Phishing berdiri sebagai salah satu taktik kejahatan dunia maya yang paling banyak digunakan saat ini. Phishing bisa sangat mudah dilakukan dan dapat mengakibatkan infeksi perangkat dan pencurian data yang sangat sensitif. Terlebih lagi, hampir semua orang berisiko menjadi korban serangan phishing. Tapi apa sebenarnya itu? Bagaimana cara kerja phishing? Dan bisakah Anda menghindarinya?
Sejarah Phishing
Tindakan phishing dapat ditelusuri kembali ke pertengahan 1990-an ketika komputer terlihat dan bekerja sangat berbeda dari yang kita gunakan saat ini. Selama ini, AOL (Amerika Daring), layanan dial-up Amerika yang populer, adalah penyedia internet pilihan bagi banyak orang. Ini menjadikannya target utama phisher, yang memilih untuk menyamar sebagai staf AOL untuk mencuri informasi masuk yang berharga dari para korban.
Lima tahun kemudian, lebih dari 50 juta komputer terinfeksi sesuatu yang dikenal sebagai Bug Cinta. Ini adalah virus yang menyebar antar perangkat melalui rekayasa sosial. Seperti namanya, siasat ini mengandalkan iming-iming cinta untuk menipu korbannya. Target akan menerima email dengan lampiran yang diklaim pengirim sebagai surat cinta. Orang-orang yang penasaran memilih untuk membuka lampiran ini tetapi tidak menyadari bahwa mereka membuka jalan untuk penipuan yang berbahaya.
Virus Love Bug akan mereplikasi dirinya sendiri untuk menyebar, menjadikannya a jenis worm komputer. Itu juga merupakan versi akselerasi dari bug sebelumnya yang dibuat oleh pelaku, yang mampu mencuri kata sandi. Versi baru virus ini dapat menggunakan skrip Visual Basic di Outlook sebagai titik masuk, yang kemudian mengizinkan operator untuk meretas akun email korban dan mengirim email phishing ke semua orang di dalam alamat mereka daftar.
Cara di mana metode phishing dapat diputar untuk mempermainkan emosi seseorang adalah yang sering membuatnya begitu sukses. Virus Love Bug memangsa kesepian, sedangkan phisher lain menggunakan rasa urgensi dalam komunikasi mereka untuk menakut-nakuti korban agar patuh. Jadi, mari kita bahas bagaimana serangan ini bekerja secara mendetail.
Bagaimana Cara Kerja Phishing?
Untuk lebih memahami cara kerja phishing, mari kita lihat contoh tipikal phishing, yang dikenal sebagai phishing kredensial. Usaha jahat ini berupaya mencuri kredensial login dari pengguna untuk meretas akun. Ini dapat dilakukan untuk menyebarkan pesan phishing lebih lanjut, mencuri data, atau sekadar mengutak-atik profil seseorang. Beberapa orang akun media sosialnya diretas tanpa alasan lain selain memposting bahasa yang tidak pantas atau penuh kebencian.
Katakanlah Alice menerima email dari Walmart yang menyatakan bahwa ada aktivitas mencurigakan yang tercatat di akun belanja online-nya. Email tersebut juga akan meminta dia masuk ke akunnya melalui tautan yang disediakan sehingga dia dapat memeriksa masalah tersebut atau memverifikasi identitasnya.
Sepertinya Alice akan merasa gugup atau takut melihat ini, dan tentu saja akan khawatir seseorang telah menyusupi akunnya. Kekhawatiran ini dapat mendorong Alice untuk memenuhi permintaan email tersebut sehingga dia dapat menyelesaikan masalah tersebut secepat mungkin. Ketakutan inilah yang sangat ditakuti oleh phisher. Mereka bahkan mungkin menyatakan bahwa akun tersebut terancam, atau dapat ditutup jika Alice tidak mengambil tindakan.
Jadi, dengan asumsi dia sedang melakukan prosedur korektif, Alice mengklik tautan yang disediakan, yang membawanya ke halaman login Walmart. Kemudian dia memasukkan kredensial masuknya untuk masuk. Pada titik ini, sudah terlambat.
Akibat Phishing
Yang tidak diketahui Alice adalah bahwa ini bukan halaman login Walmart yang sah. Sebaliknya, itu adalah situs web berbahaya dirancang untuk mencuri datanya.
Saat dia memasukkan kredensial loginnya di halaman ini, penyerang yang mengendalikannya dapat mencegat dan mencurinya. Dari sini, penyerang dapat langsung meretas akun Walmart Alice untuk melakukan pembelian tidak sah, atau bahkan mungkin menggunakan informasi pribadi lainnya di akun Alice, seperti alamat email atau alamat rumah, untuk memanfaatkannya lebih jauh.
Penyerang kadang-kadang akan mengubah kata sandi akun yang disusupi setelah masuk sehingga mereka dapat mengunci korban saat mereka melakukan penipuan.
Alternatifnya, phisher dapat mengambil informasi pribadi apa pun yang telah mereka kumpulkan dan menjualnya di pasar gelap. Ada gerombolan pasar bawah tanah yang berbeda di web gelap, di mana seseorang dapat membeli apa saja mulai dari senjata hingga detail kartu kredit seseorang. Data sensitif sangat berharga di situs-situs ini, dengan nomor jaminan sosial, kata sandi, dan bahkan paspor terdaftar untuk dijual.
Aktor jahat dapat menghasilkan ribuan atau bahkan jutaan dolar melalui penjualan data ilegal di web gelap, jadi tidak mengherankan jika banyak yang melakukan apa yang mereka bisa untuk mendapatkannya.
Peniruan identitas adalah elemen kunci dari phishing. Tentu saja, seorang penyerang tidak akan langsung memberi tahu Anda bahwa mereka adalah seorang penyerang. Jika ini masalahnya, tingkat keberhasilan mereka akan sangat rendah. Sebaliknya, pelaku jahat akan berpura-pura menjadi entitas resmi, seperti pengecer, outlet media sosial, atau badan pemerintah. Suasana legitimasi ini menambah dugaan kredibilitas penyerang dan memberi target rasa kepercayaan palsu.
Meskipun beberapa serangan phishing dapat dilakukan hanya dalam beberapa menit atau detik, beberapa membutuhkan waktu berhari-hari atau berminggu-minggu untuk menyelesaikannya. Jika penyerang perlu mengembangkan kepercayaan yang lebih besar dengan target untuk memikat mereka agar membocorkan informasi yang sangat sensitif. Misalnya, penyerang dapat berpura-pura menjadi kolega di perusahaan besar yang membutuhkan informasi target untuk memverifikasi sesuatu, memulihkan akun, atau sejenisnya.
Seiring waktu, phisher akan membangun suasana profesionalisme yang membutakan korban terhadap apa yang sebenarnya terjadi. Mereka mungkin bertukar banyak email, di mana penjagaan korban semakin berkurang. Pergeseran bertahap dari waspada ke bersedia inilah yang coba dipalsukan oleh para phisher dalam target mereka.
Dan phishing juga bisa digunakan untuk menyebarkan malware. Ini bisa apa saja mulai dari spyware yang sulit dipahami hingga ransomware yang sangat berbahaya. Jadi, phishing dapat memengaruhi perangkat dan pemiliknya dalam berbagai cara.
Meskipun mungkin mudah untuk berasumsi bahwa Anda tidak akan pernah tertipu oleh serangan phishing, penipuan ini menjadi semakin canggih dari tahun ke tahun. Halaman phishing sekarang dapat terlihat identik dengan situs yang mereka tipu, dan penyerang mahir menulis email mereka dengan cara yang meyakinkan namun profesional.
Jadi, apa yang dapat Anda lakukan untuk menghindari phishing?
Cara Menghindari Phishing
Phishing paling sering terjadi melalui email, meskipun dapat dilakukan melalui segala jenis layanan perpesanan. Karena alamat email tidak dapat direplikasi, phisher kemungkinan akan membuat alamat email yang hampir sama dengan alamat resmi. Inilah sebabnya mengapa penting untuk memeriksa alamat pengirim untuk ejaan yang tidak biasa atau kesalahan lainnya.
Selain itu, Anda perlu berhati-hati terhadap tautan apa pun yang diberikan kepada Anda melalui email, terlepas dari seberapa besar Anda pikir Anda dapat mempercayai pengirimnya. Phisher terkadang akan meretas akun untuk mengirim email ke semua kontak yang tersedia. Orang lebih cenderung membuka tautan jika itu dari teman, anggota keluarga, atau individu tepercaya lainnya, yang juga berperan dalam keberhasilan serangan phishing.
Jadi, siapa pun yang mengirimi Anda tautan, Anda harus selalu memverifikasinya terlebih dahulu. Anda dapat melakukan ini menggunakan a situs web pengecekan tautan yang dapat menentukan apakah suatu tautan berbahaya atau aman. Anda juga dapat menggunakan pemeriksa domain untuk melihat apakah situs web itu sah. Misalnya, jika Anda telah menerima apa yang tampaknya merupakan tautan ke halaman login Instagram, tetapi domainnya baru berumur beberapa hari, Anda mungkin berurusan dengan penipuan.
Anda juga harus menggunakan fitur anti-spam penyedia email Anda untuk memfilter email jahat sehingga tidak masuk ke kotak masuk langsung Anda.
Penting juga untuk melengkapi perangkat Anda dengan keamanan tingkat tinggi untuk menangkal malware. Meskipun phishing dapat digunakan untuk menyebarkan berbagai jenis malware, sebagian besar dapat dihentikan melalui penggunaan perangkat lunak antivirus yang sah. Tidak ada yang mau membayar biaya untuk sesuatu yang hanya berjalan di latar belakang, tetapi itu bisa membuat perbedaan besar jika Anda pernah menjadi sasaran penyerang jahat.
Kesalahan ejaan dalam komunikasi juga bisa menjadi indikator penipuan lainnya. Entitas resmi akan sering memastikan bahwa pesan mereka ditulis dengan ejaan dan tata bahasa yang benar, sementara beberapa penjahat dunia maya mungkin sedikit ceroboh di sini.
Phishing Ada Di Mana-Mana Tapi Bisa Dihentikan
Phishing adalah masalah besar bagi kami. Serangan semacam ini membahayakan data dan perangkat kami, dan dapat menimbulkan konsekuensi yang mengerikan. Lihat tips di atas jika Anda ingin melindungi diri dari kejahatan dunia maya berbahaya ini, dan tetap waspada.
