Waspada Pencurian Data Lewat Phising

Oleh: Ahmad Zaenudin - 23 April 2017
Dibaca Normal 3 menit
Phishing merupakan aksi penipuan yang memanfaatkan email untuk mengecoh ketelitian dan kewaspadaan masyarakat digital.
tirto.id - Baru-baru ini, saya mendapat email dari salah satu bank terkemuka di Indonesia. Jelas, saya tak bahagia atas email yang dikirimkan bank tersebut. Alih-alih memberitahu saya bahwa rekening atas nama saya bertambah jumlah saldonya, bank tersebut malahan mengirimkan pemberitahuan penting bahwa saya (dan nasabah bank tersebut lainnya) diminta untuk waspada terhadap email yang mengatasnamakan mereka.

Dalam infografik yang dilampirkan dalam email imbauan tersebut, nasabah diminta untuk memperhatikan alamat email pengirim dan waspada terhadap permintaan klik atau mengunduh file tertentu. Dalam dunia teknologi, apa yang dikhawatirkan bank terkemuka tersebut disebut sebagai phishing.

Secara sederhana, phishing didefinisikan sebagai penipuan yang memanfaatkan email untuk menguak informasi sensitif korban. Email phishing dirancang sedemikian rupa agar mirip dengan lembaga atau institusi tertentu yang dipercaya si korban. Tak ketinggalan, mereka menggunakan alamat email yang mirip-mirip dengan lembaga atau perusahaan tertentu. Email phishing yang dikirimkan, memiliki dua teknik untuk memperdaya korban agar “menyerahkan” informasi mereka. Pertama dengan menautkan virus atau malware di email phishing yang dikirimkan. Pada tahun 2016, email phishing yang menyasar korban-korbannya, 8,89 persennya melampirkan Trojan-Downloader.JS.Agent. Sebuah program jahat yang mengancam sistem komputer siapa pun. Teknik kedua, email phishing akan berisi tautan menuju situsweb asli tapi palsu sebuah lembaga atau perusahaan.

Situsweb asli tapi palsu inilah yang diharapkan si pengirim email phishing, untuk dikunjungi si korban. Statista mencatat, di kuartal-4 tahun 2013, terdapat 111.773 situsweb phishing yang terdeteksi. Pada kuartal-4 tahun 2016, jumlah situsweb phishing meningkat menjadi 277.693 buah.

Lembaga atau perusahaan finansial tercatat sebagai pihak yang paling banyak didompleng penjahat phishing. Sebanyak 47,48 persen phishing, mengtasnamakan lembaga atau perusahaan finansial. Rinciannya, terdapat 24,76 persen phishing yang mengatasnamakan bank, 11,55 persen phishing yang mengatasnamakan sistem pembayaran elektronik atau fintech, dan 10,17 persen phishing yang mengatasnamakan lembaga atau perusahaan toko online.

Penjahat phishing, akan membuat situsweb lembaga atau perusahaan yang dijadikan langganan si korban dengan sangat baik. Dan apabila korban masuk perangkat, lenyaplah informasi miliknya dan kemudian digunakan secara tidak bertanggungjawab oleh si penjahat.

Infografik Web Phishing


Rachna Dhamija dalam jurnalnya berjudul “Why Phishing Works” mengungkapkan bahwa di tahun 2003, terdapat 2 miliar korban yang memberikan informasi sensitif mereka pada situsweb palsu atas aksi phishing. Umumnya, informasi sensitif yang “diberikan” para korban tersebut berhubungan dengan informasi seputar bank dan kartu kredit. Diperkirakan, akibat informasi sensitif yang dijarah pelaku, ada kerugian hingga $1,2 miliar.

Umumnya, email yang diduga phishing akan secara otomatis dianggap SPAM oleh sistem. Pada tahun 2016, pada bulan Januari SPAM mengambil proporsi sebesar 59,62 persen atas lalu-lintas email. Pada akhir tahun, lalu-lintas SPAM mengambil proporsi sebesar 61,33 persen dari keseluruhan email.

Kasus-kasus phishing cukup banyak terjadi. Misalnya, seorang figur publik yang tiba-tiba merana gara-gara akun Instagram atau Twitter yang menghasilkan uang baginya tersebut, tiba-tiba raib digondol orang lain atau istilahnya "dibajak" orang. Padahal, jika diselidiki lebih lanjut, hilangnya kendali atas akun Instagram atau Twitter yang dialami si figur publik tersebut karena beberapa hari sebelumnya terperdaya atas email yang masuk ke inbox pribadinya. Link yang dilampirkan di email yang memperdayanya di-klik, menuju situsweb asli tapi palsu, dan pada akhirnya, segala informasi penting perihal akun Instagram atau Twitternya dapat diambil oleh si pelaku.

Tentu, kehilangan akun Instagram atau Twitter, masih jauh lebih baik jika dibandingkan kehilangan informasi yang terkait dengan akun bank.

Anti-Phishing Working Grup mengungkapkan bahwa terdapat 100.000 serangan phishing baru setiap bulannya. Dari sekian banyak serangan, grup tersebut mengklaim terdapat ribuan orang yang telah menjadi korban. Dalam sebuah artikel di Wired, diyakini, 91 persen peretasan dimulai dengan phishing.

Aaron Higbee, Chief Technology Officer dari PhishMe, sebuah firma riset pertahanan siber mengungkapkan, orang yang mengirimkan email phishing memiliki kepintaran pemasaran untuk memperoleh perhatian pengguna (target korban). "Saya telah mengingatkan bertahun-tahun (untuk) tidak meng-klik email dari seseorang yang tidak dikenal. [...] Tapi, penyerang akan memulai (mengirimkan) email phishing dari orang yang kamu kenal. Kenapa saya tidak meng-klik email dari seseorang yang saya kenal? Penyerang memanfaatkan teknik propaganda tersebut untuk sesuatu seperti malware dan ransonware (di-klik si korban),” jelasnya.

Phishing memang cukup sukar dibendung. Terkadang, email phishing yang masuk, menggunakan nama teman kita sendiri sebagai identitas si pengirim. Umumnya, hal demikian terjadi manakala email teman kita tersebut, telah lebih dahulu menjadi korban. Alamat-alamat email yang ada dalam daftar kontak email teman kita yang telah direbut, dimanfaatkan sebagai daftar korban-korban berikutnya.

Selain itu, alamat situsweb yang dilampirkan dalam email phishing, seringkali mengecoh bahkan sangat meyakinkan untuk tidak disepelekan si korban. Dalam generasi awal phishing, alamat situsweb yang dilampirkan dibuat dengan cara mengecoh ketelitian si korban. Misalnya tautan instagram.com sebagai tautan resmi aplikasi Instagram milik Facebook, coba dimanipulasi si pengirim dengan nama tautan 1nstagram.com. Jika korban mengklik tautan tersebut, alih-alih masuk ke situsweb resmi Instagram, korban akan terjerumus di situsweb antah-berantah yang sangat mungkin berniat mengambil informasi tentang akun Instagram si korban.

Teknik phishing kini juga semakin canggih. Sebagaimana diwartakan Wired, terdapat teknik baru dalam email phishing. Teknik baru tersebut memanfaatkan Punycode untuk me-render karakter-karakter yang menyusun kata dalam tautan instagram.com. Umumnya, sebuah teks dalam dunia digital, akan di-render oleh standar Unicode. Unicode mengandung 128.000 macam karakter yang kita kenal hari ini, misalnya alfabet. Sementara Punycode merupakan alternatif selain Unicode. Serangan teknik baru akan menukar alamat domain dengan kata yang identik atau mirip, namun dengan memanfaatkan huruf non-alfabet. Saat domain sebuah situsweb tertulis apple.com dalam email phishing, sesungguhnya alamat sebenarnya adalah “xn—80ak6aa92e.com”. Address bar dari suatu perambah, akan terkecoh dengan teknik baru tersebut.

Serangan demikian, dalam dunia komputer, disebut dengan “serangan homograph”. Dalam definisi umum, homograph diartikan sebagai kata yang tertulis sama, namun mengandung makna yang berbeda. Saat email phishing yang menyertakan tautan instagram.com masuk ke inbox kita, sesungguhnya link tersebut bukanlah link yang sesungguhnya.

Phishing, merupakan salah satu sisi negatif dari dunia digital kita. Tak seperti begal atau perampok tradisional yang langsung meminta materi dari korbannya, phishing “hanya” meminta informasi sensitif milik kita untuk mereka gunakan secara tidak bertanggung jawab. Untuk menghindarinya, selalu periksa tautan yang dikirimkan terutama terkait akun-akun pribadi kita. Jangan sembarang meng-klik sebuah tautan, karena satu klik bisa berakibat fatal hilangnya data-data pribadi kita. Waspada phising!

Baca juga artikel terkait INTERNET atau tulisan menarik lainnya Ahmad Zaenudin
(tirto.id - Teknologi)

Reporter: Ahmad Zaenudin
Penulis: Ahmad Zaenudin
Editor: Nurul Qomariyah Pramisti