Pencegahan phising menjadi penting karena semakin banyak penjahat yang beralih ke penipuan online untuk mencuri informasi pribadi Anda. Phising 101 ini akan membeberkan phising secara menyeluruh.
Kami telah belajar untuk menghindari email spam, namun email phising bisa terlihat sangat kredibel. Beberapa bahkan dipersonalisasi khusus untuk Anda.
Karena kemungkinan besar Anda akan terkena serangan phising pada akhirnya, Anda perlu mengetahui tanda bahayanya. Karena penipuan bukanlah hal baru di web, namun phising lebih sulit dikenali daripada yang Anda kira.
Di seluruh web, serangan phising telah memancing korban yang tidak menaruh curiga untuk menyerahkan informasi bank, nomor jaminan sosial, dan banyak lagi.
Ditambah lagi, penjahat dunia maya kini menjadi lebih cerdas dengan penyamaran mereka. Terkadang penipuan ini bersembunyi di balik suara-suara yang Anda kenal dan percayai, seperti rekan kerja, bank, atau bahkan pemerintah Anda. Jika Anda terlalu sering mengeklik sebuah tautan, Anda bisa menjadi korban penipu berikutnya.
Saat kami mendalami cara mencegah phising, kami akan menjawab beberapa pertanyaan penting:
Pertanyaan Phising
Apakah saya berisiko menjadi target phising?
Jenis penipuan phising apa saja yang ada?
Bagaimana cara mengenali penipuan phising?
Apa itu email phising?
Yang harus saya lakukan setelah saya mengidentifikasi email phising?
Bagaimana agar tidak menjadi korban phising?
Apa Itu Phising?
Phising membujuk Anda untuk mengambil tindakan yang memberikan akses kepada penipu ke perangkat, akun, atau informasi pribadi Anda. Dengan berpura-pura menjadi orang atau organisasi yang Anda percayai, mereka dapat lebih mudah menginfeksi Anda dengan malware atau mencuri informasi kartu kredit Anda.
Dengan kata lain, skema rekayasa sosial ini “memancing” Anda dengan kepercayaan untuk mendapatkan informasi berharga Anda. Ini bisa berupa apa saja, mulai dari login media sosial, hingga seluruh identitas Anda melalui nomor jaminan sosial Anda.
Skema ini mungkin meminta Anda untuk membuka lampiran, mengikuti tautan, mengisi formulir, atau membalas dengan informasi pribadi. Dengan logika tersebut, Anda harus waspada setiap saat yang bisa melelahkan.
Skenario umum adalah sebagai berikut:
Anda membuka email Anda dan tiba-tiba pemberitahuan dari bank Anda muncul di kotak masuk Anda. Saat Anda mengklik link di email, Anda akan dibawa ke halaman web yang kurang lebih terlihat seperti bank Anda.
Inilah masalahnya: situs ini sebenarnya dirancang untuk mencuri informasi Anda. Peringatan tersebut akan mengatakan ada masalah dengan akun Anda dan meminta Anda untuk mengonfirmasi login dan kata sandi Anda.
Setelah memasukkan kredensial Anda pada halaman yang muncul, Anda biasanya dikirim ke institusi sebenarnya untuk memasukkan informasi Anda untuk kedua kalinya. Dengan mengarahkan Anda ke institusi yang sah, Anda tidak segera menyadari informasi Anda telah dicuri.
Ancaman ini bisa menjadi sangat rumit dan muncul di semua jenis komunikasi, bahkan panggilan telepon. Bahaya phising adalah dapat menipu siapa pun yang tidak skeptis terhadap detail kecil.
Untuk membantu Anda menjaga diri tanpa menjadi paranoid, mari kita lihat cara kerja serangan phising.
Seperti apa cara kerja phising?
Siapa pun yang menggunakan internet atau telepon dapat menjadi target penipu phising.
Penipuan phising biasanya mencoba untuk:
- Infeksi perangkat Anda dengan malware
- Curi kredensial pribadi Anda untuk mendapatkan uang atau identitas Anda
- Dapatkan kendali atas akun online Anda
- Yakinkan Anda untuk rela mengirimkan uang atau barang berharga
Terkadang ancaman ini tidak hanya terjadi pada Anda saja. Jika seorang peretas masuk ke email, daftar kontak, atau media sosial Anda, mereka dapat mengirim spam ke orang yang Anda kenal dengan pesan phising yang sepertinya berasal dari Anda.
Kepercayaan dan urgensi inilah yang membuat phising begitu menipu dan berbahaya. Jika penjahat dapat meyakinkan Anda untuk mempercayai mereka dan mengambil tindakan sebelum berpikir — Anda adalah sasaran empuk.
Siapa yang berisiko terkena serangan phising?
Phising dapat menyerang siapa saja dari segala usia, baik dalam kehidupan pribadi atau di tempat kerja.
Semua orang mulai dari orang tua hingga anak kecil menggunakan perangkat internet saat ini. Jika penipu dapat menemukan informasi kontak Anda secara publik, mereka dapat menambahkannya ke daftar target phising mereka.
Nomor telepon, alamat email, ID perpesanan online, dan akun media sosial Anda lebih sulit disembunyikan saat ini. Jadi, ada kemungkinan besar bahwa hanya memiliki salah satu dari ini akan menjadikan Anda target. Selain itu, serangan phising bisa meluas atau sangat ditargetkan pada orang-orang yang mereka pilih untuk ditipu.
Phising Spam
Spam phising adalah jaring luas yang dilempar untuk menangkap orang yang tidak menaruh curiga. Sebagian besar serangan phising termasuk dalam kategori ini.
Untuk menjelaskannya, spam adalah ekuivalen elektronik dengan ‘surat sampah’ yang tiba di keset atau kotak pos Anda. Namun, spam lebih dari sekedar mengganggu. Ini bisa berbahaya, terutama jika itu bagian dari penipuan phising.
Pesan spam phising dikirim dalam jumlah besar oleh pelaku spam dan penjahat dunia maya yang ingin melakukan satu atau beberapa hal berikut:
- Hasilkan uang dari sebagian kecil penerima yang menanggapi pesan tersebut.
- Jalankan penipuan phising – untuk mendapatkan kata sandi, nomor kartu kredit, detail rekening bank, dan banyak lagi.
- Menyebarkan kode berbahaya ke komputer penerima.
phising spam adalah salah satu cara paling populer yang digunakan penipu untuk mendapatkan informasi Anda. Namun, beberapa serangan lebih bertarget dibandingkan serangan lainnya.
Phising yang Ditargetkan
Serangan phising yang ditargetkan biasanya mengacu pada spear phising atau varian paling umum, whaling.
Penangkapan ikan paus menargetkan target tingkat tinggi, sementara spear phising memperluas jaringnya. Sasaran biasanya adalah karyawan perusahaan atau organisasi pemerintah tertentu. Namun, penipuan ini dapat dengan mudah ditujukan kepada siapa pun yang dianggap berharga atau rentan.
Anda mungkin ditargetkan sebagai nasabah bank sasaran, atau pegawai fasilitas kesehatan. Meskipun Anda hanya menanggapi permintaan pertemanan media sosial yang aneh, Anda mungkin terkena phising.
Phisher jauh lebih sabar dengan skema ini. Penipuan yang dipersonalisasi ini membutuhkan waktu untuk dilakukan, baik untuk mendapatkan imbalan atau untuk meningkatkan peluang keberhasilan.
Membangun serangan ini mungkin melibatkan pengumpulan rincian tentang Anda atau organisasi tempat Anda terlibat.
Phisher mungkin mengambil informasi ini dari:
- Profil media sosial
- Pelanggaran data yang ada
- Info lain yang dapat ditemukan secara publik
Bergerak untuk melakukan serangan yang sebenarnya mungkin dilakukan dengan cepat dengan upaya langsung untuk mendorong Anda mengambil tindakan. Orang lain mungkin membangun hubungan dengan Anda selama berbulan-bulan untuk mendapatkan kepercayaan Anda sebelum “permintaan” besar.
Serangan ini tidak terbatas pada pesan langsung atau panggilan saja — situs web yang sah mungkin diretas secara langsung demi keuntungan phisher. Jika Anda tidak hati-hati, Anda mungkin terkena phising hanya dengan masuk ke situs yang biasanya aman.
Sayangnya, tampaknya banyak orang yang menjadi sasaran empuk para penjahat ini. phising telah menjadi “normal” baru karena frekuensi serangan ini semakin meningkat.
Penipuan Phising dan Tip Pencegahan
Jenis Penipuan phising apa yang harus saya ketahui?
Tantangan pertama adalah memahami apa yang diharapkan dari phising. Itu dapat dikirimkan dengan segala cara, termasuk panggilan telepon, SMS, dan bahkan dalam URL yang dibajak di situs web yang sah.
Serangan phising jauh lebih mudah dipahami setelah melihatnya beraksi. Anda mungkin pernah melihat beberapa penipuan ini dan membuangnya begitu saja sebagai spam.
Terlepas dari bagaimana mereka ditargetkan, serangan phising memerlukan banyak cara untuk sampai ke Anda dan sebagian besar orang cenderung mengalami setidaknya satu dari bentuk phising berikut:
Email phising
Muncul di kotak masuk email Anda, biasanya dengan permintaan untuk mengikuti tautan, mengirim pembayaran, membalas dengan informasi pribadi, atau membuka lampiran. Email pengirim mungkin dirancang agar mirip dengan email valid dan mungkin berisi informasi yang terasa pribadi bagi Anda.
Spoofing domain
cara populer yang dilakukan phisher email untuk meniru alamat email yang valid. Penipuan ini mengambil domain perusahaan asli dan memodifikasinya.
Penipu phising suara (vishing)
Menelepon Anda dan menyamar sebagai orang atau perusahaan yang sah untuk menipu Anda. Mereka mungkin mengalihkan Anda dari pesan otomatis dan menyembunyikan nomor telepon mereka. Vishers akan mencoba untuk tetap menghubungi Anda dan mendesak Anda untuk mengambil tindakan.
SMS phising (smishing)
Mirip dengan vishing, skema ini akan meniru organisasi yang valid, menggunakan urgensi dalam pesan teks singkat untuk menipu Anda. Dalam pesan tersebut, Anda biasanya akan menemukan tautan atau nomor telepon yang mereka ingin Anda gunakan. Layanan pesan seluler juga berisiko mengalami hal ini.
Media sosial
Melibatkan penjahat yang menggunakan postingan atau pesan langsung untuk membujuk Anda agar masuk ke dalam jebakan. Beberapa di antaranya terang-terangan seperti hadiah gratis atau halaman organisasi “resmi” yang samar-samar dengan permintaan mendesak. Orang lain mungkin menyamar sebagai teman Anda atau membangun hubungan jangka panjang dengan Anda sebelum ‘menyerang’ untuk mencapai kesepakatan.
Clone phising
Menduplikasi pesan asli yang dikirim sebelumnya, dengan lampiran dan tautan yang sah diganti dengan yang berbahaya. Ini muncul di email namun mungkin juga muncul melalui cara lain seperti akun media sosial palsu dan pesan teks.
Situs web sah mungkin dimanipulasi atau ditiru melalui:
- Waterhole menargetkan situs populer yang dikunjungi banyak orang. Serangan seperti ini mungkin mencoba mengeksploitasi kelemahan situs untuk sejumlah serangan phising lainnya. Mengirimkan malware, pengalihan tautan, dan cara lain adalah hal biasa dalam skema ini.
- Pharming (keracunan cache DNS) menggunakan malware atau kerentanan di lokasi untuk mengalihkan lalu lintas dari situs web aman ke situs phising. Mengetik URL secara manual akan tetap mengarahkan pengunjung ke situs jahat jika situs tersebut menjadi korban pharming.
- Typosquatting (pembajakan URL) mencoba menangkap orang yang mengetikkan URL situs web yang salah. Misalnya, sebuah situs web mungkin dibuat dengan selisih satu huruf dari situs yang valid. Mengetik “wallmart” dan bukan “walmart” berpotensi membawa Anda ke situs berbahaya.
- Clickjacking menggunakan kerentanan situs web untuk memasukkan kotak pengambilan tersembunyi. Ini akan mengambil kredensial login pengguna dan hal lain yang mungkin Anda masukkan di situs yang aman.
- Tabnabbing terjadi ketika halaman palsu yang tidak diawasi dimuat ulang menjadi tiruan dari login situs yang valid. Saat Anda kembali ke sana, Anda mungkin percaya itu nyata dan tanpa sadar menyerahkan akses ke akun Anda.
- phising HTTPS memberikan ilusi keamanan pada situs web jahat dengan indikator klasik “gembok di sebelah bilah URL”. Meskipun tanda enkripsi ini dulunya eksklusif untuk situs yang telah diverifikasi aman, kini situs mana pun bisa mendapatkannya. Jadi, koneksi Anda dan informasi yang Anda kirim mungkin diblokir untuk orang luar, namun Anda sudah terhubung dengan penjahat.
Bahkan koneksi internet Anda yang sebenarnya dapat dikompromikan oleh:
Serangan kembar jahat meniru Wi-Fi publik resmi di lokasi seperti kedai kopi dan bandara. Hal ini dilakukan sebagai upaya agar Anda terhubung dan menguping semua aktivitas online Anda.
Jenis Phising yang Harus Diwaspadai:
- Phising hasil mesin pencari menggunakan metode untuk membuat halaman web palsu muncul di hasil pencarian sebelum halaman web sah. Ini juga dikenal sebagai phising SEO atau phising SEM. Jika Anda tidak memperhatikan dengan cermat, Anda mungkin mengeklik laman berbahaya, bukan laman asli.
- Angler phising menyamar sebagai perwakilan layanan pelanggan perusahaan sungguhan untuk mengelabui Anda agar tidak mendapatkan informasi. Di media sosial, akun bantuan palsu menempatkan “@sebutan” Anda di akun sosial perusahaan untuk merespons dengan pesan dukungan palsu.
- BEC (kompromi email bisnis) melibatkan berbagai cara untuk melanggar lingkaran komunikasi perusahaan untuk mendapatkan informasi bernilai tinggi. Hal ini dapat mencakup peniruan identitas CEO atau berpura-pura menjadi vendor dengan faktur palsu untuk memulai aktivitas seperti transfer kawat.
- Pengelabuan mata uang kripto menargetkan mereka yang memiliki dompet mata uang kripto. Alih-alih menggunakan cara jangka panjang untuk menambang mata uang kripto sendiri, para penjahat ini mencoba mencuri dari orang-orang yang sudah memiliki dana tersebut.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: