Apa Itu Phishing dan Bagaimana Cara Kerjanya?
Beranda
Artikel
Apa Itu Phishing dan Bagaimana Cara Kerjanya?

Apa Itu Phishing dan Bagaimana Cara Kerjanya?

Pemula
Diterbitkan Nov 28, 2018Diperbarui May 6, 2024
7m

Ringkasan

  • Phishing adalah praktik berbahaya ketika penyerang menyamar sebagai entitas tepercaya untuk mengelabui individu agar mengungkapkan informasi sensitif.

  • Tetap waspada terhadap phishing dengan mengenali tanda-tanda umum seperti URL mencurigakan dan permintaan mendesak untuk informasi pribadi.

  • Pahami berbagai teknik phishing, mulai dari penipuan email umum hingga spear phishing canggih, untuk memperkuat pertahanan keamanan siber.

Pendahuluan

Phishing adalah taktik berbahaya saat pelaku kejahatan berpura-pura menjadi sumber tepercaya untuk menipu orang agar membagikan data sensitif. Dalam artikel ini, kami akan menjelaskan phishing, cara kerjanya, dan tindakan yang dapat dilakukan untuk menghindari penipuan semacam ini.

Cara Kerja Phishing

Phishing utamanya mengandalkan rekayasa sosial, yaitu metode ketika penyerang memanipulasi individu untuk mengungkapkan informasi rahasia. Penyerang mengumpulkan detail pribadi dari sumber publik (seperti media sosial) untuk membuat email yang tampaknya autentik. Korban sering menerima pesan berbahaya yang tampaknya berasal dari kontak yang dikenal atau organisasi bereputasi baik.

Bentuk phishing paling umum terjadi melalui email yang berisi tautan atau lampiran berbahaya. Mengklik tautan ini dapat menginstal malware di perangkat pengguna atau mengarahkan mereka ke situs web palsu yang dirancang untuk mencuri informasi pribadi dan keuangan.

Meskipun email phishing yang ditulis dengan buruk lebih mudah ditemukan, penjahat siber menggunakan alat canggih seperti chatbot dan penghasil suara AI untuk meningkatkan keaslian serangan mereka. Hal ini menyulitkan pengguna untuk membedakan antara komunikasi yang asli dan yang menipu.

Mengenali Upaya Phishing

Mengidentifikasi email phishing mungkin cukup sulit, tetapi ada beberapa tanda yang dapat Anda perhatikan.

Tanda-Tanda Umum

Berhati-hatilah jika pesan berisi URL yang mencurigakan, menggunakan alamat email publik, menimbulkan ketakutan atau desakan, meminta informasi pribadi, atau memiliki kesalahan ejaan dan tata bahasa. Dalam kebanyakan kasus, Anda harus dapat mengarahkan mouse ke tautan untuk memeriksa URL tanpa benar-benar mengkliknya.

Penipuan Berbasis Pembayaran Digital

Phisher sering meniru layanan pembayaran online tepercaya seperti PayPal, Venmo, atau Wise. Pengguna menerima email penipuan yang mendesak mereka untuk memverifikasi detail masuk. Anda harus tetap waspada dan melaporkan aktivitas mencurigakan.

Serangan Phishing Berbasis Keuangan

Penipu menyamar sebagai bank atau lembaga keuangan sambil mengeklaim adanya pembobolan keamanan untuk mendapatkan informasi pribadi. Taktik umumnya meliputi email yang menipu tentang transfer uang atau penipuan penyetoran langsung yang menargetkan karyawan baru. Mereka mungkin juga mengeklaim bahwa ada pembaruan keamanan yang mendesak.

Penipuan Phishing Terkait Pekerjaan

Penipuan yang dipersonalisasi ini melibatkan penyerang yang menyamar sebagai eksekutif, CEO, atau CFO yang meminta wire transfer atau pembelian palsu. Phishing suara menggunakan penghasil suara AI melalui telepon adalah metode lain yang digunakan oleh penipu.

Cara Mencegah Serangan Phishing

Untuk mencegah serangan phishing, penting untuk menerapkan beberapa langkah keamanan. Hindari mengklik tautan apa pun secara langsung. Sebagai alternatif, buka situs web resmi perusahaan atau saluran komunikasi untuk memeriksa apakah informasi yang Anda terima sah. Pertimbangkan untuk menggunakan alat keamanan seperti perangkat lunak antivirus, firewall, dan filter spam. 

Selain itu, organisasi harus menggunakan standar autentikasi email untuk memverifikasi email masuk. Contoh umum metode autentikasi email mencakup DKIM (DomainKeys Identified Mail) dan DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Bagi individu, sangat penting untuk memberi tahu keluarga dan teman mereka tentang risiko phishing. Bagi perusahaan, sangat penting untuk mengedukasi karyawan tentang teknik phishing dan memberikan pelatihan kesadaran berkala guna mengurangi risiko.

Jika Anda memerlukan bantuan dan informasi lebih lanjut, cari inisiatif pemerintah seperti OnGuardOnline.gov dan organisasi seperti Anti-Phishing Working Group Inc. Mereka menyediakan sumber daya dan panduan yang lebih mendetail tentang mengenali, menghindari, dan melaporkan serangan phishing.

Jenis Phishing

Teknik phishing berkembang dan penjahat siber menggunakan berbagai metode. Berbagai jenis phishing biasanya diklasifikasikan menurut target dan vektor serangan. Mari kita pelajari lebih dalam.

Clone phishing

Penyerang akan menggunakan email sah yang telah dikirim sebelumnya, lalu menyalin isinya ke email serupa yang berisi tautan ke situs berbahaya. Penyerang mungkin juga mengeklaim bahwa ini merupakan tautan yang diperbarui atau baru dan menyatakan bahwa tautan sebelumnya salah atau kedaluwarsa.

Spear phishing

Jenis serangan ini difokuskan pada satu orang atau institusi. Spear phishing lebih canggih daripada jenis phishing lainnya karena menggunakan teknik membangun profil. Artinya, penyerang mengumpulkan informasi tentang korban terlebih dahulu (misalnya, nama teman atau anggota keluarga), lalu menggunakan data ini untuk memikat korban ke file situs web berbahaya.

Pharming

Penyerang akan meracuni catatan DNS yang dalam praktiknya akan mengalihkan pengunjung situs web yang sah ke situs web palsu yang telah dibuat sebelumnya oleh penyerang. Serangan ini paling berbahaya, karena catatan DNS tidak berada dalam kontrol pengguna, sehingga membuat pengguna tidak mampu untuk bertahan darinya.

Whaling

Suatu bentuk spear phishing yang menargetkan orang-orang kaya dan penting, seperti CEO dan pejabat pemerintah.

Spoofing email

Email phishing biasanya memalsukan komunikasi dari perusahaan atau orang yang sah. Email phishing dapat memberikan tautan ke situs berbahaya kepada korban yang lengah, lalu penyerang mengumpulkan kredensial masuk dan PII menggunakan halaman masuk yang disamarkan dengan cerdik. Halaman ini mungkin berisi trojan, keylogger, dan skrip berbahaya lainnya yang mencuri informasi pribadi.

Pengalihan situs web

Pengalihan situs web mengirim pengguna ke URL yang berbeda dari URL yang ingin dikunjungi oleh pengguna. Pelaku yang mengeksploitasi kerentanan dapat memasukkan pengalihan dan menginstal malware ke komputer pengguna.

Typosquatting

Typosquatting mengarahkan lalu lintas ke situs web palsu yang menggunakan ejaan bahasa asing, kesalahan ejaan umum, atau variasi halus dalam domain unggulan. Phisher menggunakan domain untuk meniru antarmuka situs web yang sah, lalu mengambil keuntungan dari pengguna yang salah mengetik atau salah membaca URL.

Iklan berbayar palsu

Iklan berbayar adalah taktik lain yang digunakan untuk phishing. Iklan (palsu) ini memanfaatkan domain dengan typosquatting dan dibayar oleh penyerang agar naik dalam hasil pencarian. Situs ini bahkan dapat muncul sebagai hasil pencarian teratas di Google.

Serangan watering hole

Dalam serangan watering hole, phisher menganalisis pengguna dan menentukan situs web yang sering mereka kunjungi. Mereka memindai kerentanan pada situs-situs ini, lalu mencoba menyuntikkan skrip berbahaya yang dirancang untuk menargetkan pengguna saat mereka mengunjungi situs web itu lagi.

Impersonasi dan giveaway palsu

Impersonasi tokoh berpengaruh di media sosial. Phisher dapat mengimpersonasi sebagai pemimpin utama perusahaan dan mengiklankan giveaway atau terlibat dalam praktik penipuan lainnya. Korban tipu daya ini bahkan dapat ditargetkan secara individual melalui proses rekayasa sosial yang bertujuan untuk menemukan pengguna yang mudah tertipu. Pelaku dapat meretas akun terverifikasi dan mengubah nama pengguna untuk mengimpersonasi sebagai tokoh sungguhan sambil mempertahankan status terverifikasi.

Baru-baru ini, phisher telah banyak menargetkan platform seperti Discord, X, dan Telegram untuk tujuan yang sama: memalsukan obrolan, mengimpersonasi individu, dan meniru layanan yang sah.

Aplikasi Berbahaya

Phisher juga dapat menggunakan Aplikasi berbahaya yang memantau perilaku Anda atau mencuri informasi sensitif. Aplikasi dapat menyamar sebagai pelacak harga, dompet, dan alat terkait kripto lainnya (dengan basis pengguna yang cenderung berdagang dan memiliki mata uang kripto).

SMS dan phishing suara

Bentuk phishing berbasis pesan teks, biasanya dilakukan melalui SMS atau pesan suara, yang mendorong pengguna untuk membagikan informasi pribadi.

Phishing vs. Pharming

Meskipun beberapa orang menganggap pharming sebagai jenis serangan phishing, terdapat perbedaan dalam mekanisme yang digunakan. Perbedaan utama antara phishing dan pharming adalah bahwa phishing mengharuskan korban untuk melakukan kesalahan. Sebaliknya, pharming hanya mengharuskan korban untuk mencoba mengakses situs web sah dengan catatan DNS yang disusupi oleh penyerang.

Phishing dalam Bidang Blockchain dan Kripto

Meskipun teknologi blockchain memberikan keamanan data yang kuat karena sifatnya yang terdesentralisasi, pengguna dalam bidang blockchain harus tetap waspada terhadap rekayasa sosial dan upaya phishing. Penjahat siber sering mencoba mengeksploitasi kerentanan manusia untuk mendapatkan akses ke kunci privat atau kredensial masuk. Dalam kebanyakan kasus, penipuan mengandalkan kesalahan manusia.

Penipu juga dapat mencoba mengelabui pengguna agar mengungkapkan seed phrase mereka atau mentransfer dana ke alamat palsu. Anda harus berhati-hati dan mengikuti praktik terbaik keamanan.

Penutup

Kesimpulannya, memahami phishing dan tetap mendapatkan informasi tentang teknik yang berkembang sangat penting dalam menjaga informasi pribadi dan keuangan. Dengan menggabungkan langkah-langkah keamanan, edukasi, dan kesadaran yang kuat, individu dan organisasi dapat melindungi diri dari ancaman phishing yang selalu ada di dunia digital kita yang saling terhubung. Tetap SAFU!

Bacaan Lebih Lanjut

Penafian: Konten ini disajikan kepada Anda dengan dasar “sebagaimana adanya” untuk informasi umum dan tujuan pendidikan saja tanpa pernyataan atau jaminan dalam bentuk apa pun. Konten ini tidak boleh dianggap sebagai nasihat keuangan, hukum, atau profesional lainnya ataupun dimaksudkan untuk menyarankan pembelian produk atau jasa tertentu. Anda sebaiknya mencari nasihat dari penasihat profesional yang sesuai. Jika artikel merupakan kontribusi dari kontributor pihak ketiga, harap diperhatikan bahwa pandangan yang dinyatakan berasal dari kontributor pihak ketiga dan tidak mencerminkan pandangan Binance Academy. Silakan baca penafian lengkap kami di sini untuk detail lebih lanjut. Harga aset digital dapat menjadi volatil. Nilai investasi Anda mungkin turun atau naik. Anda mungkin tidak mendapatkan kembali jumlah yang sudah diinvestasikan. Anda bertanggung jawab sepenuhnya terhadap keputusan investasi Anda. Binance Academy tidak bertanggung jawab terhadap segala kerugian yang mungkin Anda alami. Materi ini tidak boleh dianggap sebagai nasihat keuangan, hukum, atau profesional lainnya. Untuk informasi selengkapnya, baca Ketentuan Penggunaan dan Peringatan Risiko kami.