Teknik penipuan social engineering atau rekayasa sosial yang paling sering terjadi ialah phishing. Phishing bertujuan untuk mencuri data-data pengguna, seperti username, password, nomor kartu kredit, dan lainnya.
Istilah phishing berasal dari kata fishing atau memancing. Mengapa demikian? Karena dalam melancarkan aksinya, pelakunya memancing calon korban agar mengklik link tertentu, mengunduh malware, atau memberikan datanya secara sukarela, tanpa menyadari bahaya di baliknya.
Dosen Fakultas Ilmu Komputer Universitas Brawijaya Fariz Andri Bakhtiar mengatakan, modus yang sering dipakai oleh pelaku phishing ialah melalui pemasangan tautan/link di situs web, media sosial, atau email, yang memancing agar diklik oleh calon korban. Korban yang mengklik link tersebut bisa jadi akan diarahkan untuk mengunduh bahkan menginstal malware di perangkatnya.
“Secara umum, serangan phishing disebarkan secara publik dengan harapan menjaring sebanyak mungkin korban,” katanya.
Beberapa jenis phishing yang sering terjadi ialah:
1. Email Phishing
Sebagian besar phishing dilakukan dengan mengirim email. Pelaku menggunakan domain palsu atau meniru domain dari institusi resmi.
Mereka membuat header email juga web yang sangat mirip dengan domain asli. Mereka menggunakan desain, URL, bahkan font yang mirip dengan institusi resmi. Domain yang dipakai biasanya mengganti karakter untuk mengelabuhi calon korban. Misalnya memakai huruf ‘r’ dan ‘n’ (rn) untuk mengganti huruf ‘m’.
Kita sering tidak sadar saat ada perbedaan satu atau dua karakter pada alamat domain. Jika menerima tautan dari email dengan domain yang mencurigakan, bisa dengan menyalin alamat email dan domain ke Microsoft Words atau sejenisnya. Lalu ubah dengan menggunakan font lain atau gunakan caps lock sehingga semua menggunakan huruf besar. Dengan begitu akan terlihat jika ada perbedaan karakternya.
2. Spear Phishing
Ada pula spear phishing, di mana penipuan dikhususkan pada target yang spesifik, dengan cara dikirimkan kepada personel tertentu.
Spear phishing dapat dikirimkan melalui email yang dibuat seolah berasal dari penyedia layanan yang dilanggan oleh korban, semacam ini:
“Pelanggan Yth., layanan kami akan menjalani pemeliharaan rutin mulai pekan depan. Untuk menjamin bahwa akun Anda akan dapat digunakan kembali setelah pemeliharaan berakhir, silakan masukkan username dan password akun Anda pada kolom berikut”.
Penipuan ini memakan banyak korban karena bahasa yang digunakan bersifat personal. Hal itu bisa dilakukan karena biasanya pelaku sudah mengetahui sebagian informasi targetnya, misalnya nama, pekerjaan, alamat email, atau jabatannya.
3. CEO Fraud/Whaling
Pelaku mengatasnamakan pimpinan sebuah perusahaan atau institusi kemudian menyebar email kepada bawahannya. Email itu bisa berisi permintaan agar karyawan mengirim data atau meminta untuk mentransfer sejumlah dana ke rekening tertentu.
Pastikan nama dan alamat email pengirim. Jika tidak sesuai dengan kontak atasan atau kolega yang dimaksud email itu, pastikan kepada yang bersangkutan terlebih dahulu. Jangan langsung mentransfer dana tanpa melakukan konfirmasi sebelumnya.
4. Smishing and Vishing
Smishing menggunakan SMS atau pesan teks, isinya hampir sama dengan serangan lewat email. Sementara serangan vishing dilancarkan lewat percakapan telepon. Penelepon berpura-pura dari perusahaan atau instansi resmi memberitahukan adanya perubahan sistem atau telah terjadi upaya pembobolan rekening. Pelaku kemudian meminta korban untuk memberikan data-data pribadi untuk verifikasi atau meminta transfer sejumlah uang ke rekeningnya.
5. Angler phishing
Serangan phishing tipe ini dilakukan melalui media sosial. Pelaku menyadari bahwa orang dengan suka rela membagikan berbagai hal di media sosial. Demikian pula dengan perusahaan yang menggunakan media sosial untuk berkomunikasi dengan pengguna atau pelanggannya. Hal inilah yang dimanfaatkan oleh pelaku.
Contoh yang paling banyak digunakan ialah, pelaku membuat akun media sosial yang mirip dengan akun resmi sebuah perusahaan atau institusi. Ketika seorang pengguna media sosial menyebut sebuah merk atau perusahaan atau institusi, bisa terkait keluhan, pertanyaan atau lainnya, akun palsu itu akan merespons seolah-olah ingin memberi solusi atau bantuan. Biasanya mereka akan menyertakan link palsu yang berisi situs web yang sudah dikloning, atau untuk mengunduh malware.
Jangan terkecoh, periksa betul nama akun, periksa isinya, dan jangan segan melaporkan akun palsu itu.
Pengingat penting
Agar tidak menjadi korban phishing, tips menghadapi social engineering yang sudah dibahas sebelumnya tetap bisa diterapkan. Ada beberapa catatan penting yang perlu diingat terkait phishing ini:
- Jangan memberi respons apapun terhadap spam. Semakin direspons, akan semakin banyak spam yang akan diterima.
- Instal antispam dan antimalware pada perangkat.
- Password manager akan membantu menyimpan login credentials.
- Selalu periksa pengirim email. Email resmi hanya akan menggunakan alamat email resmi pula.
- Periksa tautan sebelum mengkliknya. Pastikan link diawali dengan https:// bukan http://.
- Jika sudah terlanjut mengklik tautan atau membagikan informasi ke tautan yang tidak aman, jangan panik. Segera ganti password. Jika terkait dengan informasi perbankan, hubungi bank segera.
- Gunakan Multi-Factor Authentication (MFA), yaitu penggunaan beberapa (dua atau tiga) metode autentikasi sekaligus sebagai pertahanan berlapis. Contohnya password + verifikasi sidik jari + OTP. Aplikasi authenticator merupakan praktik terbaik pengamanan akun yang cukup sulit ditembus oleh pelaku kriminal. Jika memungkinkan, sebaiknya hindari penggunaan OTP melalui SMS, karena relatif kurang aman.
- Ganti password dan PIN secara berkala.
Secanggih apapun sistem yang dibangun, aksi penipuan akan terus muncul dengan bentuknya terbarunya. Kemampuan mendeteksi dan merespons penipuan seperti ini justru sangat efektif mencegah jatuhnya korban.
1 thoughts on “Kenali Jenis-Jenis Phishing yang Sering Terjadi”
Pingback: Modus Penipuan Perbankan Lewat WhatsApp, Jangan Terkecoh! -