Credit image: Freepix
Phising dan Taktik – Phising adalah jenis kejahatan siber di mana penyerang menyamar sebagai entitas tepercaya untuk mencuri informasi sensitif, seperti kata sandi atau data keuangan.
Meskipun saat ini berkembang pesat di dunia digital, phising berakar dari penipuan kuno yang kini diperkuat oleh teknologi.
Apa Itu Phising?
phising adalah serangan rekayasa sosial di mana pelaku kejahatan menyamar sebagai individu atau organisasi tepercaya untuk mendapatkan sesuatu yang berharga dari korban.
Baik itu uang maupun kredensial yang dapat mereka gunakan untuk mencuri informasi atau melakukan tindakan kriminal lainnya.
Nama “phishing” berasal dari kata “fishing” (memancing), yang menggambarkan ide mengumpankan “umpan” yang menggoda. Ketika korban “menggigit”, mereka menelan umpan tersebut dan terjebak.
Huruf “ph” di awal kata sengaja diambil dari istilah “phreaking,” yang digunakan untuk menggambarkan teknik peretasan jaringan telepon pada tahun 1970-an.
Asal-Usul dan Evolusi Phising
Awalnya, teknik phising sangat sederhana. Serangan pertama, yang muncul di era 1990-an, sering kali berupa penipuan “Pangeran Nigeria” yang dikirim melalui pos surat, menjanjikan sejumlah besar uang sebagai imbalan atas transfer dana kecil.
Seiring berkembangnya internet, taktik ini beralih ke email, meskipun awalnya dengan kualitas rendah menggunakan logo yang salah, ejaan yang buruk, dan tata bahasa yang kacau.
Namun, strategi phising modern jauh lebih canggih. Para penipu kini menggunakan alat untuk mengkloning situs web dan email sehingga terlihat identik dengan aslinya. Pemeriksa ejaan dan tata bahasa juga membantu mereka meningkatkan kualitas pesan.
Metode Phising yang Umum
- Email-based phising: Metode yang paling umum. Penipu menyamar sebagai bank, perusahaan teknologi, atau layanan lain untuk menipu korban agar memasukkan kredensial mereka di situs palsu.
- SMS phising (Smishing): Pesan phising dikirim melalui SMS. Banyak orang cenderung lebih mempercayai pesan teks daripada email, sehingga metode ini sangat efektif.
- Voice phising (Vishing): Penipuan yang dilakukan melalui panggilan telepon, di mana penipu menyamar sebagai staf dukungan teknis atau perwakilan bank untuk memanipulasi korban agar memberikan informasi sensitif.
- Spearphising dan Whaling: Serangan yang lebih bertarget. Spearphising menargetkan individu atau organisasi tertentu dengan informasi yang dikumpulkan dari media sosial. Whaling adalah bentuk spearphising yang menargetkan individu berprofil tinggi atau eksekutif perusahaan (“paus”).
- Business Email Compromise (BEC): Bentuk spearphising yang paling canggih, menargetkan peran-peran spesifik seperti eksekutif atau staf keuangan. Penyerang dapat memalsukan akun email, bahkan menggunakan teknologi deepfake bertenaga AI untuk meniru suara atau video eksekutif, seperti kasus penipuan senilai $25 juta di Hong Kong pada tahun 2024.
- Homoglyph dan Typosquatting: Taktik yang menggunakan karakter yang mirip secara visual (misalnya, angka “1” dan huruf kecil “l”) atau kesalahan ketik yang umum dalam nama domain untuk mengecoh korban.
Menargetkan Gaming Platform
Platform gim sering menjadi target phising. Anak-anak dan remaja, sebagai “generasi digital,” menjadi korban karena mereka terbiasa dengan iklan online.
Penipu menawarkan hadiah atau gim gratis sebagai imbalan atas kredensial akun, seperti yang terjadi pada platform Steam.
Domain phising yang digunakan terlihat sangat mirip dengan aslinya, seperti sceanmcommnunmnlty[.]com, sehingga mudah mengecoh mereka yang tidak teliti.
|
Baca juga: Serangan Phising yang Jarang Diketahui |
Cara Mengenali dan Melindungi Diri
phising pada dasarnya adalah masalah rekayasa sosial, bukan hanya masalah teknologi. Oleh karena itu, dibutuhkan kombinasi edukasi dan solusi teknis untuk melawannya.
Mengenali Tanda-tanda Phising:
Pesan yang Mencurigakan: Sering meminta informasi yang tidak akan diminta oleh bisnis yang sah, seperti nomor jaminan sosial atau foto dokumen identitas.
Rasa Urgensi: Pesan yang meminta Anda untuk bertindak cepat, seringkali dengan ancaman atau janji.
Tips Melindungi Diri
- Edukasi Karyawan: Beri pelatihan kepada karyawan untuk mengenali pola-pola phising umum. Pastikan mereka merasa aman untuk melaporkan email phising tanpa takut mendapat hukuman.
- Konfigurasi Server Email: Atur server untuk mengidentifikasi dan memberi label peringatan pada email yang berasal dari luar organisasi.
- Gunakan Perangkat Lunak Antiphising: Pastikan server email dan perangkat Anda memiliki perlindungan antiphising yang kuat.
- Batasi Berbagi Informasi: Hindari membagikan informasi pekerjaan secara detail di media sosial.
- Laporkan: Laporkan email phising yang lolos dari deteksi kepada penyedia keamanan siber dan, jika perlu, kepada penegak hukum.
Dengan memahami taktik yang terus berevolusi dan menggabungkan langkah-langkah teknis serta edukasi, Anda dapat secara efektif melawan ancaman phising.
Sumber berita:
