Mitra resmi Peruri Digital Security
Mekari Sign
Free trial
iconicon
icon Search
Daftar isi
Home / Blog / Keamanan Digital / Apa Itu Phising? Cara Kerja, Contoh & Tips Menghindarinya
Keamanan Digital
10 min read

Apa Itu Phising? Cara Kerja, Contoh & Tips Menghindarinya

Ditulis oleh:
Mekari Sign Author Fadillah Rafli Anwari
Tayang 15 Juli 2025
Ditinjau oleh:
Reviewer Bintang Mahesaputra Wanda Bintang Mahesaputra Wanda Reviewer Badge Bintang Mahesaputra Wanda
Bagikan artikel ini
WhatsApp X LinkedIn Facebook
Featured Image Apa Itu Phising
Apa Itu Phising? Cara Kerja, Contoh & Tips Menghindarinya
Ringkasan

  • Phising adalah upaya penipuan siber untuk mencuri data sensitif seperti kredensial login dan informasi keuangan dengan menyamar sebagai pihak tepercaya.
  • Kenali 12 jenis serangan yang paling umum, mulai dari email phishing massal hingga serangan tertarget seperti whaling dan modus teknis seperti pharming.
  • Waspadai ciri-ciri utama phising, termasuk pesan yang mendesak, alamat pengirim yang janggal, dan tautan yang tidak sesuai, bahkan pada situs ber-HTTPS.
  • Terapkan langkah pencegahan proaktif dan ketahui tindakan darurat yang harus segera diambil jika Anda atau perusahaan Anda menjadi korban.

Hingga pertengahan 2025, kerugian akibat penipuan online di Indonesia telah menembus Rp3,2 triliun. Salah satu skema yang paling sering digunakan adalah phising, yang menyasar data pribadi dan akses finansial korban secara diam-diam.

Serangan ini tidak hanya mengintai pengguna awam, tetapi juga pegawai perusahaan, pelaku UMKM, hingga lembaga pemerintahan. Bagaimana skemanya bekerja dan bagaimana Anda bisa terhindar? Selengkapnya akan dibahas sebagai berikut.

Apa itu Phising?

Phising adalah bentuk kejahatan siber yang dilakukan dengan menyamar sebagai institusi resmi seperti bank, e-commerce, atau layanan pemerintah untuk mengelabui korban agar memberikan data pribadi, akun, atau finansial. Modusnya meliputi email palsu, tautan berbahaya, dan pesan yang tampak meyakinkan.

Berbeda dari serangan teknis, phising memanfaatkan psikologi korban, seperti rasa panik atau urgensi, agar mereka menyerahkan informasi penting secara sukarela. Data tersebut kemudian disalahgunakan untuk pencurian identitas, transaksi ilegal, atau dijual di pasar gelap.

Jenis Phising yang Wajib Diwaspadai

Berikut adalah 12 jenis phising paling umum yang perlu Anda waspadai, lengkap dengan karakteristik, media serangan, dan target sasarannya.

Jenis Phising Ciri Utama Media Serangan Target
Email Phishing Email massal mengatasnamakan instansi resmi, meminta klik atau data sensitif. Email Pengguna umum, nasabah
Spear Phishing Serangan tertarget menggunakan data pribadi korban untuk bangun kepercayaan. Email, DM Eksekutif, staf keuangan
Whaling Menargetkan level C-suite untuk curi data strategis atau otorisasi dana besar. Email, dokumen palsu CEO, CFO, Direktur
Smishing Pesan teks palsu dengan link berbahaya atau file malware tersembunyi. SMS, WhatsApp Nasabah, pembeli online
Vishing Telepon palsu dari “petugas resmi” yang meminta OTP atau data rekening. Telepon Nasabah, pengguna awam
Clone Phishing Email duplikat dari pengirim sah, berisi link/lampiran yang telah dimodifikasi. Email Pengguna korporat
Angler Phishing Akun CS palsu di media sosial membalas keluhan pengguna dan kirim link jebakan. Media sosial Pelanggan brand besar
Search Engine Phishing Situs palsu muncul di hasil pencarian karena manipulasi SEO ilegal. Google Search, iklan palsu Pencari layanan/informasi
Pharming Manipulasi DNS agar korban diarahkan ke situs palsu meski alamat diketik benar. DNS, jaringan lokal Semua pengguna internet
HTTPS Phishing Situs palsu menggunakan HTTPS untuk menciptakan rasa aman palsu. Website Semua pengguna internet
MitM Attack Pelaku menyusup di antara koneksi untuk mencuri data saat komunikasi berlangsung. Wi-Fi publik, jaringan tidak aman Pekerja remote, pengguna umum
QRishing QR palsu arahkan ke situs phising atau malware saat dipindai. QR fisik & digital Pengguna e-wallet, publik umum

Baca juga: Apa Itu Cyber Crime? Pelajari Pengertian dan Cara Mencegahnya!

Cara Umum dalam Serangan Phising

Serangan phising umumnya mengikuti lima pola tahap, dimulai dari riset hingga penyalahgunaan data. Memahami setiap langkah ini akan membantu Anda mengenali tanda-tanda phising lebih dini dan mencegah kerugian.

1. Pelaku Mengumpulkan Data Target (Pengintaian)

Pada tahap ini, pelaku mencari informasi dasar atau spesifik tentang calon korban. Untuk serangan massal, cukup tahu bahwa korban adalah pengguna bank atau marketplace populer. Untuk serangan tertarget seperti spear phishing, pelaku menelusuri profil LinkedIn, struktur jabatan, atau unggahan di media sosial. Contohnya pelaku mengetahui seorang karyawan baru di bagian keuangan perusahaan sering mengunggah aktivitas kantornya di Instagram dan mencantumkan nama perusahaannya.

2. Pelaku Menyiapkan Umpan yang Meyakinkan (Pembuatan Umpan)

Dengan informasi yang didapat, pelaku membuat umpan yang tampak sah. Bisa berupa email berpemilik logo resmi, situs login palsu, atau file malware (.pdf, .apk) yang dikemas seolah dokumen penting dari atasan. Seperti pelaku mengirim email kepada korban yang menyerupai email dari HRD perusahaan, berisi “formulir cuti digital” yang ternyata file berbahaya.

3. Umpan Dikirim Lewat Berbagai Saluran (Pengiriman)

Umpan disebar melalui media yang paling sesuai dengan target: email (klasik), SMS/WhatsApp (smishing), telepon (vishing), media sosial (angler phishing), hingga QR code fisik/digital (QRishing). Contohnya korban menerima SMS dari “kurir ekspedisi” berisi link pelacakan paket. Saat di klik, muncul halaman palsu yang meminta login akun e-commerce.

4. Korban Tertipu dan Memberi Akses (Eksploitasi)

Korban yang terpengaruh rasa panik, takut, atau tergiur janji hadiah akan mengklik tautan, membuka file, atau mengisi data di situs palsu tanpa menyadari jebakan.Seperti korban membuka email dari “Bank Indonesia” yang mengklaim akunnya dibekukan. Ia mengklik tautan dan memasukkan data rekening karena takut.

5. Pelaku Mencuri dan Menyalahgunakan Data (Pengumpulan & Aksi)

Setelah mendapatkan data sensitif seperti password, nomor kartu kredit, atau OTP, pelaku langsung memanfaatkannya. Akses bisa digunakan untuk transaksi ilegal, mengajukan pinjaman online, atau dijual ke pihak lain. Contohnya setelah mencuri login akun e-wallet korban, pelaku menguras saldo dan mengubah email serta nomor ponsel agar korban tidak bisa mengakses kembali akunnya.

Baca Juga: Apa Itu Kebocoran Data? Penyebab dan Cara Mengatasinya

Ciri-Ciri Email dan Situs Phising yang Harus Dikenali

Meski makin canggih, phising masih meninggalkan jejak yang bisa dikenali. Berikut tanda umum yang wajib diwaspadai:

  • Alamat email tidak resmi: Waspadai domain mencurigakan seperti @gmail.com atau domain mirip (misal: @mekarisign.co alih-alih @mekarisign.com).
  • Bahasa memaksa dan mengancam: Kalimat seperti โ€œAkun Anda akan diblokirโ€ atau โ€œSegera verifikasi!โ€ bertujuan memicu kepanikan agar korban langsung mengikuti instruksi.
  • Tautan mencurigakan: Selalu arahkan kursor ke link sebelum klik. Jika URL tujuan berbeda dari teksnya atau terlihat aneh, abaikan.
  • Tata bahasa buruk dan typo: Email resmi biasanya bebas dari kesalahan ketik. Banyak typo bisa jadi sinyal kuat phising.
  • Meminta data sensitif: Institusi terpercaya tidak pernah meminta PIN, OTP, atau password lewat email, SMS, atau telepon.
  • HTTPS bukan jaminan aman: Banyak situs phising kini menggunakan HTTPS dan ikon gembok. Jangan hanya lihat simbol periksa nama domain dengan cermat.

Contoh Nyata Serangan Phising di Indonesia

Modus phising di Indonesia terus berkembang, sering kali disesuaikan dengan kebiasaan digital masyarakat. Berikut beberapa kasus yang paling menonjol:

1. Serangan Phishing Lewat File .APK di WhatsApp

Waspada Modus Penipuan File APK: Berkedok Tukang Paket, Undangan Pernikahan, sampai Tagihan BPJS

Sumber Gambar: Sarolangunkab.go.id

Salah satu modus phishing yang paling sering muncul di Indonesia adalah penyebaran file APK berbahaya melalui WhatsApp. Pelaku mengirimkan pesan dengan file bernama “Resi J&T”, โ€œUndangan Pernikahanโ€, โ€œSurat Tilangโ€, atau โ€œInvoice Tagihanโ€ yang memancing rasa penasaran korban.

Begitu file diunduh dan diinstal, aplikasi akan meminta izin akses ke SMS, kontak, dan notifikasi. Izin ini lalu dimanfaatkan untuk mencuri kode OTP dari layanan perbankan, akses ke akun digital, dan bahkan kontrol perangkat secara jarak jauh.

Modus ini menyasar pengguna Android yang belum mengaktifkan perlindungan instalasi dari sumber tak dikenal.

2. Penipuan QRIS Palsu di Tempat Publik

RRI.co.id - Waspada Penipuan QRIS Palsu, Cek Identitas Penerima

Sumber Gambar: RRI.co.id

QRIS palsu menjadi modus phishing fisik yang kini marak terjadi di ruang publik. Pelaku mencetak stiker QRIS palsu dan menempelkannya di atas QRIS resmi milik toko, masjid, warung, hingga area parkir.

Saat korban melakukan pembayaran tanpa memeriksa nama penerima atau merchant detail, uang akan langsung masuk ke rekening penipu. Banyak korban tidak menyadari karena transaksi tetap โ€œberhasilโ€ secara teknis, padahal dana tidak masuk ke penerima yang sah. Modus ini memanfaatkan kelalaian pengguna yang tidak mengecek rincian penerima saat memindai kode QR.

3. Akun Customer Service Palsu di Media Sosial

Marak Akun Palsu Layanan Konsumen Bank, Ini Cara Membedakannya dengan yang Asli

Sumber Gambar: Kompas Money

Serangan ini menargetkan pengguna yang sedang komplain di media sosial seperti X (Twitter) atau Instagram. Pelaku membuat akun palsu yang menyerupai layanan pelanggan resmi, lalu membalas keluhan pengguna di kolom komentar atau melalui pesan langsung (DM).

Setelah terjalin komunikasi, korban diarahkan ke tautan phishing, biasanya berupa Google Form atau halaman login palsu. Formulir tersebut meminta data sensitif seperti nomor rekening, PIN, atau kode verifikasi.

4. Modus Bantuan Sosial Palsu via SMS atau WhatsApp

Hati-Hati Link Cek Bansos Palsu Marak Beredar! Ambil Data Pribadi hingga Sadap Media Sosial - Poskota

Sumber Gambar: Poskota

Phishing berbasis sosial ini menyasar masyarakat dengan pesan yang mengatasnamakan kementerian atau lembaga pemerintah. Pelaku mengirim SMS atau WhatsApp berisi informasi palsu tentang pencairan bantuan tunai, seperti bansos Rp2.500.000 dan lainnya.

Pesan tersebut menyertakan tautan yang tampak seperti situs resmi, padahal merupakan situs tiruan (fake landing page). Setelah diklik, korban diminta memasukkan data pribadi seperti NIK, nomor KK, dan nomor rekening. Modus ini berbahaya karena menyasar masyarakat umum dengan daya kritis digital yang masih rendah, terutama di daerah non-perkotaan.

Baca juga: Apa Itu Scam? Modus dan Cara Menghindarinya

Cara Efektif Mencegah Phising

Berikut langkah-langkah pencegahan yang bisa diterapkan baik secara individu maupun di tingkat perusahaan.

Individu

Langkah pertama di mulai dari diri sendiri. Dengan meningkatkan kewaspadaan dan kebiasaan digital yang aman, Anda bisa meminimalkan risiko jadi korban phising.

  • Verifikasi Sebelum Bertindak: Jangan langsung klik link atau unduh lampiran dari pesan mencurigakan. Hubungi pengirim lewat saluran resmi.
  • Cek URL Secara Manual: Pastikan domain benar dan tidak salah eja. Hindari link pendek atau mencurigakan, terutama dari pesan instan.
  • Aktifkan Autentikasi Dua Faktor (2FA): Terapkan 2FA di akun penting untuk mencegah akses ilegal, bahkan jika kata sandi bocor.
  • Jaga Kerahasiaan Data: Jangan pernah bagikan PIN, password, atau OTP. Bank dan lembaga resmi tidak akan memintanya.
  • Selalu Perbarui Perangkat Lunak: Update sistem, browser, dan antivirus untuk menutup celah keamanan.
  • Periksa Link Sebelum Klik
    • Desktop: Arahkan kursor ke link, lihat URL di pojok bawah browser.
    • Mobile: Tekan dan tahan link untuk menampilkan URL sebelum dibuka.

Perusahaan

Sebuah perusahaan perlu membangun sistem pertahanan siber yang kokoh dan melibatkan seluruh lapisan tim. Berikut strategi penting yang wajib diterapkan:

  • Latih Karyawan Mengenali Phising: Adakan pelatihan dan simulasi phising secara berkala agar karyawan waspada dan bisa melapor cepat.
  • Gunakan Email Security Gateway: Terapkan filter anti-phising dan anti-spam untuk menyaring email berbahaya sebelum masuk ke inbox.
  • Terapkan 2FA & Kebijakan Sandi Kuat: Gunakan password kompleks dan aktifkan 2FA di seluruh sistem, terutama akun sensitif.
  • Pasang Firewall & Monitor Jaringan: Blokir akses ke situs mencurigakan dan awasi lalu lintas data abnormal di jaringan internal.

Phising bukan sekadar serangan teknis, tapi strategi manipulatif yang mengeksploitasi kelengahan manusia. Solusi efektif tidak cukup hanya mengandalkan teknologi, tetapi juga harus dibarengi dengan literasi keamanan yang kuat di semua level organisasi. Edukasi, verifikasi, dan autentikasi berlapis adalah kunci untuk mencegah kerugian yang sering kali tak terlihat sebelum terlambat.

Mekari Sign reviewer
BintangMekari Sign Bintang Mahesaputra Wanda Reviewer
Senior Infosec & Compliance Officer di Mekari

Baca Juga: Apa Itu Social Engineering? Kejahatan Online yang Wajib Anda Ketahui!

Bagaimana Jika Sudah Terkena Phising?

Jika Anda menyadari telah mengklik link phising atau membagikan data sensitif, segera lakukan langkah-langkah berikut untuk meminimalkan risiko:

  • Putuskan koneksi internet: Segera matikan Wi-Fi dan data seluler untuk menghentikan akses pelaku ke perangkat Anda.
  • Ganti semua kata sandi penting: Gunakan perangkat lain yang aman. Ubah password akun email, mobile banking, dan media sosial dengan kombinasi yang kuat dan unik.
  • Aktifkan autentikasi dua faktor (2FA): Tambahkan lapisan perlindungan ekstra di akun penting agar pelaku tidak mudah masuk meski sudah memiliki sandi Anda.
  • Laporkan ke pihak terkait: Hubungi bank, penyedia email, atau platform lain untuk memblokir akses dan memulihkan keamanan akun.
  • Pindai perangkat dengan antivirus: Jalankan pemindaian penuh untuk menghapus malware, keylogger, atau trojan yang mungkin ikut terinstal.
  • Pantau aktivitas akun secara berkala: Periksa riwayat transaksi dan login. Jika ada aktivitas mencurigakan, segera laporkan ke pihak yang berwenang.

Baca juga: Apa Itu Kebocoran Data? Penyebab dan Cara Mengatasinya

Itulah pembahasan lengkap mengenai phising dari Mekari Sign, mulai dari jenis serangan, cara kerja pelaku, hingga langkah pencegahan yang efektif. Di era serba digital, menjaga keamanan data pribadi dan transaksi bisnis bukan lagi pilihan, melainkan kewajiban.

Lindungi proses bisnis Anda dengan solusi tanda tangan elektronik yang legal dan aman untuk mencegah penyalahgunaan dokumen. Untuk panduan lebih lanjut seputar keamanan digital, dokumen legal, dan teknologi tanda tangan elektronik, kunjungi blog Mekari Sign.

Jangan Biarkan Phising Merusak Bisnis Anda. Amankan dengan Tanda Tangan Digital Terpercaya dari Mekari Sign

Coba Sekarang
CTA Banner Tanda Tangan Digital
Fadillah Rafli Anwari Author

Experience in digital and economic journalism, Rafli is currently part of the content marketing team at Mekari Sign. His articles explore the intersection of business law, digital documentation, and e-signature technology to help professionals stay compliant and efficient.

Bintang Mahesaputra Wanda
Bintang Mahesaputra Wanda Mekari Qontak Bintang Mahesaputra Wanda Reviewer

A dedicated Infosec & Compliance Senior Officer with a strong emphasis on corporate governance and regulatory compliance. Experienced in developing and implementing governance frameworks, establishing clear compliance structures, and ensuring adherence to international standards and regulatory requirements such as ISO/IEC 27001, ISO/IEC 27701, NIST, and GDPR.

Artikel terkait

Lihat lainnya โ†’
WhatsApp WhatsApp Sales