang tidak dikenal. Jika Anda tetap mengangkat, dengarkan dulu tujuan panggilan tersebut. Jika isi panggilan tersebut berkaitan dengan privasi atau menyangkut permintaan uang, lebih baik abaikan panggilan tersebut.
Tidak Terpikat oleh Hadiah dari Email atau Pesan Teks
Selain harus berhati-hati dengan panggilan telepon, Anda juga perlu menjaga diri dari godaan hadiah dalam email atau pesan teks. Sebagian besar hadiah tersebut hanya berfungsi sebagai umpan untuk melakukan phising. Jika Anda tertarik dan tergiur, bukannya mendapatkan hadiah besar, Anda mungkin malah kehilangan data berharga, termasuk data keuangan.
Menginstal Aplikasi Anti-Phishing
Langkah terakhir dalam menghindari phising adalah dengan menginstal aplikasi pelindung phising dan malware. Ada banyak aplikasi semacam ini yang tersedia di internet, baik untuk perangkat ponsel atau komputer. Pastikan untuk selalu memiliki aplikasi pelindung ini di perangkat Anda agar terlindungi dari serangan phising dan malware.
Baca juga: 12 Manfaat Bunga Rosella untuk Kesehatan
Kesimpulan
Phising adalah bentuk serangan siber yang bertujuan mendapatkan informasi pribadi atau sensitif dari korban dengan menggunakan trik manipulatif. Serangan ini bisa terjadi melalui email, pesan teks, atau platform media sosial. Identifikasi ciri-ciri phising sangat penting, seperti permintaan data sensitif, penggunaan identitas palsu, tautan atau file palsu, pesan mendesak, dan kurangnya spesifikasi terhadap penerima.
Untuk menghindari phising, langkah-langkah penting meliputi evaluasi konten yang diterima dalam email atau pesan, instalasi perangkat lunak keamanan seperti antivirus dan firewall, penerapan verifikasi dua faktor (2FA), kunjungan situs web dengan protokol SSL, ketelitian dalam menerima panggilan atau pesan yang mencurigakan, dan ketidakpercayaan terhadap tawaran hadiah yang mencurigakan. Memasang plugin anti-phishing pada peramban dan menggunakan aplikasi pelindung phising juga membantu memitigasi risiko.
Dengan pemahaman mendalam tentang phising dan penerapan langkah-langkah pencegahan, individu dapat melindungi diri mereka sendiri dari ancaman siber ini dan menjaga informasi pribadi serta keamanan secara keseluruhan.
Referensi
- “Phishing: Cutting the Identity Theft Line” oleh Rachael Lininger dan Russell Dean Vines.
- “Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails” oleh Christopher Hadnagy dan Michele Fincher.
- “The Art of Deception: Controlling the Human Element of Security” oleh Kevin D. Mitnick.
- “Phishing for Phools: The Economics of Manipulation and Deception” oleh George A. Akerlof dan Robert J. Shiller.