tirto.id - Untuk menyamarkan situs phishing, hacker kini punya teknik baru, memanfaatkan Google Translate. Namun, modusnya masih seperti cara lama, mengandalkan layanan surat elektronik.
Melansir ZDNET, Kamis (7/2/2019), peretas mengirim email untuk memancing korban mengunjungi tautan yang disematkan. Tapi, alih-alih diarahkan ke situs phishing, mereka diminta "mampir" ke laman Google Translate.
Larry Cashdollar, Peneliti Keamanan Akamai yang mendapati modus tersebut, mengatakan bahwa cara ini cukup ampuh untuk menyembunyikan domain situs phishing. Sebab, URL digantikan tautan Google Translate, lantaran laman yang dituju telah diterjemahkan.
"Tapi yang paling penting secara visual adalah bahwa korban melihat domain Google yang sah," tulisnya di blog Akamai.
Selain itu, teknik ini cukup meyakinkan bila korban mengakses tautan "jebakan" melalui perangkat bergerak. Sebab, bilah "Tampilkan yang Asli" Google Translate di bagian atas tak terlihat. Situasi ini berbeda jika mengunjungi menggunakan desktop, yang tampak jelas bilah tersebut.
Mengatasnamakan Merek Populer
Masih menurut Cashdollar, ia menerima beberapa email, dengan beberapa modus tertentu. Tapi satu hal yang pasti, serangan phishing ini selalu mengatasnamakan brand populer dengan "ancaman" tertentu.
"Mengambil keuntungan dari nama merek terkenal adalah trik phising umum, biasanya berhasil jika korban tidak sadar," jelasnya.
Pada 7 Januari 2019, ia menerima email yang mengaku dari Google dan memperingatkan Cashdollar bahwa ia telah login di perangkat baru. Email tersebut lalu meminta verifikasi identitas sebagai bagian dari tindakan keamanan.
Cashdollar juga pernah menerima email yang mengaku dari tim keamanan Facebook juga dengan "ancaman" tak jauh berbeda.
"Mereka menggunakan rasa takut, keingintahuan, atau bahkan otoritas palsu untuk membuat korban mengambil tindakan," tambahnya.
Dalam kasus Cashdollar, ia menilai peretas memanfaatkan kombinasi antara rasa ingin tahu dan ketakutan. Kekhawatiran bahwa akunnya sedang terancam dan keingintahuan siapa yang melakukannya.
Mengenal Phishing
Phishing, menurut penjelasan laman DITSTI ITB, merupakan tindakan memperoleh informasi pribadi seperti identitas, kata sandi, dan data-data sensitif lainnya dengan menyamarkan sebagai orang atau organisasi berwenang melalui sebuah email.
Istilah phishing berasal dari kata Bahasa Inggris "fishing" yang bermakna "memancing", yakni memancing korban dengan "ancaman" tertentu, yang diyakinkan bakal terjadi bila tak melakukan apa yang diperintahkan.
Misalnya, "Jika Anda tidak merespons dalam waktu 48 jam, maka akun Anda akan ditutup." Pesan bernada "ancaman" ini mengandung beberapa frase yang sering dipakai di email phishing. Mereka yang menerima, biasanya langsung klik tautan tersemat tanpa berfikir.
Contoh lainnya, email phishing umumnya dikirim secara massal tanpa tersemat nama pertama atau terakhir penerima. Misalnya, "Pelanggan yang Terhormat." Selain itu, serangan ini juga meminta verifikasi identitas dengan mengelabui konsumen seolah-olah dari situs asli.
Cegah dan Lapor Serangan Phishing
Google sendiri memiliki situs khusus sebagai tempat pelaporan serangan phishing yang dapat diakses di tautan ini. Pengguna tinggal memasukkan alamat situs yang dimaksud, kemudian tuliskan diskripsi, lalu klik "Submit Report" untuk melaporkan.
Terkait pencegahan, seturut informasi laman Support Google, mesin pencari ini mengimbau agar pengguna berhati-hati saat menerima email dari laman yang meminta informasi pribadi. Jika pengguna ragu-ragu, konfirmasi terlebih dahulu situs tersebut sebelum melakukan langkah selanjutnya.
"Jangan berikan informasi yang diminta tanpa mengonfirmasi bahwa situs tersebut sah," tulis Google.
Google sendiri menekankan bahwa mereka tak pernah mengirim email yang meminta kata sandi atau informasi pribadi. Masih menurut Google, dalam serangan phishing, data-data yang biasanya diincar peretas antara lain sebagai berikut ini:
- Nama pengguna dan sandi
- Nomor Jaminan Sosial (sejenis nomor KTP)
- Nomor rekening bank
- PIN
- Nomor kartu kredit
- Nama ibu kandung
- Tanggal lahir
Editor: Ibnu Azis
