Menuju konten utama

Phishing, Penipuan yang Mengancam Semua Akun Digital

Phishing merupakan kejahatan maya untuk memperdaya korban memberikan informasi pribadi.

Phishing, Penipuan yang Mengancam Semua Akun Digital
ilustrasi phishing. FOTO/iStockphoto

tirto.id - Amirah, karyawan swasta asal Jakarta, memperoleh pesan singkat dari Go-Jek. Isinya: “Don’t share this with anyone (not even Go-Jek). Your verification code for account login: 11234.” Padahal, dalam ingatannya, ia tidak sedang meminta kode verifikasi baru untuk akun di aplikasi ride-sharing itu. Tak berselang lama, seseorang yang mengatasnamakan Go-Jek menghubunginya, meminta Aminah memberi tahu kode verifikasi tersebut agar akunnya tidak terblokir.

Merasa tak curiga, Aminah memberikan kode itu. Tindakan yang kemudian disesali karena saldo Go-Pay, dompet digital yang terhubung dalam akun Go-Jek, miliknya terkuras.

Go-Jek, seperti yang tertulis dalam pesan singkat yang diterima Aminah, tidak pernah meminta kode sensitif dari para penggunanya. Aminah terkena phishing, yang sebagaimana diungkap Anti-Phishing Working Group (APWG), merupakan kejahatan maya untuk mengambil informasi sensitif seseorang, mulai dari username, password, hingga nomor kartu kredit.

Phishing merupakan salah satu kejahatan maya paling populer. Pada 2015, dalam sebuah publikasinya, Wired menyebutkan bahwa 91 persen serangan maya apapun, dimulai melalui phishing, dengan menjebak korbannya melalui e-mail ataupun situsweb palsu. Atas apa yang diperbuat phishing, dunia mengalami kerugian antara $61 juta hingga $3 miliar per tahun.

Hampir setiap pengguna aplikasi populer, terkena serangan phishing dengan mengatasnamakan si aplikasi untuk memperoleh data pribadi. Pada akhir 2018, pengguna Apple mengalaminya. Melalui invoice atau faktur tagihan digital berekstensi .PDF yang dikirim melalui e-mail yang telah digubah sedemikian rupa agar menyerupai e-mail asli dari Apple, banyak pengguna terperdaya. Mereka memberikan data-data mereka via situsweb Apple palsu yang diakses dari link yang disertakan dalam file .PDF.

Pada 2011, kasus lebih heboh terkait phishing terjadi. Saat itu, 530 dari 5.000 pekerja Oak Ridge National Laboratory di Amerika Serikat diserang e-mail phishing, yang seolah-olah berasal dari bagian HRD lembaga itu. Melalui link yang disertakan, 50 penerima e-mail terperdaya dan malware merasuk ke 50 komputer itu. Karena menggunakan jaringan yang sama, malware bisa menguasai keseluruhan sistem di lembaga itu.

Secara teknik, phishing setidaknya menggunakan dua teknik untuk memperdaya korban. Pertama dengan menautkan virus atau malware dalam e-mail yang dikirim. Pada 2016, phishing berupa e-mail yang menyasar korban-korbannya, 8,89 persen melampirkan Trojan-Downloader.JS.Agent.

Teknik kedua, phishing berupa e-mail akan berisi tautan menuju situsweb asli tapi palsu sebuah lembaga atau perusahaan.

Dalam paper berjudul “The State of Phishing Attacks” yang ditulis Jason Hong, ada tiga tahap phishing bekerja. Yang pertama adalah calon korban yang menerima “umpan”; yang kedua adalah korban mengambil tindakan yang disarankan dalam pesan umpan itu, biasanya pergi ke situsweb palsu atau memasang malware secara tak sadar atau membalas pesan dengan menyertakan informasi sensitif; dan yang ketiga adalah pelaku memonetisasi informasi yang dicuri.

Infografik Phishing

undefined

Mengapa Korban Tertipu Phishing?

Dalam “The State of Phishing Attacks,” salah satu kekuatan phishing kerap sukses memperdaya korbannya ialah penggunaan teknik rekayasa sosial. Rekayasa sosial, dalam paper berjudul “Methods of Hacking: Social Engineering” yang ditulis Rick Nelson, mengacu pada manipulasi psikologis untuk memperdaya korbannya agar membocorkan informasi.

Umumnya, rekayasa sosial yang digunakan dalam melancarkan serangan bertipe urgensi. Dalam kasus Amirah, ia diperdaya dengan peringatan bahwa akunnya akan diblokir jika kode verifikasi tidak diberikan. Dalam kasus Apple, seperti yang saya alami sendiri, pelaku phishing mengirimkan e-mail berjudul “Struk pembelian dari Apple Nomor December : 9473481775 Nomor Pemesanan #9D7J2RP”, yang mengindikasikan saya telah melakukan pembelian konten di Apple.

E-mail itu dikirim untuk membuat calon korban was-was, karena merasa tidak membeli konten di Apple, dan diperdaya membuka dokumen yang ditautkan dan selanjutnya mengklik link yang disertakan.

“Jika Anda memperoleh e-mail dari Apple yang menyatakan Anda telah membeli sesuatu, Anda akan berpikir bahwa akun Apple telah diretas, dan hal ini memotivasi Anda untuk menjalankan perintah di e-mail itu,” tulis Brian Barrett pada Wired.

Phishing umumnya menyerang ketidakjelian korbannya. Di e-mail phishing yang mengatasnamakan Apple, misalnya. E-mail tertulis dari “noreply@Apple.com. Namun, jika lebih jeli, e-mail dikirimkan oleh “noreplyperingatapentinguntukanda-363165684971@canceler-apps-no-8715.com”

Rachna Dhamija, dalam paper berjudul “Why Phishing Works” menyatakan bahwa dalam penelitiannya terhadap 22 orang partisipan, seperempatnya tidak jeli melihat phishing.

Untuk menghindari hal ini, ada baiknya kita sebagai konsumen tidak sembarangan membuka link yang dikirimkan ke e-mail. Jangan pula sembarangan memberikan kode atau sandi rahasia yang terkait dengan akun-akun Anda. Jika Anda tidak merasa melakukan transaksi atau mengubah password, abaikan e-mail yang meminta Anda melakukan hal itu. Bisa jadi itu phishing yang akan merugikan Anda di kemudian hari.

Baca juga artikel terkait PENIPUAN atau tulisan lainnya dari Ahmad Zaenudin

tirto.id - Teknologi
Penulis: Ahmad Zaenudin
Editor: Ahmad Zaenudin