Apa itu Phising dan Bagaimana Cara Menghindarinya?

Oleh: Syamsul Dwi Maarif - 15 Maret 2021
Dibaca Normal 2 menit
Phising adalah kejahatan siber yang menggunakan metode penipuan dengan maksud mencuri akun korban.
tirto.id - Phising adalah kejahatan melalui dunia maya yang dilakukan untuk mencuri akun korban.

Sebagian besar kejahatan dunia maya dimulai dari phising. Penjahat siber biasanya menargetkan korban melalui email.

Kejahatan phising dapat dicegah dengan melakukan beberapa hal, seperti mengecek kebenaran data dengan perusahaan terkait atau menanyakan kepada ahli IT.

Pengertian Phising

Dikutip dari laman Binus, phising adalah suatu metode untuk melakukan penipuan dengan maksud mencuri akun target.

Istilah “phising” berasal dari kata “fishing” yang berarti “memancing”.

Penjahat siber memancing korban supaya terjebak dalam tipuan yang sedemikian rupa. Phising merupakan tindakan mencuri atau mengambil alih akun dengan maksud tertentu.

Phising secara sederhana dapat diartikan sebagai sebuah penipuan dengan memanfaatkan akun untuk menguak informasi sensitif korban. Aksi phising dirancang mirip dengan lembaga atau institusi resmi agar korban percaya dengan tipuan pelaku.


Ciri-ciri Phising

Phising masuk kategori kejahatan maya paling populer. Wired pada 2015 dalam publikasinya menyatakan bahwa hampir 91 persen serangan maya dimulai dari phising.

Korban dijebak melalui email atau situs palsu. Jumlah kerugian ditaksir mencapai 61 juta dolar AS hingga 3 miliar dolar AS per tahun karena phising.

Phising biasanya menyerang pengguna melalui aplikasi populer yang mengatasnamakan perusahaan untuk memperoleh data pribadi. Pengguna Apple pernah mendapatkan faktur tagihan berekstensi palsu dengan email yang mirip dari perusahaan. Phising ini mendapatkan data-data melalui web palsu dari file yang tersemat tautan "jahat".

Kejadian serupa terjadi pada tahun 2011. Pekerja Oak Ridge National Laboratory di Amerika Serikat, berjumlah 500 orang diserang phising. Mereka menerima email yang mengklaim dari HRD perusahaan. 50 karyawan terpedaya dengan tautan tersemat yang menyebabkan 50 komputer terinfeksi malware.

Phising sejauh ini diketahui menggunakan dua teknik. Pertama menggunakan malware yang disuntikkan ke dalam email. Salah satunya Trojan-Downloader.JS.Agent yang pada 2016 menyasar 8,89 persen korban.

Berikutnya, yakni dengan metode phising berupa email yang berisi tautan menuju web palsu sebuah lembaga atau perusahaan, yang secara kasat mata terlihat seolah-olah resmi.

Dikutip dari The State of Phishing Attacks oleh Jason Hong, phising bekerja dalam tiga tahap. Pertama, calon korban menerima “umpan”. Kedua, korban "memakan umpan" itu dan terjebak. Ketiga, pelaku memonetisasi informasi yang berhasil diperoleh.


Cara Menghindari Phising

Dikutip dari laman Patroli Siber, ada 10 teknik dasar supaya terhindar dari phising. Tindakan yang dapat dilakukan supaya terhindar dari phising ialah sebagai berikut:

1. Selalu periksa nama dan email yang digunakan

Jangan mudah percaya dengan email dari perusahaan terkenal. Periksa alamat email yang digunakan. Perusahaan resmi selalu menggunakan alamat email legitimate atas nama perusahaan. Misalnya Tirto.id menggunakan alamat email nama@tirto.id atau seturut domain web perusahaan.

2. Periksa link dan gambar yang ditampilkan, cek alternative text-nya

Saat mengarahkan kursor ke gambar atau teks yang mengandung tautan, alternative text akan terlihat yang berisi alamat yang akan diakses. Usahakan tidak mengklik jika tulisan atau gambar tidak sesuai.

3. Waspada nama plesetan

Perusahaan terkenal seperti Apple, Samsung, Twitter dan lainnya sering dijadikan plesetan pelaku phising. Cermati huruf, misalnya “Facebok”, semestinya “Facebook” (huruf “o” kurang 1). Jika terdapat perbedaan nama, bisa dipastikan itu phising.

4. Perhatikan sapaan yang digunakan

Email yang ditujukan kepada seseorang biasanya selalu mencantumkan nama yang dituju. Misalnya kepada Budi semestinya dalam email menyebut "Mas Budi" atau “Bapak Budi”. Jika sapaan bersifat umum, misalnya, “Anda” atau “kamu”, perlu cek dan ricek kebenarannya.

5. Baca seksama isi pesan, jika pengirim meminta informasi pribadi, abaikan

Perusahaan resmi tidak akan menanyakan informasi pribadi melalui email. Seperti nama lengkap, domisili, nomor rekening dan lainnya.

6. Menerima email urgen? Coba periksa lagi

Phising cenderung menggunakan kata bernada “gawat” atau “urgen” yang berkaitan dengan uang. Mereka menggunakan berbagai alasan untuk menarik rasa iba dari korban.

7. Periksa tanda tangan email

Perusahaan resmi selalu mencantumkan identitas perusahaan secara detail dan jelas. Jika tidak ditemukan nama, alamat, dan kontak perusahaan, sebaiknya jangan dipercaya.

8. Hati-hati dengan file yang dilampirkan

Phising akan memancing korban dengan berbagai tipuan. Korban akan tergiur dengan voucher diskon, free trial aplikasi atau video gratis, yang biasanya dilampirkan. Di dalam file gratisan itu biasanya terdapat malware.

9. Jangan percaya sepenuhnya

Usahakan untuk selalu meluangkan waktu guna mempelajari isi email. Jangan mudah menyimpulkan isi pesan.

10. Sudah menerapkan 9 poin di atas, tetapi masih ragu? Hubungi ahli IT

Jika ada teman atau saudara, atau di kantor ada ahli IT, sebaiknya berkomunikasi bila menjumpai email yang mencurigakan. Cara ini bisa dilakukan lebih awal tanpa mesti menerapkan 9 poin sebelumnya.


Baca juga artikel terkait PHISING atau tulisan menarik lainnya Syamsul Dwi Maarif
(tirto.id - Teknologi)

Kontributor: Syamsul Dwi Maarif
Penulis: Syamsul Dwi Maarif
Editor: Ibnu Azis
DarkLight