Apa Itu Phising?
Phising adalah salah satu bentuk kejahatan dunia maya yang mengancam banyak pengguna internet di seluruh dunia. Phising merupakan upaya untuk mencuri informasi pribadi seseorang dengan teknik penipuan yang sangat canggih. Informasi yang menjadi sasaran utama dalam phising meliputi data pribadi (seperti nama, usia, alamat), data akun (seperti username dan password), dan data finansial (seperti informasi kartu kredit dan rekening bank).
Sejarah dan Asal Mula Istilah Phising
Istilah resmi untuk phising adalah "phishing," yang berasal dari kata "fishing" yang berarti memancing. Seperti halnya memancing ikan, phising bekerja dengan cara "memancing" korban untuk memberikan informasi pribadi mereka secara sukarela. Informasi yang diberikan ini kemudian akan digunakan untuk tujuan kejahatan, seperti mencuri identitas atau uang.
Mengapa Korban Tertipu?
Korban phising sering kali tertipu karena pelaku phising sangat pintar dalam menyamar sebagai pihak atau institusi yang berwenang. Mereka menggunakan website atau email palsu yang tampak sangat meyakinkan sehingga banyak orang yang tidak curiga dan akhirnya terjebak. Sebuah contoh nyata adalah klarifikasi dari Kementerian Keuangan terkait email yang mengatasnamakan instansinya, yang menunjukkan betapa mudahnya orang bisa tertipu.
Statistik dan Laporan Phising
Menurut sebuah laporan, sekitar 32% dari seluruh pencurian data selalu melibatkan kegiatan phising. Bahkan pada awal tahun 2020, Anti Phishing Working Group mencatat sudah ada 165.772 website phising yang siap menjaring korban. Sektor finansial adalah salah satu target utama dari aksi phising ini, menjadikannya ancaman serius bagi banyak individu dan perusahaan.
Jenis-Jenis Phising
Phising dapat dikategorikan ke dalam beberapa jenis berdasarkan metode dan targetnya. Berikut adalah beberapa jenis phising yang paling umum ditemui:
Email Phising
Email phising adalah jenis phising yang paling umum dan menggunakan email sebagai media untuk menjangkau calon korbannya. Menurut data, terdapat sekitar 3,4 miliar email palsu yang dikirimkan setiap harinya. Dalam email phising, pelaku biasanya mengirimkan email yang tampak resmi dari institusi atau perusahaan yang terkenal, meminta korban untuk mengklik link atau memberikan informasi pribadi.
Spear Phising
Spear phising adalah varian dari email phising yang lebih spesifik. Alih-alih mengirimkan email secara massal ke calon korban acak, spear phising menargetkan individu tertentu. Teknik ini biasanya dilakukan setelah pelaku memiliki beberapa informasi dasar tentang korban, seperti nama dan alamat, sehingga email yang dikirimkan tampak lebih personal dan meyakinkan.
Whaling
Whaling adalah bentuk phising yang menargetkan individu dengan otoritas tinggi dalam sebuah organisasi, seperti pemilik bisnis, direktur perusahaan, atau manajer personalia. Karena targetnya memiliki akses ke informasi dan aset perusahaan yang sangat berharga, keberhasilan aksi whaling dapat memberikan keuntungan besar bagi pelaku.
Web Phising
Web phising adalah upaya untuk mengelabui calon korban melalui website palsu. Website ini dibuat agar terlihat sangat mirip dengan website resmi, baik dari segi desain maupun domain yang digunakan. Teknik ini dikenal sebagai domain spoofing. Sebagai contoh, untuk menyerupai niagahoster.co.id, pelaku phising mungkin menggunakan domain seperti niaga-hoster.my.id.
Bagaimana Sebuah Aksi Phising Dijalankan?
Phising bekerja dengan cara memanipulasi informasi dan memanfaatkan kelalaian korban. Berikut adalah tahapan-tahapan umum dalam sebuah aksi web phising, menggunakan contoh dari platform pembayaran online seperti PayPal:
1. Pelaku Memilih Calon Korban
Tahap awal dari kegiatan web phising adalah menentukan siapa calon korbannya. Biasanya, korban yang disukai adalah pengguna platform pembayaran online seperti PayPal, Ovo, dan lainnya. Pelaku juga sering mengincar pengguna platform yang memiliki celah keamanan. Misalnya, pada platform komunikasi Zoom, terjadi sekitar 1000 upaya phising hanya dalam bulan April 2020 saja.
2. Pelaku Menentukan Tujuan Phising
Setelah mendapatkan calon korban yang potensial, pelaku akan mulai memikirkan apa yang akan dicapai dari kegiatan phising tersebut. Misalnya, apakah mereka ingin mendapatkan username dan password pengguna untuk menguasai akun, atau mungkin mereka ingin mendapatkan semua informasi korban melalui prosedur yang disiapkan. Dalam contoh aksi phising PayPal, pelaku menginginkan semua informasi dari pengguna platform tersebut, mengirimkan email yang meminta pengguna untuk mengonfirmasi data diri melalui link website palsu.
3. Pelaku Membuat Website Phising
Untuk melancarkan aksinya, pelaku akan mulai menyiapkan website palsu. Ini melibatkan mendesain website yang tampak sangat mirip dengan website resmi, memilih nama domain yang mirip dengan domain asli, dan menyiapkan konten yang meyakinkan. Pada prakteknya, pelaku kadang membuat website yang sangat menyerupai halaman website resmi tetapi menggunakan nama domain yang berbeda.
4. Calon Korban Mengakses Website Phising
Dengan tampilan website dan informasi yang meyakinkan, banyak calon korban yang akhirnya mengakses website phising milik pelaku. Langkah ini biasanya didahului dengan email phising atau link yang disebarkan via SMS atau media sosial.
5. Calon Korban Mengikuti Instruksi Pelaku
Ini adalah kunci dari terjadinya aksi phising. Jika calon korban mengikuti instruksi yang diberikan oleh pelaku, maka pelaku akan berhasil mencapai tujuannya. Misalnya, pada halaman website yang disediakan, calon korban diminta untuk melakukan update informasi pribadi hingga data pembayaran pada akun yang digunakan. Ketika korban selesai mengisi data dan melakukan submit, semua informasi tersebut berhasil dimiliki oleh pelaku.
6. Data Korban akan Dimanfaatkan
Jika aksi phising berhasil, pelaku akan memanfaatkan data yang telah diterima. Beberapa cara pemanfaatan data korban termasuk menjual informasi ke pihak ketiga untuk tujuan telemarketing atau kegiatan marketing online lainnya, menjalankan aksi scam, menggunakan data untuk membobol akun, atau melakukan pinjaman online atas nama korban.
Tips Agar Tidak Menjadi Korban Phising
Setelah memahami bagaimana phising bekerja, penting bagi Anda untuk mengetahui cara mencegah diri agar tidak menjadi korban phising. Berikut adalah beberapa tips yang bisa Anda lakukan:
1. Selalu Update Informasi Terkait Phising
Jenis-jenis kejahatan online terus berkembang, baik dari segi media yang digunakan maupun jenis serangan yang dilakukan. Oleh karena itu, sangat penting untuk selalu mengikuti perkembangan berita terkait phising. Misalnya, kasus kebocoran data pengguna Tokopedia atau Bukalapak baru-baru ini bisa menjadi pelajaran berharga untuk selalu waspada.
2. Selalu Cek Siapa Pengirim Email
Email phising masih menjadi jenis kejahatan online yang marak terjadi. Oleh karena itu, Anda perlu berhati-hati ketika menerima email dari pengirim yang mencurigakan. Jangan hanya melihat nama pengirim, tetapi juga periksa alamat email yang mengirimkannya pada bagian From field. Email yang meminta perubahan informasi akun, pembayaran, atau hal penting lainnya harus selalu diperiksa dengan ekstra hati-hati.
3. Jangan Asal Klik Link yang Diterima
Meskipun Anda menerima email yang tampaknya resmi, selalu waspada sebelum mengklik link yang disertakan. Pastikan link tersebut aman dengan cara mengarahkan mouse ke link tanpa mengkliknya (hover) untuk melihat URL yang sebenarnya. Jika URL tersebut mengarah ke website yang tidak dikenal, lebih baik urungkan niat Anda untuk mengkliknya.
4. Pastikan Keamanan Website yang Diakses
Jangan mengunjungi website yang tidak aman, terutama website yang memproses data pribadi atau finansial. Pastikan website tersebut menggunakan SSL yang ditandai dengan ikon gembok dari protokol HTTPS. Hanya melakukan transaksi pada website yang aman dapat mengurangi risiko Anda menjadi korban phising.
5. Gunakan Browser Versi Terbaru
Selalu gunakan versi browser terbaru yang dapat melindungi keamanan data dan privasi Anda. Setiap browser merilis versi terbaru yang selalu terkait dengan perbaikan celah keamanan dan fitur yang lebih efektif. Mengaktifkan status automatic update di tiap browser yang Anda gunakan adalah langkah yang bijak.
6. Waspada Ketika Dimintai Data Pribadi
Jangan pernah memberikan data pribadi Anda ketika mengakses sebuah website, kecuali website tersebut memang resmi dan data Anda dibutuhkan untuk menjalankan proses transaksi. Beberapa toko online hanya melayani pembelian dari anggota yang sudah terdaftar, sementara yang lain memperbolehkan transaksi tanpa login. Pilihlah opsi yang paling aman.
7. Cek Akun Online Anda secara Rutin
Lakukan pengecekan rutin pada akun-akun online Anda. Jika Anda tidak lagi menggunakan suatu platform, pertimbangkan untuk menghapus akun dan data Anda. Jika masih ingin menggunakan akun tersebut di masa mendatang, lakukan perubahan password secara berkala.
8. Gunakan Two-Factor Authentication
Aktifkan Two-Factor Authentication (2FA) jika platform yang Anda gunakan menyediakannya. Sistem ini menggunakan verifikasi dua langkah, yaitu password dan ponsel Anda. Dengan demikian, meskipun pelaku phising berhasil mendapatkan username dan password Anda, mereka tetap tidak bisa mengakses akun Anda tanpa kode verifikasi 2FA.
9. Lakukan Scan Malware secara Berkala
Gunakan software anti-malware yang akan melakukan scan secara otomatis sesuai dengan pengaturan yang Anda gunakan. Segera hapus script yang mencurigakan yang bisa saja mencuri informasi pribadi Anda.
Cara Mengatasi Phising di Website WordPress
Jika Anda adalah pemilik website yang menjadi target kegiatan phising, ada beberapa langkah yang bisa Anda lakukan untuk mengatasi masalah ini di website WordPress Anda:
1. Gunakan Plugin untuk Membersihkan Malware Phising
Gunakan plugin anti-malware di website WordPress Anda untuk mencegah website Anda dimanfaatkan sebagai sarana pencurian data. Plugin seperti MalCare dapat mendeteksi adanya malware dan menghapusnya secara otomatis.
2. Selalu Update WordPress
WordPress rutin melakukan update untuk menambah celah keamanan dan fitur baru. Selalu gunakan versi terbaru dari WordPress untuk mencegah website Anda terserang malware. Anda juga bisa mengaktifkan fitur automatic update WordPress.
3. Pasang Sertifikat SSL untuk Keamanan Website
Pastikan website Anda menggunakan SSL untuk menjamin keamanan transaksi. Beberapa paket hosting seperti WordPress hosting sobatcloud.com memberikan SSL gratis dan perlindungan keamanan lainnya seperti Imunify360 Anti Malware.
4. Lakukan Manajemen Pengguna dengan Ketat
Jika website WordPress Anda dikelola banyak orang, lakukan manajemen pengguna dengan baik. Jangan berikan hak akses admin ke semua orang. Sesuaikan hak akses user dengan kewenangan dan kemampuannya dalam menjaga keamanan website.
Terhindar dari Phising Bersama sobatcloud.com!
Menggunakan layanan hosting sobatcloud.com dapat membantu Anda melindungi website WordPress Anda dari ancaman phising. sobatcloud.com menyediakan berbagai fitur keamanan yang efektif seperti Advanced Firewall, AutoUpdate, Imunify360, hingga SSL gratis. Selain itu, sobatcloud.com juga aktif dalam melawan kegiatan phising dengan tindakan tegas kepada domain dan hosting yang digunakan untuk aksi kejahatan ini, seperti melakukan suspend.
Dengan mengikuti tips dan langkah-langkah yang telah dijelaskan, Anda dapat melindungi diri dan website Anda dari ancaman phising. Semoga informasi ini bermanfaat dan selalu stay secure agar siap untuk #BuildSuccessOnline!