Credit image: Freepix
Serangan Phising Terfavorit 2025 – Serangan phising merupakan ancaman siber yang paling dominan saat ini. Menurut laporan pada 2021, serangan phising mencakup lebih dari 90% dari semua kasus kebocoran data, jauh melampaui serangan malware atau ransomware.
Masalah utamanya adalah pengguna dan organisasi seringkali kurang terlatih untuk mengidentifikasi jebakan digital ini. Bahkan dengan protokol keamanan tercanggih, kesadaran dan pelatihan yang tepat tetap menjadi benteng pertahanan terbaik Anda.
Seiring kemajuan teknologi, peretas akan terus menemukan teknik phising baru untuk mencuri data sensitif. Untuk melindungi diri dari upaya phising yang tak terhindarkan, mari kita pahami apa itu phising dan jenis-jenisnya yang paling umum.
Apa Itu Serangan phising?
Serangan phising adalah jenis serangan siber yang menggunakan taktik rekayasa sosial (social engineering) untuk mencuri informasi sensitif dari korban.
Peretas akan menyamar sebagai sumber tepercaya atau pihak resmi seperti bank, perusahaan terkenal, atau rekan kerja untuk memancing korban melakukan tindakan tertentu.
Mayoritas serangan phising berhasil karena korban terkecoh untuk mengklik tautan berbahaya atau membuka file yang disisipi kode jahat.
Di balik setiap serangan phising yang sukses, ada pelaku yang telah mempelajari perilaku pengguna untuk mencari rute termudah mencuri data.
Mempelajari praktik dasar keamanan siber, berselancar di web dengan aman, dan mengenali ciri-ciri penipuan adalah cara terbaik untuk mencegah Anda menjadi korban.
|
Baca juga: SpamGPT Platform Berbasis AI Merevolusi Serangan Phising |
Tanda-Tanda Umum Upaya phising
Anda harus selalu waspada jika menerima komunikasi yang memuat ciri-ciri berikut:
- Permintaan Data Sensitif: Meminta data pribadi, kredensial login, atau informasi kartu kredit. Perusahaan resmi tidak akan pernah meminta informasi ini melalui email atau telepon.
- Ancaman dan Mendesak: Menciptakan rasa panik atau urgensi yang tidak wajar (Sense of urgency), seperti ancaman penangguhan akun, denda, atau masalah hukum yang harus segera diselesaikan.
- Kesalahan Ejaan atau Tata Bahasa: Adanya salah ketik atau tata bahasa yang janggal dalam komunikasi resmi.
- URL Mencurigakan: Alamat web yang disajikan terlihat aneh atau berbeda dari situs resmi.
- Tawaran Terlalu Menggiurkan: Promosi atau hadiah yang terlihat terlalu bagus untuk menjadi kenyataan (Once-in-a-lifetime offers).
7 Serangan Phising Favorit Peretas
1. Phising Email (Email Phising)
Ini adalah jenis serangan phising tertua dan paling umum. Peretas akan meniru format email yang sangat mirip dengan perusahaan sah (misalnya, layanan streaming, bank, atau media sosial).
Dan menyertakan tautan atau lampiran berbahaya yang meminta Anda “mengonfirmasi” informasi pribadi atau melakukan verifikasi akun.
Cara Mengidentifikasi phising Email:
- Jika email tersebut memberitahu ada masalah akun mendesak (pelanggaran, kegagalan pembayaran, verifikasi), JANGAN klik tautan apapun. Selalu buka situs web resmi perusahaan secara manual (mengetik alamatnya di browser) untuk mengecek status akun Anda.
- Tautan yang dipersingkat (menggunakan Bitly atau TinyURL) dapat menyembunyikan alamat web yang sebenarnya. Selalu arahkan kursor ke atas tautan (tanpa mengkliknya) untuk melihat URL tujuan.
- Periksa domain email (@https://www.google.com/search?q=alamat.com). Email penipuan sering menggunakan penyedia pihak ketiga atau variasi domain yang salah (misalnya, @upguardnow.com alih-alih @upguard.com).
- Berhati-hatilah terhadap lampiran, terutama dengan ekstensi seperti .exe, .zip, atau .scr. Perusahaan resmi biasanya mengarahkan Anda ke situs mereka untuk mengunduh dokumen.
- Jika email hanya berupa satu gambar besar (screenshot) dan bukan teks biasa, jangan diklik. Kode malware mungkin terikat pada gambar tersebut.
|
Baca juga: Serangan Phising Terbaru Menggunakan File Gambar SVG |
2. Spear Phising
Serangan ini lebih terarah, menargetkan individu atau departemen tertentu di dalam suatu organisasi. Peretas menggunakan informasi yang dikumpulkan dari sumber terbuka (Open-Source Intelligence – OSINT).
Tujuannya adalah untuk membuat email yang sangat personal dan meyakinkan, sering kali berpura-pura menjadi komunikasi internal atau dari sumber tepercaya.
Cara Mengidentifikasi Spear Phising:
- Jika Anda menerima permintaan aneh dari rekan kerja, terutama yang berkaitan dengan kredensial atau transfer data di luar otoritasnya, verifikasi langsung dengan individu tersebut melalui saluran komunikasi lain (telepon atau pesan langsung).
- Jika pengirim berpura-pura dari internal, tidak perlu mengirim tautan ke drive yang seharusnya sudah Anda akses. Tautan tersebut kemungkinan besar palsu.
- Waspadai upaya jelas untuk mendapatkan kepercayaan Anda dengan menyebutkan detail pribadi yang tidak perlu.
3. Whaling
Jika spear phising menargetkan individu, Whaling menargetkan eksekutif tingkat tinggi (misalnya, CEO, CFO). Serangan ini jauh lebih canggih, mengandalkan penelitian mendalam terhadap praktik bisnis perusahaan dan aktivitas media sosial eksekutif. Email yang digunakan biasanya ditulis dengan tata bahasa bisnis yang sempurna.
Cara Mengidentifikasi Serangan Whaling:
- Selalu periksa apakah alamat domain di ejaan dan ekstensi sudah benar (misalnya, @upgaurd.con alih-alih @upguard.com).
- Komunikasi bisnis penting dari eksekutif atau mitra seharusnya selalu melalui email kantor. Jika ada permintaan melalui email pribadi, konfirmasi melalui saluran resmi atau telepon.
- Jika Anda menerima email dari mitra atau pemasok yang sebelumnya tidak pernah menghubungi Anda secara langsung, verifikasi melalui saluran resmi perusahaan.
4. Business Email Compromise (BEC)
BEC adalah serangan yang meniru atau mengambil alih akses ke akun email eksekutif yang memiliki otoritas pengambilan keputusan.
Peretas kemudian menggunakan akun tersebut untuk mengirim permintaan internal kepada karyawan tingkat bawah, biasanya untuk transfer dana besar-besaran yang mendesak.
Contoh Kasus Nyata: Pada tahun 2014, perusahaan Scoular mengalami serangan BEC ketika seorang eksekutif menerima email dari CEO-nya yang meminta transfer kawat (wire transfer) mendesak sebesar $17,2 juta untuk akuisisi perusahaan Tiongkok. Email itu ternyata penipuan dengan nomor telepon dan alamat palsu.
Cara Mengidentifikasi Serangan BEC:
- Transaksi besar dan kesepakatan penting biasanya membutuhkan waktu dan verifikasi berlapis. Jika komunikasi terasa sangat mendesak dan hanya melibatkan 2-3 orang dalam email, ini adalah bendera merah.
- Semua kesepakatan bisnis seharusnya melibatkan tim hukum atau pengacara. Jika tidak ada pengacara yang dilibatkan, verifikasi legitimasi melalui rantai komando perusahaan.
|
Baca juga: Jenis dan Taktik Serangan Phising Terkini |
5. Voice Phising (Vishing)
Vishing adalah phising yang dilakukan melalui panggilan telepon. Pelaku menggunakan teknologi canggih untuk memalsukan ID penelepon (spoof caller ID) agar terlihat berasal dari sumber tepercaya (misalnya, bank, kantor pajak, kepolisian). Tujuannya adalah menciptakan rasa otoritas dan mendesak agar korban tidak sempat berpikir jernih.
Taktik Vishing
- Keluarga dalam masalah dan butuh bantuan dana segera.
- Akun bank diidentifikasi mengalami aktivitas mencurigakan.
- Peringatan bahwa surat perintah penangkapan telah dikeluarkan atas nama Anda.
- Pemerintah (misalnya kantor pajak) membutuhkan nomor Jaminan Sosial Anda untuk konfirmasi.
Cara Mengidentifikasi Vishing:
- Instansi pemerintah atau bank yang sah tidak akan pernah meminta PIN, password, atau Nomor Jaminan Sosial (atau NIK/KTP) melalui telepon.
- Panggilan phising sering datang dari nomor yang diblokir. Jika Anda curiga, segera tutup telepon.
6. HTTPS Phising
Dulunya, browser melindungi kita dengan menandai situs yang tidak menggunakan protokol aman HTTPS (Hypertext Transfer Protocol Secure).
Namun, saat ini peretas dapat memperoleh sertifikat SSL/TLS gratis dan menambahkan HTTPS pada situs phising mereka. Ini membuat situs palsu terlihat aman.
Cara Mengidentifikasi HTTPS phising:
- Jangan hanya mengandalkan ikon gembok hijau. Cek ejaan URL secara keseluruhan dan pastikan tidak ada kesalahan ejaan.
- Selalu arahkan kursor ke teks yang hyperlink untuk melihat alamat tujuan yang sebenarnya.
7. Clone Phising
Clone phising adalah upaya penipuan yang menyalin email asli yang pernah Anda terima secara hampir identik. Peretas kemudian mengirim ulang email tersebut (seringkali dengan subjek seperti “RESEND” atau “PEMBARUAN”) tetapi mengganti tautan atau lampiran asli dengan versi yang berbahaya.
Cara Mengidentifikasi Clone phising:
- Periksa riwayat kotak masuk Anda. Jika ada email duplikat, cari tautan atau lampiran baru di email terbaru. Selalu bandingkan tautan di email yang baru dengan email yang asli.
- Perhatikan dengan cermat setiap kesalahan minor pada alamat email pengirim, meskipun terlihat seperti alamat yang sah.
Kesadaran adalah Kunci
Serangan phising terus berevolusi, memanfaatkan kelemahan mendasar dalam keamanan siber: faktor manusia. Baik itu menyamar sebagai perekrut, atasan Anda, atau bahkan anggota keluarga, tujuannya selalu sama, mengeksploitasi kepercayaan dan rasa urgensi Anda.
Melatih diri untuk mengenali tanda-tanda yang disebutkan di atas dan menerapkan prinsip “Verifikasi, Jangan Percaya” adalah pertahanan paling kuat. Ingat, sistem keamanan siber terkuat sekalipun akan menjadi rentan jika penggunanya lalai mengklik tautan yang salah.
Sudahkah Anda membagikan informasi ini kepada rekan kerja dan keluarga Anda untuk meningkatkan kesadaran keamanan siber?
Sumber berita:
