Phising menjadi salah satu kejahatan siber/ cyber crime yang sering terjadi. Dengan trik kejahatan yang satu ini, penjahat cyber akan menjerat para korban yang umumnya kurang waspada dan kurang familiar dengan metode ini.
Sayangnya, tidak semua masyarakat familiar dengan apa itu phising. Terlebih, masih banyak dari kita yang mudah tergiur saat mendapat iming- iming hadiah gratis atau diskon dari link phising.
Di artikel kali ini, Panda akan mengulas secara lengkap apa itu phising, penyebab phising, dan bagaimana cara mengatasinya. Semoga artikel ini cukup mencerahkan kita untuk lebih berhati- hati lagi melawan kejahatan online yaa.
Pengertian Phising
Phising, atau kadang ditulis phishing, adalah sebuah trik untuk melakukan penipuan untuk mengelabui target dengan cara pencurian akun dan data pribadi target.
Informasi yang menjadi sasaran pelaku antara lain :
- Data pribadi, meliputi nama, usia, dan alamat.
- Informasi akun, meliputi username, email, dan password.
- Data finansial, meliputi informasi kartu kredit, e-money/ dompet digital, dan rekening.
Istilah phising ini sendiri berasal dari kata ‘fishing’ yang artinya memancing dalam bahasa Inggris. Dengan trik phising, pelaku kejahatan cyber memancing target untuk melakukan sesuatu, sampai akhirnya data kredensial target bocor ke pelaku.
Trik phising ini biasa berjalan dengan sangat halus. Mereka kerap mengatasnamakan diri sebagai institusi berwenang, atau brand besar.
Akibatnya, banyak korban tidak menyadari telah memberi info kredensial mereka secara sukarela. Dan tentu saja, informasi ini akan digunakan untuk tujuan jahat yang jauh lebih merugikan.
Di awal tahun 2020 saja, Anti Phising Working Group mencatat sudah ada 165.772 website phising yang siap memakan korban. Sektor finansial tentu saja menjadi incaran utama.
Jenis- jenis Phising
Agar tidak terjebak dengan kejahatan cyber yang satu ini, penting untuk kita mengetahui jenis- jenis phishing.
1. Email Phising
Phising paling sering terjadi menggunakan metode email, inilah yang kita sebut dengan Email Phising. Dengan metode ini, pelaku mengirimkan email secara masih ke banyak korban secara acak.
Menurut Phising Working Group, setidaknya ada 3,4 miliar email palsu yang terkirim setiap hari. Tentu saja ada banyak yang sudah menjadi korban kejahatan ini.
2. Spear Phising
Spear Phising juga dilakukan melalui metode email. Bedanya, jenis Spear ini tidak mengirimkan email secara acak, tapi lebih tertarget.
Biasanya mereka sebelumnya sudah mengantongi informasi dasar calon korban. Seperti nama dan alamat.
3. Whaling
Whaling adalah jenis phising yang lebih spesifik lagi dalam menarget individu. Targetnya biasanya adalah mereka yang mempunyai kewenangan tinggi di sebuah organisasi atau perusahaan. Misalnya saja CEO perusahaan, manajer personalia, pejabat penting, atau pemilik bisnis.
Saat trik Whaling ini berhasil, tentu si pelaku mendapatkan banyak keuntungan dari akses yang ia peroleh.
4. Web Phising
Persis seperti namanya, web phising adalah upaya memanfaatkan website palsu untuk mengelabui target. Website ini benar- benar persis seperti website resmi, dan menggunakan nama domain yang mirip. Ini lah yang disebut dengan domain spoofing.
Misalnya saja, untuk mengelabui pengguna Shopee, penipu membuat web phising dengan alamat myshopee.biz. Jika tidak jeli, siapa saja bisa terjebak.
Cara Kerja Phising
Apapun medianya, phishing bekerja memanipulasi informasi, dan memanfaatkan kelalaian korban untuk mencuri data dan akun. Cara kerjanya kurang lebih seperti ini :
1. Filtering Calon Korban
Aktivitas phising dimulai dengan menentukan siapa target korbannya. Secara umum, target favorit mereka adalah pengguna platform pembayaran online, seperti PayPal, Ovo, Gopay, Shopee Pay, LinkAja dan lainnya.
Selain itu, para pelaku juga mengincar pengguna platform yang mempunyai sistem keamanan lemah.
2. Menentukan Tujuan Phising
Langkah selanjutnya, pelaku akan mulai memikirkan tujuan yang ingin mereka raih dari aktivitas web phising ini. Apakah mereka mengincar username dan password untuk menguasai akun dan menjualnya, atau bahkan melakukan transaksi untuk menguras saldo korban.
3. Membuat Website Phising
Langkah selanjutnya, pelaku akan merancang website palsu alias web phising. Tampilan web dan nama domain akan mereka rancang semirip mungkin dengan website aslinya.
Berbekal website yang mirip ini, website ini akan mengumpulkan user untuk login dengan info kredensial asli. Selanjutnya, data- data ini akan tersimpan di database dan digunakan untuk login ke website asli oleh pelaku.
4. Target Mengakses Web
Setelah membuat web, pelaku akan mulai melakukan strategi agar target mengakses web palsu yang ia buat. Misalnya saja mengirim pesan berisi tautan website via SMS, WhatsApp atau media sosial.
Saat klik terjadi dan target melakukan login, data akan terekam secara otomatis.
5. Target Mengikuti Instruksi Pelaku
Inilah menjadi kunci keberhasilan aktivitas phising. Saat target mengikuti instruksi yang pelaku berikan, pelaku akan berhasil mencapai tujuannya.
Misalnya saat pelaku meminta korban mengupdate informasi pribadi hingga data pembayaran di akun. Setelah mengisi data dan submit, saat itulah semua informasi korban berhasil pelaku miliki.
6. Pelaku Memanfaatkan Data Korban
Setelah tindakan di web phising berhasil, pelaku akan memanfaatkan data yang ia peroleh. Apa saja?
Antara lain sebagai berikut :
- Menjual informasi ke pihak ketiga atau pasar database.
- Menjual informasi data untuk kepentingan politik atau iklan.
- Melakukan aksi penipuan. Misalnya dengan menyatakan seseorang memenangkan undian, dan meminta calon korban membayar biaya administrasi yang nominalnya lumayan (Ini cukup sering terjadi).
- Membobol akun dan menguras saldo di akun korban.
- Melakukan pinjaman online atas nama korban dengan menggunakan data informasi korban.
Cara Mencegah Agar Tidak Menjadi Korban Phising
Penting sekali untuk bisa menggunakan akun kita di platform manapun secara aman. Agar kejahatan phishing ini tidak terjadi pada kita, berikut ini adalah beberapa tips yang bisa kita terapkan :
1. Selalu Terupdate dengan Informasi Kejahatan Cyber
Yang menarik, phising dan modus penipuan online semakin beragam dan berkembang. Baik dari jenis media yang digunakan, atau jenis serangan.
Maka dari itu, penting untuk kita selalu terupdate dengan informasi teknologi baru, terutama yang berkaitan dengan modus penipuan. Misalnya saat beberapa waktu lalu heboh kebocoran data pengguna di platform marketplace, Tokopedia.
Dengan mengetahui kasus- kasus tersebut, kita akan menjadi lebih waspada dan aware dengan data kredensial kita di berbagai platform.
2. Jangan Asal Klik Link
Siapa saja bisa menjadi target phising, namun belum tentu menjadi korban. Artinya, dengan waspada kita bisa meminimalisir keberhasilan tindak kejahatan ini.
Pintu gerbang untuk masuk ke website phising berasal dari sebuah tautan. Baik itu yang dikirimkan lewat email, WhatsApp, atau media sosial. Disini ada hal yang membedakan link dari sumber resmi dan link jebakan.
Pertama, Anda wajib memperhatikan nama domain, form pengisian yang mencurigakan, bahasa konten yang berlebihan, promo tidak masuk akal, dan lain sebagainya. Pastikan link tersebut aman, sebelum Anda mengklik apapun.
Misalnya saat Anda mendapatkan link mencurigakan via email, cobalah untuk mengarahkan mouse ke link tanpa mengkliknya (hover). Langkah ini akan memunculkan informasi URL dari link tersebut.
Jika mengarah ke web asli, berarti aman. Namun jika mengarah ke website lain yang mencurigakan, segera untuk menghapus pesan tersebut.
3. Gunakan Aplikasi Browser Terupdate
Browser adalah aplikasi penting untuk melakukan aktivitas online. Untuk memastikan keamanan data dan privasi terlindungi, selalu gunakan versi browser terbaru.
Hal ini penting karena setiap browser merilis versi terbaru, mereka selalu melakukan pembaruan dan perbaikan pada celah keamanan.
4. Pastikan Hanya Akses Website yang Aman
Hindari untuk mengunjungi website yang tidak aman, terutama untuk memproses data pribadi dan transaksi finansial. Sebaliknya, hanya lakukan akses di website yang menggunakan SSL Certificate, alias website dengan protokol HTTPS (dengan icon kunci di alamat website).
Dengan hanya mengakses website yang aman, kemungkinan Anda menjadi korban kejahatan cyber ini akan lebih kecil.
5. Cek Akun Online secara Berkala
Tidak jarang Anda melakukan registrasi ke berbagai platform atau situs, namun tak pernah lagi menggunakannya. Padhaal, semua informasi pribadi Anda masih tersimpan di platform tersebut.
Jika memang Anda berniat untuk berhenti menggunakan sebuah aplikasi, akan lebih baik untuk melakukan penghapusan akun. Selain itu, cobalah untuk melakukan perubahan password secara berkala jika masih ingin menggunakannya.
6. Berhati- hati Dalam Memberi Data Pribadi
Kecuali website resmi dan Anda membutuhkannya untuk menjalankan proses transaksi, hindari memberikan data pribadi Anda. Terlebih transaksi yang meminta Anda untuk memasukkan nomor kartu kredit atau kredensial lainnya.
7. Manfaatkan Two-Factor Authentication (2FA)
Selalu aktifkan Two-Factor Authentication (2FA) saat platform yang Anda gunakan menyediakannya. Dengan cara ini, proses verifikasi akan dilakukan dua langkah, yaitu dengan password dan kode OTP.
Seandainya pelaku phising sudah berhasil memperoleh username dan password, namun gagal dalam memasukkan kode OTP, maka sistem tidak bisa melanjutkan proses login. Artinya, akun anda akan lebih terlindungi dari cyber crime.
8. Instal Anti-Malware
Salah satu jebakan phising biasanya meminta Anda untuk mengunduh file tertentu melalui email atau link palsu. Saat melakukannya, file tersebut mungkin disisipi malware yang bekerja secara rahasia di device Anda.
Untuk menghindari hal ini, cobalah menggunakan software anti-malware. Software ini akan melakukan scan secara otomatis sesuai dengan pengaturan Anda. Saat muncul peringatan adanya script berbahaya, segeralah menghapusnya agar terhindar dari pencurian data pribadi.
9. Gunakan Password Manager
Selanjutnya, menggunakan password manager juga bisa menjadi salah satu cara untuk lebih aman dari serangan phising. Saat kita menggunakan aplikasi password manager, kita akan terbantu dengan fitur autofill password untuk login.
Dengan masuk ke web palsu, tentu saja password manager tidak akan melakukan autofill. Ini karena mereka bisa membaca bahwa situs tersebut bukanlah tempat dimana Anda pernah menyimpan password login.
Anda bisa curiga bahwa situs ini bukan situs asli, alias jebakan betmen. Alih- alih login, Anda bisa menyadari ada yang aneh dari situs web tersebut. Besar kemungkinan Anda aman dari jebakan phising.
Mengamankan Akun yang Menjadi Korban Phising
Bagaimana jika sudah terlanjur menjadi korban phising? Apakah ada cara untuk mengatasinya? Bagaimana cara mengembalikan akses akun yang sudah diambil alih?
Berikut ini adalah beberapa upaya yang bisa Anda lakukan :
1. Mengganti Password Akun
Jika Anda cepat menyadari telah terjebak ke dalam web phising, langkah yang harus Anda lakukan segera adalah mengganti password akun Anda. Jika Anda langsung bisa mengganti password, maka akun Anda langsung bisa terselamatkan.
Namun bila tidak, Anda bisa mencoba langkah selanjutnya dalam tips ini.
2. Reset Password Lama
Jika Anda langsung gagal login dengan akun dan password sebelumnya, langkah selanjutnya yang bisa Anda ambil adalah masuk ke website resmi dan melakukan reset password lama.
Melalui website resmi, Anda akan diminta untuk memasukan username atau alamat email untuk pemulihan akun. Setelah itu, Anda akan mendapatkan link pemulihan akun lewat email untuk mengganti password Anda.
Jangan lupa untuk menggunakan kombinasi huruf yang kuat untuk password, serta aktifkan Two-Factor Authentication (2FA).
Kesimpulan
Phising bisa terjadi pada siapa saja dan kapan saja. Namun dengan mengenali modus penipuan ini dan selalu waspada, kita akan terhindar dari menjadi korban.
Sebagai penutup dari artikel ini, Panda akan membuat resume berkaitan dengan Phising :
Phising, atau kadang ditulis phishing, adalah sebuah trik untuk melakukan penipuan untuk mengelabui target dengan cara pencurian akun dan data pribadi target.
Agar tidak menjadi korban phising, Anda harus tetap menjaga keamanan akun dan waspada terhadap tautan masuk melalui email, SMS, WhatsApp atau media sosial.
Setidaknya ada 8 hal yang bisa Anda terapkan agar tidak menjadi korban phising, seperti yang Panda kupas di artikel ini.
Jika Anda langsung menyadarinya, cobalah untuk langsung mengganti password akun Anda. Namun apabila sudah terlanjur, Anda wajib mereset password untuk memulihkan akun kembali.