Phishing: Pengertian, Jenis, dan Cara Mencegahnya – Seiring dengan berkembangnya teknologi yang lebih baru, kejahatan dunia maya juga meningkat. Kejahatan dunia maya mencakup serangan seperti pengunduhan ilegal, penipuan kartu kredit, penindasan maya, phishing, pembuatan, dan penyebaran virus, spam, dll.
Daftar Isi :
Pengertian Phishing
Phishing adalah salah satu jenis serangan cyber. Phishing mendapatkan namanya dari istilah “phish” yang berarti ikan. Phish sendiri memiliki makna upaya menempatkan umpan pada ikan agar terjebak.
Demikian pula cara kerja phishing. Kejahatan ini menipu pengguna atau korban agar mengklik situs berbahaya. Penyerang membuat situs berbahaya sedemikian rupa sehingga korban merasa itu sebagai situs asli, sehingga menjadi mangsanya.
Modus phishing yang paling umum adalah dengan mengirimkan email spam yang tampak seperti asli dan kemudian jika pengguna terjebak, penyerang dapat mengambil semua kredensial dari korban.
Motif utama penyerang di balik phishing adalah untuk mendapatkan informasi rahasia seperti
- Kata sandi
- Rincian kartu kredit
- Nomor induk kependudukan
- Nomor handphone
- Tanggal lahir
Penyerang menggunakan informasi ini untuk lebih menargetkan pengguna dan menyamar sebagai pengguna dan menyebabkan pencurian data.
Jenis serangan phishing yang paling umum terjadi melalui email. Korban phishing ditipu untuk mengungkapkan informasi yang harusnya dirahasiakan.
Logo asli email digunakan untuk membuat pengguna percaya bahwa itu memang email asli. Namun jika kita cermati detailnya, kita akan menemukan bahwa URL atau alamat web tersebut tidak asli.
Mari kita pahami konsep ini dengan bantuan sebuah contoh.
Dalam contoh gambar di atas, kebanyakan orang yakin bahwa itu adalah YouTube hanya dengan melihat ikon merah.
Jadi, menganggap YouTube sebagai platform yang aman, pengguna mengklik ekstensi tanpa curiga. Tapi jika kita perhatikan baik-baik, kita bisa melihat URL-nya adalah supertube.com dan bukan youtube.com
Kedua, YouTube tidak pernah meminta untuk menambahkan ekstensi untuk menonton video apa pun.
Hal ketiga adalah nama ekstensi itu sendiri cukup aneh untuk menimbulkan keraguan tentang kredibilitasnya.
Jenis Serangan Phishing
Ada beberapa jenis serangan phishing, di antaranya sebagai berikut:
1. Email Phishing
Email phising merupakan jenis phising yang paling umum di mana pengguna ditipu untuk mengklik email spam yang belum diverifikasi dan membocorkan data rahasia.
Peretas menyamar sebagai identitas yang sah dan mengirim email ke korban secara massal. Umumnya, tujuan penyerang adalah untuk mendapatkan detail pribadi seperti detail bank, nomor kartu kredit, id pengguna, dan kata sandi dari situs belanja online, menginstal malware, dll.
Setelah mendapatkan informasi pribadi, mereka menggunakan informasi ini untuk mencuri uang dari akun pengguna atau membahayakan sistem target, dll.
2. Spear Phishing
Dalam jenis serangan phishing ini, pengguna tertentu (organisasi atau individu) menjadi sasaran. Dalam metode ini, penyerang pertama-tama mendapatkan informasi lengkap dari target dan kemudian mengirim email berbahaya ke kotak masuknya untuk menjebaknya agar mengetik data rahasia.
Misalnya, penyerang menargetkan seseorang (misalkan seorang karyawan dari departemen keuangan dari beberapa organisasi), dan kemudian penyerang berpura-pura menjadi seperti manajer karyawan tersebut dan kemudian meminta informasi pribadi atau untuk mentransfer sejumlah besar uang. Ini adalah serangan yang paling sukses.
3. Whaling
Whaling mirip seperti spear-phishing tetapi target utamanya adalah kepala perusahaan, seperti CEO, CFO, dll. email dengan nada menekan dikirim ke eksekutif tersebut sehingga mereka tidak punya banyak waktu untuk berpikir, oleh karena itu menjadi mangsa phishing.
4. Smishing
Dalam jenis serangan phishing ini, media serangan phishing adalah SMS. Smishing bekerja mirip dengan email phishing.
Teks SMS dikirim ke korban yang berisi tautan ke situs web phishing atau mengundang korban untuk menghubungi nomor telepon atau menghubungi pengirim menggunakan email yang diberikan.
Korban kemudian diundang untuk memasukkan informasi pribadi mereka seperti rincian bank, informasi kartu kredit, user id/password, dll kemudian penyerang menggunakan informasi ini untuk merugikan korban.
5. Vishing
Vishing juga dikenal sebagai phishing suara. Dalam metode ini, penyerang memanggil korban menggunakan spoofing id penelepon modern untuk meyakinkan korban bahwa panggilan tersebut berasal dari sumber yang terpercaya.
Penyerang juga menggunakan IVR untuk mempersulit otoritas hukum untuk melacak penyerang. Hal ini umumnya digunakan untuk mencuri nomor kartu kredit atau beberapa data rahasia dari korban.
6. Clone Phishing
Dalam jenis serangan phishing ini, penyerang menyalin pesan email yang dikirim dari sumber tepercaya dan kemudian mengubah informasi dengan menambahkan tautan yang mengarahkan korban ke situs web jahat atau palsu.
Sekarang penyerang mengirim email ini ke lebih banyak pengguna dan kemudian menunggu untuk melihat siapa yang mengklik lampiran yang dikirim dalam email.
Clone phising kemudian akan menyebar melalui kontak pengguna yang telah mengklik lampiran.
Bagaimana Phishing Terjadi?
Serangan phishing yang paling umum meliputi:
- Mengklik file atau lampiran yang tidak dikenal: Di sini, penyerang dengan sengaja mengirimkan file misterius kepada korban, saat korban membuka file tersebut, malware disuntikkan ke sistemnya atau meminta pengguna untuk memasukkan data rahasia.
- Menggunakan hotspot wifi terbuka atau gratis: Ini adalah cara yang sangat sederhana untuk mendapatkan informasi rahasia dari pengguna dengan memikatnya melalui cara memberikan wifi gratis. Pemilik wifi dapat mengontrol data pengguna tanpa disadari oleh pengguna.
- Menanggapi permintaan media sosial: Ini biasanya mencakup rekayasa sosial (social engineering). Menerima permintaan pertemanan yang tidak dikenal dan kemudian, secara tidak sengaja, membocorkan data rahasia adalah kesalahan paling umum yang dilakukan oleh pengguna yang naif.
- Mengklik tautan atau iklan yang tidak diautentikasi: Tautan yang tidak diautentikasi sengaja dibuat yang mengarah ke situs web phishing yang menipu pengguna untuk mengetikkan data rahasia.
Cara Mengetahui Serangan Phishing
Untuk membedakan antara situs web palsu dan situs web asli selalu ingat poin-poin berikut:
Periksa URL situs web
Situs web yang baik dan legal selalu menggunakan media yang aman untuk melindungi diri kita dari ancaman online.
Jadi, ketika kita pertama kali melihat tautan situs web, selalu periksa bagian awal situs web tersebut. Artinya jika sebuah website diawali dengan https:// maka website tersebut aman karena di https:// simbol s artinya aman, yang berarti website tersebut menggunakan enkripsi untuk mentransfer data.
Jika sebuah website menggunakan http:// maka website tersebut tidak dijamin aman. Jadi, disarankan untuk tidak mengunjungi situs web HTTP karena kurang aman.
Periksa nama domain situs web
Penyerang umumnya membuat situs web yang alamatnya meniru merek atau perusahaan besar misal domain asli adalah www.amazon.com/order_id=23. Penyerang biasanya membuat situs yang sama persis namun menggunakan nama domain yang hampir mirip, misalnya amazoon.com/order_id=23.
Jika kita perhatikan lebih detail, kita dapat melihat bahwa web tersebut adalah situs web palsu karena ejaan nama domain Amazon salah. Berhati-hatilah dengan jenis situs web seperti itu.
Lihat desain situsnya
Jika kita membuka situs web dari tautan, maka perhatikan desain situsnya. Meskipun penyerang mencoba untuk meniru yang asli sebanyak mungkin, tetapi mereka masih kekurangan di beberapa tempat.
Periksa halaman web yang tersedia
Situs web palsu tidak berisi seluruh halaman web yang ada di situs web asli. Jadi ketika kita menemukan situs web palsu, maka buka opsi (tautan) yang ada di situs web itu. Jika mereka hanya menampilkan halaman login, maka website tersebut bisa jadi palsu atau phishing.
Cara Mencegah dari Serangan Phising
Sampai sekarang, kita telah tahu bahwa pengguna sangat rentan terkena phishing. Tetapi dengan tindakan pencegahan yang tepat, seseorang dapat menghindari penipuan semacam ini.
Di bawah ini adalah cara yang tercantum untuk melindungi pengguna dari serangan phishing:
- Unduh perangkat lunak hanya dari sumber resmi.
- Jangan pernah membagikan detail pribadi Anda dengan tautan yang tidak dikenal.
- Selalu periksa URL situs web untuk mencegah serangan semacam itu.
- Jika menerima email dari sumber yang dikenal tetapi email tersebut terlihat mencurigakan, hubungi sumber tersebut dengan email baru daripada menggunakan opsi balas.
- Cobalah untuk menghindari memposting informasi pribadi seperti nomor telepon, alamat, dll di media sosial.
- Gunakan alat pendeteksi phishing untuk memantau situs web yang dibuat dan berisi konten tidak autentik.
- Cobalah sebisa mungkin untuk menghindari wifi gratis.
- Lakukan pembaruan sistem secara berkala.
- Selalu pastikan firewall sistem dalam keadaan ON.
Demikianlah penjelasan lengkap mengenai phishing. Semoga informasi yang disajikan dapat bermanfaat. (trivusi.web.id)
Info ruanglab lainnya:
- Ada Kebijakan Baru, Nonton Situs Porno di Negara Ini Wajib Upload KTP atau SIM
- Inilah Tips dan Rekomendasi Belajar Jadi Hacker
- 5 Tips Menjaga Keamanan Akun Virtual Anda