Tahukah Anda kalau phising adalah serangan siber yang unik?
Serangan siber yang lain cenderung memaksa atau mengambil sesuatu tanpa izin dari Anda. Sedangkan pishing, justru terjadi karena Anda dengan sukarela memberikannya ke pelaku. Apakah ada hubungannya dengan hipnotis?
Tenang, artikel ini akan membahas phising dengan lengkap sehingga semua pertanyaan-pertanyaan di atas akan terjawab. Penasaran, kan? Simak sampai selesai ya!
Apa Itu Phising?
Arti phising adalah serangan siber (cyber crime) dengan cara mengelabui korban untuk mendapatkan data penting darinya. Data ini bisa berupa data akun, personal, finansial, riwayat kesehatan, hingga informasi penting perusahaan/bisnis.
Lalu, data tersebut akan digunakan untuk apa? Pertanyaan bagus!
Data yang berhasil didapatkan dari pishing ini akan digunakan untuk berbagai hal. Mulai dari menjualnya di dark web, memeras Anda, hingga digunakan untuk melakukan phising ke orang terdekat/perusahaan Anda.
Baca juga: Apa Itu Kebocoran Data? Penyebab dan Cara Mengatasinya
Bagaimana Sejarah Phising?
Istilah “phising” atau “phishing” muncul di pertengahan tahun 1990-an. Istilah ini berasal dari “fishing” yang artinya “memancing.” Memancing apa? Tentu saja memancing korban agar memberikan data pentingnya begitu saja. Inilah kenapa tingkat keberhasilan phising mencapai 74%, sebab korban tak sadar dirinya terkena phising.
Di 1990-an phising marak terjadi di AOL yang memang saat itu merupakan platform bertukar pesan populer. Para pelaku bertindak seolah-olah sebagai pegawai AOL untuk mengelabui korban agar menyerahkan username dan password-nya.
Lalu, di tahun 2000-an, phising merambah ke dunia perbankan. Banyak email pishing yang dikirim saat itu agar menipu korban untuk memberikan detail akun banknya. Tak lama kemudian, phising menjalar ke berbagai website populer seperti eBay dan Google.
Bagaimana Cara Kerja Phising?
Cara kerja phising biasanya terjadi dalam tiga langkah, yaitu:
- Pertama, pelaku mengumpulkan berbagai informasi Anda yang tersedia secara publik, seperti melalui media sosial. Informasi yang mereka cari umumnya adalah informasi pribadi, riwayat pekerjaan, hobi, dan kegiatan sehari-hari Anda.
- Kedua, setelah mendapatkan informasi tersebut, maka pelaku akan membuat email phising atau metode lain untuk berkomunikasi dengan Anda. Sekilas, pesan ini terlihat bisa dipercaya karena berasal dari pihak berwenang atau yang Anda kenal. Plus, pelaku juga menyebut nama dan jabatan Anda dengan benar. Lalu, tak jarang juga mereka membahas hobi dan aktivitas Anda. Sangat menyakinkan, bukan?
- Ketiga, tanpa curiga, Anda membuka pesan phising tersebut dan membacanya. Kemudian, Anda juga mengklik link atau mengunduh attachment pada pesan tersebut. Voila! Anda telah terkena phising.
Baca juga: Apa Itu Scam? Modus dan Cara Menghindarinya
Apa Saja Jenis Phising?
Berikut beberapa jenis phising dan contoh phising yang paling sering terjadi saat ini:
1. Email Phising
Jenis terpopuler adalah email phising. Seperti namanya, pishing ini menggunakan email dimana pelakunya memakai nama dan alamat email yang meniru perusahaan terkenal. Kemudian, korban akan diarahkan untuk mengklik link di dalamnya atau mendownload attachment.
Link biasanya akan menuju ke suatu website yang mengharuskan Anda memasukkan username dan password. Atau ke website yang didalamnya sudah dipasang malware atau script yang merusak. Sedangkan attachment biasanya berformat PDF yang mengandung virus saat dibuka.
Contoh Email Phising
Sayangnya, email tersebut bukan berasal dari universitasnya. Link yang diberikan memang tertulis benar myuniversity.edu/renewal, tapi saat diklik, korban justru diarahkan ke myuniversity.edurenewal.com. Tampilan halamannya pun mirip, sehingga korban tak akan ragu saat memasukkan username dan password akunnya.
Baca juga: 3 Cara Membuat Tanda Tangan Email [Termudah!]
2. Spear Phising
Spear phising hampir mirip dengan email pishing, bedanya jenis phising ini lebih niat. Pelaku spear phising akan melakukan riset dan mengumpulkan beberapa informasi calon targetnya. Lalu, mereka hanya akan menarget orang atau golongan tertentu sesuai tujuan mereka.
Contoh Spear Phising
Pelaku memanggil korban dengan namanya (Andrew) dan juga menyebut rekan kerjanya (Ravi). Pelaku juga tahu dengan baik pekerjaan korban yaitu berhubungan dengan tanggung jawab transfer bank di perusahaannya. Gaya bicaranya pun juga santai, sehingga tidak terkesan seperti bot.
3. Web Phising
Pada web phising, suatu website akan mempunyai tampilan yang mirip, bahkan sama persis, dengan website aslinya. Perbedaannya terletak pada alamat website yang beda satu huruf atau nama domainnya. Misalnya, mekariisign.com alih-alih mekarisign.com.
Contoh Web Phising
Bisa Anda lihat bahwa alamat website Amazon di atas kelebihan huruf “n.” Korban yang tak sadar akan senang hati memasukkan email dan passwordnya karena tampilan halaman login-nya pun sama persis.
4. Whaling
Jenis selanjutnya adalah whaling. Jenis pishing ini menarget CEO atau orang dengan jabatan tinggi di suatu perusahaan. Whaling biasanya menipu bukan melalui link atau attachment, melainkan langsung menyuruh korban untuk melakukan sesuatu.
Contoh Whaling
Pada contoh di atas, korban diminta untuk segera mentransfer uang yang “seharusnya” ditransfer minggu kemarin. Korban tahu bahwa tak ada transfer minggu kemarin, tapi ia takut untuk mengatakannya karena pelaku menyamar sebagai bosnya. Plus, bosnya juga sedang ada meeting sehingga korban takut mengganggu.
5. Smishing dan Vishing
Smishing dan vishing sebenarnya mirip dengan jenis pishing yang lain. Bedanya, jenis ini menggunakan telepon sebagai sarana penipuannya. Biasanya, berupa SMS ataupun telepon langsung.
Contoh Smishing dan Vishing
Anda pasti tak asing lagi dengan SMS mama minta pulsa seperti di atas. Pelaku menyamar sebagai anggota keluarga, lalu minta ditransfer uang atau pulsa. Biasanya pelaku juga mengatakan bahwa sedang di kantor polisi atau rumah sakit, sehingga menimbulkan kepanikan yang membuat korban tak bisa berpikir jernih.
6. Angler Phising
Angler pishing adalah jenis baru yang mentarget pengguna media sosial. Biasanya berupa pesan pribadi (DM) atau dalam bentuk notifikasi yang sangat mirip dengan notifikasi media sosial.
Contoh Angler Phising
Pada contoh angler phising di atas, seorang pengguna PayPal mengeluhkan masalah melalui media sosial. Lalu, pelaku yang menggunakan akun mirip PayPal membalasnya dan memberikan link mencurigakan. Biasanya, di dalam link tersebut korban diharuskan memasukkan data pribadi dengan dalih untuk informasi penanganan lebih lanjut.
Bagaimana Cara Menghindari Phising?
Pishing memang menyeramkan, tapi Anda bisa menghindarinya, lho! Berikut beberapa tips yang bisa Anda terapkan:
1. Tingkatkan Keamanan Perangkat Anda
Cara meningkatkan keamanan perangkat Anda ada beberapa cara. Mulai dari pastikan Anda menggunakan versi operating system terbaru, mengaktifkan Two Factor Authentication (2FA), memasang anti virus, hingga memakai layanan filter email.
2. Perhatikan Siapa Pengirim Email
Mulai sekarang, baca baik-baik siapa pengirim email sebelum Anda melakukan sesuatu. Perhatikan nama lengkap dan alamat domainnya. Kemudian, lakukan juga crosscheck dengan email sebelumnya atau melalui website resmi.
3. Jangan Klik Link Sembarangan
Bila Anda mendapatkan link, jangan mengkliknya begitu saja. Arahkan kursor Anda ke atas link tersebut untuk mengetahui alamat lengkapnya. Lalu, cek website resminya apakah memang benar orang atau perusahaan tersebut menggunakan email yang sama.
4. Gunakan Software Resmi
Software bajakan memang menggiurkan tetapi usahakan Anda hindari sebisa mungkin, khususnya bila digunakan untuk membuat tanda tangan digital, memuat dokumen rahasia perusahaan, hingga transaksi yang confidential. Anda wajib menggunakan software yang Anda download dari website resminya. Selain itu, hindari juga software modifikasi (APK mod) karena bisa saja pembuatnya menyusupi malware di dalamnya.
Pelajari dengan Mudah: Cara Membuat Tanda Tangan Digital dengan Cepat dan Aman!
5. Hati-hati Saat Berbagi Info
Awas, kurangi berbagi info tentang kehidupan personal Anda di media sosial atau dimanapun. Sebab, itu bisa digunakan pelaku untuk melakukan spear phishing. Tak hanya itu, tapi Anda juga harus berhati-hati saat diminta mengisi form karena bisa disalahgunakan.
6. Ikuti Info Terbaru Tentang Phising
Teknik pishing selalu berubah seiring berkembangnya zaman dan semakin pintar calon korban. Oleh karena itu, usahakan Anda mengikuti info atau berita phising ter-update agar terhindar dari teknik phising yang lebih canggih.
Baca juga: Apa Itu Social Engineering? Kejahatan Online yang Wajib Anda Ketahui!
Jerat Hukum untuk Pelaku Phising di Indonesia
Sampai saat ini memang belum ada peraturan perundang-undangan yang secara khusus membahas atau mengatur phising. Namun, pelaku phising bisa dijerat berdasarkan Kitab Undang-Undang Hukum Pidana (KUHP) dan Undang-Undang No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE). Tepatnya sebagai berikut:
- Penipuan sesuai Pasal 378 KUHP dengan pidana penjara maksimal 4 tahun.
- Manipulasi diatur pada Pasal 35 jo. Pasal 51 UU ITE akan dipidana penjara paling lama 12 tahun dan/atau denda paling banyak Rp 12 miliar.
- Penerobosan sesuai Pasal 30 ayat (3) jo. Pasal 46 ayat (3) UU ITE dengan pidana penjara maksimal 8 tahun dan/atau denda paling banyak Rp 800 juta.
- Memindahkan atau Mentransfer informasi dijerat pasal 32 ayat (2) jo. Pasal 48 ayat (2) UU ITE dengan pidana penjara paling lama 9 tahun dan/atau denda paling banyak RP 3 miliar.
Jadi, bila Anda terkena phising, Anda bisa melaporkannya ke pihak berwajib. Terutama, bila data-data yang terkena phising merupakan data penting Anda.
Yuk, Hindari Phising dengan Mekari Sign!
Seperti yang sudah disebutkan di awal, phising adalah serangan siber yang unik, kan? Tanpa sadar, korban memberikan data pentingnya begitu saja. Entah karena korban tanpa pikir panjang mengklik link mencurigakan, mengunduh file asing, atau mengisi form dari orang tak dikenal.
Oleh karena itu, pastikan Anda selalu menggunakan aplikasi online yang aman seperti aplikasi pembuat tanda tangan Mekari Sign. Dengan Mekari Sign, Anda bisa membuat tanda tangan elektronik yang tersertifikasi serta berinduk Kominfo. Anda juga dapat melakukan pembelian e-Meterai resmi Peruri dengan Aman dan sah!