Penipuan phising disamarkan untuk menipu Anda, para scammers, penjahat dunia maya melakukan berbagai macam trik dan diantaranya adalah tipuan phising yang jarang diketahui.
Serangan siber sedang meningkat akhir-akhir ini. Berbagai skenario yang mereka hadirkan juga semakin sulit dideteksi. Satu menit Anda menjawab email yang diduga berasal dari orangtua, saat berikutnya Anda dengan panik memberi tahu bank Anda bahwa sebenarnya Anda tidak menghabiskan puluhan juta untuk empat tiket penerbangan ke Korea Selatan.
Begitulah cara kerja serangan phising: menjawab email atau teks berbahaya, atau kuesioner di situs web, dan kemudian rekening bank atau kartu kredit Anda disusupi.
Meskipun Anda mungkin berpikir Anda terlalu berhati-hati dan cerdas untuk terjebak hal seperti ini, Berikut merupakan beberapa hal mengenai tipuan phising yang jarang diketahui.
Serangan Homograf
Banyak situs palsu yang memiliki sedikit perbedaan ejaan dari aslinya, namun ada juga bentuk phising yang menggunakan serangan homograf Nama Domain Internasional (IDN).
Jika nama situs web menggunakan alfabet asing, seperti Sirilik, nama tersebut diterjemahkan menjadi sesuatu yang disebut Punycode. Kami tidak akan membuat Anda bosan dengan detail teknisnya, namun Anda harus tahu bahwa beberapa karakter dalam bahasa asing ini – ketika muncul di bilah alamat – secara langsung mirip dengan karakter bahasa Inggrisnya.
Misalnya, huruf Sirilik “a” secara visual identik dengan huruf Inggris, meskipun berbeda dengan komputer. Dengan demikian, dimungkinkan untuk menyiapkan alamat yang, secara visual, memiliki alamat yang benar tetapi mengarahkan Anda ke tempat lain.
Pengembang web, Xudong Zheng, baru-baru ini mendemonstrasikan hal ini dengan membuat situs web palsu yang secara harfiah disebut www.apple.com (bahkan memiliki kunci “koneksi aman” berwarna hijau dan segalanya).
Saat ini, browser web sedang mengembangkan cara untuk mengatasi hal ini. Namun jika ingin benar-benar aman, sebaiknya ketik alamatnya secara manual.
Menerapkan praktik ini sebagai aturan praktis adalah satu-satunya cara untuk mendapatkan kepastian 100 persen.
Rangkaian Email
Email phising tidak lagi selalu datang sebagai email “baru” atau mandiri. Mereka sekarang bahkan dapat memasukkan dirinya ke tengah-tengah rangkaian email yang ada.
Misalnya, Anda sedang melakukan percakapan email dengan kolega Anda. Sekitar lima email masuk, Anda mendapatkan satu yang mengatakan “Hei, bisakah Anda memeriksa ini untuk mendapatkan persetujuan?”
Tanpa memikirkan apa pun, Anda mengekliknya dan mengunduh segala jenis malware dan spyware.
Sangat mudah untuk lengah, karena kebanyakan orang tidak mengharapkan email phising muncul di tengah percakapan. Satu-satunya solusi adalah waspada dan mencatat pesan-pesan aneh atau di luar konteks. Yang terbaik adalah selalu memeriksa ulang dengan pengirimnya jika ada sesuatu yang tidak biasa.
Pesan Phising Kontekstual
Pernah mendengar situs kecil bernama LinkedIn? Sebagian besar profil LinkedIn berisi pencapaian orang-orang, tempat bekerja, posisi yang dipegang, dan lain sebagainya. Hal ini memudahkan peretas untuk membuat email yang tampaknya berasal dari atasan atau kolega Anda.
Melalui Facebook, Instagram, dan situs media sosial lainnya, peretas juga dapat membuat email atau pesan phising kontekstual. Misalnya, khusus untuk profil publik, mereka dapat melihat lokasi liburan Anda di foto Instagram Anda, dan menanyakan apakah Anda “meninggalkan ini saat kami berada di Bali” (mengklik email lalu mendownload malware atau spyware).
Jika Anda selalu mengingat hal ini, Anda akan lebih baik dalam mengenali dan menghindari potensi serangan phising. Ada beberapa tanda yang dapat memberikan petunjuk, misalnya jika rekan kerja yang baru saja pergi rupanya menghubungi Anda melalui email kantornya, atau jika email tentang liburan terakhir Anda berasal dari sumber yang tidak disebutkan namanya.
Pembayaran Akun Terlambat
Serangan phising yang paling umum diklaim sebagai “pembayaran akun yang terlambat”, atau pernyataan yang mengatakan transaksi terakhir Anda “gagal”.
Anda kemudian akan diminta mengeklik tautan untuk memverifikasi detail, misalnya, pembayaran Netflix Anda, dan kemungkinan besar Anda akan mengekliknya.
Anda bahkan mungkin berbaik hati untuk menindaklanjuti dengan nomor kartu kredit untuk memperbarui informasi penagihan Anda.
Sekitar 30 menit kemudian, seseorang di belahan dunia lain membeli meja biliar baru atas biaya Anda.
Namun, jika Anda bijaksana dalam menghadapi serangan phising, Anda pasti akan menindaklanjuti email tersebut dengan pemeriksaan yang cermat. Itu berarti panggilan telepon ke penyedia layanan untuk memverifikasi apakah itu benar, dan penolakan untuk mengeklik tautan email sebelumnya.
Pencurinya mungkin bukan orang yang melakukan upaya phising; mereka sering kali hanya membeli detail kartu kredit curian secara online.
Waspada
Serangan phising menjadi semakin pintar setiap saat; pastikan Anda tetap waspada dan berkembang bersama mereka.
Tidak peduli seberapa tajamnya Anda di dunia maya, ingatlah bahwa penjahat phising memiliki satu keuntungan besar: mereka bisa gagal ratusan kali, tetapi Anda hanya perlu melakukan kesalahan satu kali.
Sebagai tindakan pencegahan tambahan, carilah fasilitas kredit/debit yang dilengkapi dengan autentikasi dua faktor, saat ini semakin banyak bank yang menyediakan fasilitas ini. Hal ini menciptakan penghalang tambahan terhadap pencuri phising yang mencoba menggunakan detail kartu Anda yang dicuri.
Dan jika Anda mengeklik tautan aneh apa pun, atau mengalami komputer Anda melambat, bawalah ke profesional. Bersihkan perangkat lunak perusak atau spyware, meskipun tampaknya tidak ada hal “terlalu serius” yang terjadi.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: