Credit image: Freepix
Serangan Phising yang Jarang Diketahui – Kita semua sudah akrab dengan email Phising klasik: pesan dengan salah ketik dari “bank” yang tidak pernah Anda gunakan atau dari pangeran asing yang menawarkan jutaan dolar.
Namun, Phising telah berkembang jauh. Ancaman saat ini lebih halus, canggih, dan sejujurnya cukup kreatif. Berikut adalah beberapa serangan Phising yang terbang di bawah radar dan apa yang harus diwaspadai.
Serangan Phising Baru yang Perlu Diwaspadai pada Tahun 2025
- Phising kode QR berbasis HTML (Quishing).
- Serangan Phising berlapis menggunakan platform tepercaya.
- File RTF yang dipersonalisasi dan disalahgunakan.
- Cross-site scripting (XSS) melalui tautan.
- Pencurian kredensial bot Telegram.
- Phising AI generatif (serangan yang memahami niat).
- Pemicu percakapan palsu/manipulasi cold email.
|
Baca juga: Membangun Pertahanan Siber Masa Depan |
1. Phising Kode QR Berbasis HTML (alias Quishing Level Lanjut)
Serangan Phising kode QR sebenarnya bukan hal baru, tetapi penjahat siber meningkatkannya ke level selanjutnya. Ini adalah salah satu taktik Phising dengan pertumbuhan tercepat pada tahun sebelumnya
Alih-alih menyematkan gambar, penyerang kini menggunakan tabel HTML dan karakter Unicode untuk membuat kode QR yang terlihat persis seperti aslinya, namun sama sekali bukan gambar.
Kode-kode ini sulit dideteksi dan seringkali lolos dari filter email standar. Hanya dengan satu scan dan Anda akan diarahkan ke situs palsu yang dirancang untuk mencuri kredensial Anda.
2. Penyerang Menggunakan Alat Legal untuk Serangan Phising
Serangan Phising yang tampak berasal dari platform asli Adobe, Constant Contact, bahkan perangkat lunak pemasaran Anda semakin pintar.
Banyak contoh email yang diautentikasi oleh SPF dan DMARC (yang biasanya menandakan keamanan), dikirim melalui platform tepercaya, namun masih berakhir dengan pencurian kredensial atau penipuan biaya lanjutan. Lapisan legitimasi ini membuat serangan ini sangat meyakinkan.
3. File RTF Disalahgunakan dalam Serangan Phising
Ini bukan lampiran standar Anda. Telah terdeteksi ribuan serangan Phising menggunakan file RTF (Rich Text Format) yang disesuaikan dengan nama perusahaan penerima.
File-file ini seringkali meniru dokumen keuangan atau transfer uang, dan setelah dibuka, mengalihkan pengguna ke halaman login Microsoft yang dirancang untuk mencuri kredensial. Ini licik, sederhana dan berhasil.
|
Baca juga: Tanpa Sadar Banyak Pengguna Android TV Indonesia Jadi Botnet |
4. Cross-Site Scripting (XSS) dalam Email Phising
XSS biasanya menjadi kekhawatiran pengembang di situs web, tetapi sekarang mulai merambah ke email phising. Tautan disembunyikan di balik pengalihan yang di-encode URL yang terlihat tidak berbahaya, tetapi sebenarnya membawa pengguna ke situs web merek palsu.
Dari sana, korban ditipu untuk memasukkan informasi pribadi atau keuangan mereka. Ini adalah perubahan kecil dalam teknik dengan konsekuensi besar.
5. Bot Telegram Digunakan dalam Serangan Phising
Yang satu ini bahkan mengejutkan kami. Beberapa serangan phising sekarang menyertakan lampiran HTML yang membuat halaman web lokal yang terlihat persis seperti layar login Microsoft.
Ketika pengguna memasukkan informasi mereka, sebuah skrip mengirimkan kredensial langsung ke bot Telegram milik penjahat siber. Ini cepat, otomatis, dan tidak terlihat kecuali Anda tahu apa yang harus dicari.
6. AI Generatif Menciptakan Serangan Phising yang Memahami Niat
Tidak semua trik phising melibatkan teknologi. Beberapa hanyalah tulisan yang sangat cerdas. Namun, dengan adanya AI generatif penjahat siber dapat menyusun:
- Serangan phising yang terdengar manusiawi.
- Menawarkan dukungan.
- Mendesak tanggapan.
- Memberikan tekanan halus dengan ultimatum.
|
Baca juga: Geger Puluhan Ribu AMS Terekspos Mengancam Semua Sektor |
7. Pemicu Percakapan Palsu dalam Serangan Phising
Anda mendapatkan pesan dari seseorang yang “hanya ingin menindaklanjuti” atau “kembali membahas hal itu.” Kecuali… Anda belum pernah berbicara dengan mereka sebelumnya.
Serangan phising ini menciptakan keakraban palsu untuk mendapatkan balasan atau klik. Mereka tidak teknis hanya direkayasa sosial untuk menurunkan kewaspadaan Anda.
Jika ada teknik ini yang baru bagi Anda itulah intinya. Serangan phising tidak selalu jelas lagi. Tetapi dengan kesadaran yang tepat dan alat yang tepat, Anda dapat mengakali bahkan penjahat siber paling kreatif sekalipun.
Dari pemaparan mengenai serangan phising yang jarang diketahui, semoga informasi tersebut dapat menambah wawasan pembaca dan memberi manfaat.
Sumber berita:
