Phishing: Arti, jenis, cara mengidentifikasi dan melindungi diri sendiri

Keamanan Cyber ​​​​sangat penting karena peretas tidak pernah tidur. Salah satu bentuk serangan dunia maya yang paling umum dan ampuh adalah phishing. Dalam artikel pakar ini, kita akan melihat apa artinya, jenis yang berbeda, cara kerjanya, dan cara mengidentifikasi serta melindungi diri sendiri.

Apa itu Phishing?

Phishing adalah jenis serangan dunia maya yang menggunakan email, situs web, dan pesan teks palsu untuk mengelabui orang yang tidak terduga agar memberikan informasi sensitif mereka, seperti kata sandi dan nomor kartu kredit.

Tujuan serangan phishing adalah untuk mencuri informasi pribadi atau keuangan dari korban, yang mungkin tidak menyadari bahwa email, situs web, atau pesan tersebut tidak sah.

Serangan phishing sering kali menggunakan bahasa yang mendesak atau mengancam untuk menekan korban agar bertindak cepat, tanpa berpikir. Mereka juga dapat menggunakan logo palsu dan elemen branding lainnya untuk membuat email palsu, situs web, atau pesan teks terlihat sah.

Jenis serangan Phishing

Ada beberapa jenis serangan phishing, termasuk:

1. Email phishing

Ini adalah jenis serangan phishing yang paling umum, di mana penyerang mengirimkan email palsu yang tampaknya berasal dari perusahaan atau organisasi yang sah.

Email tersebut biasanya berisi tautan atau lampiran yang, ketika diklik atau dibuka, akan menginstal malware di komputer korban atau mengarahkan korban ke situs web palsu tempat mereka diminta untuk memasukkan informasi sensitif.

2. Tombak phishing

Jenis serangan phishing ini lebih bertarget daripada serangan phishing email biasa. Penyerang akan melakukan penelitian pada korban untuk mempelajari lebih lanjut tentang mereka, dan kemudian membuat email palsu yang secara khusus disesuaikan dengan minat, pekerjaan, atau kehidupan pribadi korban.

Tujuan spear phishing adalah membuat email palsu tampak lebih meyakinkan dan dapat dipercaya, untuk mengelabui korban agar memberikan informasi sensitif.

3. Penangkapan ikan paus

Jenis serangan phishing ini mirip dengan spear phishing, tetapi ditargetkan pada eksekutif tingkat tinggi atau individu penting lainnya dalam suatu organisasi. Penyerang akan membuat email palsu yang tampaknya berasal dari kolega, pelanggan, atau individu tepercaya lainnya, dan berisi permintaan informasi sensitif atau permintaan untuk mentransfer uang.

Tujuan perburuan paus adalah untuk mengeksploitasi posisi korban yang berkuasa di dalam organisasi untuk mendapatkan akses ke informasi sensitif atau sumber daya keuangan.

4. SMS Phising (Smishing)

Jenis serangan phishing ini menggunakan pesan teks alih-alih email untuk mengelabui korban. Penyerang akan mengirim pesan teks palsu yang tampaknya berasal dari perusahaan atau organisasi yang sah, dan berisi tautan atau lampiran yang, ketika diklik atau dibuka, akan menginstal malware di ponsel korban atau mengarahkan korban ke situs web palsu tempat mereka diminta untuk memasukkan informasi sensitif.

5. Pengelabuan suara (vishing)

Jenis serangan phishing ini menggunakan panggilan telepon, bukan email atau pesan teks untuk mengelabui korban. Penyerang akan menelepon korban dan berpura-pura berasal dari perusahaan atau organisasi yang sah dan akan mencoba meyakinkan korban untuk memberikan informasi sensitif atau mentransfer uang.

Serangan Vishing sering kali menggunakan bahasa yang mendesak atau mengancam untuk menekan korban agar bertindak cepat, tanpa berpikir.

Ini hanyalah beberapa contoh dari berbagai jenis serangan phishing yang dapat terjadi. Metode dan teknik yang digunakan penyerang terus berkembang, jadi penting untuk menyadari risikonya dan mengambil langkah-langkah untuk melindungi diri dari serangan phishing.

Cara kerja serangan phishing

Serangan phishing biasanya melibatkan langkah-langkah berikut:

1. Penyerang membuat email, situs web, atau pesan teks palsu yang tampaknya berasal dari perusahaan atau organisasi yang sah. Email, situs web, atau pesan teks palsu biasanya berisi tautan atau lampiran yang, ketika diklik atau dibuka, akan menginstal malware di komputer atau ponsel korban, atau mengalihkan korban ke situs web palsu.
2. Penyerang mengirimkan email, situs web, atau pesan teks palsu ke sejumlah besar calon korban. Penyerang dapat menggunakan daftar alamat email yang telah mereka peroleh melalui pelanggaran data sebelumnya, atau mereka dapat menggunakan teknik yang disebut "spoofing" untuk membuat email atau pesan teks palsu tersebut seolah-olah berasal dari pengirim yang sah.
3. Ketika calon korban menerima email, situs web, atau pesan teks palsu, mereka mungkin tertipu untuk percaya bahwa itu sah. Penyerang mungkin menggunakan bahasa yang mendesak atau mengancam untuk menekan korban agar bertindak cepat, tanpa berpikir. Mereka juga dapat menggunakan logo palsu dan elemen branding lainnya untuk membuat email palsu, situs web, atau pesan teks terlihat lebih meyakinkan.
4. Jika korban mengklik tautan atau lampiran di email, situs web, atau pesan teks palsu, mereka akan dialihkan ke situs web palsu atau komputer atau ponsel mereka akan terinfeksi malware. Situs web palsu tersebut biasanya akan meminta korban untuk memasukkan informasi sensitif, seperti kata sandi atau nomor kartu kredit.
5. Setelah korban memasukkan informasi sensitif mereka di situs web palsu, penyerang akan dapat mengakses dan menggunakan informasi tersebut untuk mencuri identitas atau sumber daya keuangan korban. Korban mungkin tidak menyadari bahwa dirinya telah menjadi korban serangan phishing hingga terlambat.

Ini adalah penjelasan sederhana tentang cara kerja serangan phishing. Pada kenyataannya, serangan phishing bisa lebih kompleks dan dapat menggunakan berbagai metode dan teknik berbeda untuk mengelabui korban. Penting untuk menyadari risikonya dan mengambil langkah-langkah untuk melindungi diri Anda dari serangan phishing.

Cara mengidentifikasi serangan phishing

Berikut adalah beberapa tip tentang cara mengidentifikasi serangan phishing:

• Berhati-hatilah terhadap email, pesan teks, atau panggilan telepon yang tidak diminta yang meminta informasi pribadi atau keuangan. Perusahaan dan organisasi yang sah biasanya tidak akan meminta informasi ini melalui email, pesan teks, atau panggilan telepon. Jika Anda menerima email, pesan teks, atau panggilan telepon yang tidak diminta yang meminta informasi pribadi atau keuangan Anda, jangan tanggapi dan jangan mengklik tautan atau lampiran apa pun.
• Cari tanda-tanda bahwa email, SMS, atau panggilan telepon tersebut tidak sah. Serangan phishing sering kali menggunakan bahasa yang mendesak atau mengancam untuk menekan korban agar bertindak cepat. Mereka mungkin juga mengandung kesalahan ejaan dan tata bahasa, atau menggunakan logo palsu dan elemen pencitraan merek lainnya untuk membuat email palsu, pesan teks, atau panggilan telepon terlihat sah. Jika ada sesuatu yang tampak mencurigakan, sebaiknya hindari menanggapi dan verifikasi keabsahan email, pesan teks, atau panggilan telepon menggunakan sumber informasi yang berbeda.
• Periksa alamat email pengirim dan tautan di email. Serangan phishing sering menggunakan teknik yang disebut "spoofing" untuk membuat alamat email pengirim terlihat seperti berasal dari perusahaan atau organisasi yang sah. Tetapi jika Anda melihat lebih dekat, Anda mungkin dapat melihat bahwa alamat email sedikit berbeda dari alamat email asli perusahaan atau organisasi yang sah. Anda juga dapat mengarahkan mouse ke tautan di email tanpa mengkliknya, untuk melihat apakah tujuan tautan berbeda dari yang ditampilkan di email.
• Jika Anda tidak yakin apakah email, pesan teks, atau panggilan telepon itu sah, hubungi perusahaan atau organisasi secara langsung menggunakan nomor telepon atau alamat email yang dikenal dan tepercaya. Jangan gunakan informasi kontak yang diberikan dalam email, pesan teks, atau panggilan telepon yang mencurigakan, karena mungkin palsu. Jika perusahaan atau organisasi mengonfirmasi bahwa email, pesan teks, atau panggilan telepon itu tidak sah, jangan tanggapi dan jangan klik tautan atau lampiran apa pun.

Dengan berhati-hati dan waspada, Anda dapat dengan mudah mengidentifikasi serangan phishing dan menghindari memberikan informasi pribadi atau keuangan Anda.

Bagaimana melindungi diri Anda dari serangan Phishing

Berikut adalah beberapa tips tentang cara melindungi diri dari serangan phishing:

• Berhati-hatilah saat membagikan informasi pribadi atau keuangan secara online. Jangan tanggapi email, pesan teks, atau panggilan telepon yang tidak diminta yang menanyakan informasi pribadi atau keuangan Anda. Waspadalah terhadap tautan atau lampiran dalam email, pesan teks, atau panggilan telepon, dan jangan mengkliknya kecuali Anda yakin itu sah.
• Gunakan kata sandi yang kuat dan unik untuk akun online Anda, dan ubah kata sandi Anda secara teratur. Hindari menggunakan kata sandi yang sama untuk banyak akun, dan jangan bagikan kata sandi Anda dengan siapa pun. Gunakan pengelola kata sandi untuk membantu Anda membuat dan mengelola kata sandi yang kuat dan unik.
• Gunakan autentikasi dua faktor (2FA) jika memungkinkan. Ini adalah tindakan pengamanan yang mengharuskan Anda memasukkan kode yang dikirimkan ke ponsel atau alamat email Anda selain kata sandi saat Anda masuk ke akun online Anda. Ini membantu melindungi akun Anda bahkan jika kata sandi Anda dicuri, karena penyerang tidak akan memiliki akses ke kode yang dikirimkan ke ponsel atau email Anda.
• Instal dan perbarui perangkat lunak antivirus secara teratur di komputer dan perangkat seluler Anda. Perangkat lunak antivirus dapat membantu melindungi perangkat Anda dari malware, yang sering digunakan dalam serangan phishing.
• Berhati-hatilah saat menggunakan jaringan Wi-Fi publik. Jaringan Wi-Fi publik tidak aman, dan dapat dengan mudah diakses oleh penyerang. Hindari mengakses informasi sensitif, seperti perbankan online atau belanja, saat menggunakan jaringan Wi-Fi publik.

Dengan mengikuti tips ini, Anda dapat melindungi diri dari serangan phishing dan menjaga keamanan informasi pribadi dan keuangan Anda. Jika Anda merasa telah menjadi korban serangan phishing, penting untuk bertindak cepat dan menghubungi otoritas terkait, seperti bank atau polisi, untuk melaporkan serangan tersebut dan mengambil langkah-langkah untuk melindungi diri Anda sendiri.

Apa yang harus dilakukan jika Anda menjadi korban serangan phishing

Jika Anda merasa telah menjadi korban serangan phishing, penting untuk bertindak cepat guna melindungi diri sendiri dan meminimalkan potensi kerusakan. Berikut beberapa langkah yang dapat Anda lakukan:

• Ubah kata sandi Anda. Jika Anda memasukkan kata sandi di situs web palsu, kata sandi Anda mungkin telah disusupi. Segera ganti kata sandi Anda, dan pastikan untuk menggunakan kata sandi yang kuat dan unik yang tidak digunakan untuk akun lain.
• Periksa akun Anda untuk aktivitas yang mencurigakan . Jika Anda memasukkan kredensial masuk atau informasi sensitif lainnya di situs web palsu, akun Anda mungkin telah diakses oleh penyerang. Periksa akun Anda untuk aktivitas yang mencurigakan, seperti transaksi tidak sah atau perubahan pada informasi pribadi Anda.
• Hubungi bank atau perusahaan kartu kredit Anda . Jika Anda telah memasukkan informasi kartu kredit Anda di situs web palsu, kartu kredit Anda mungkin telah digunakan untuk melakukan pembelian yang tidak sah. Segera hubungi bank atau perusahaan kartu kredit Anda untuk melaporkan masalah ini dan meminta kartu kredit baru.
• Laporkan serangan phishing. Jika Anda telah menerima email phishing, pesan teks, atau panggilan telepon, penting untuk melaporkan serangan tersebut ke otoritas terkait. Anda dapat melaporkan serangan phishing ke Federal Trade Commission (FTC) di Amerika Serikat, atau ke otoritas setempat jika Anda berada di luar Amerika Serikat.
• Berhati-hatilah di masa depan . Setelah Anda mengambil langkah-langkah untuk melindungi diri dan akun Anda, penting untuk berhati-hati di masa mendatang agar tidak menjadi korban serangan phishing lagi. Berhati-hatilah terhadap email, pesan teks, atau panggilan telepon yang tidak diminta yang meminta informasi pribadi atau keuangan, dan ikuti tip yang disebutkan sebelumnya untuk melindungi diri Anda dari serangan phishing.

Dengan mengambil langkah-langkah ini, Anda dapat melindungi diri dan akun Anda jika menjadi korban serangan phishing. Penting untuk bertindak cepat dan tetap waspada untuk meminimalkan potensi kerusakan dan mencegah serangan di masa mendatang.

Sejarah serangan phishing

Istilah "phishing" pertama kali diciptakan pada 1990-an, ketika penyerang mulai menggunakan email palsu untuk mengelabui orang agar memberikan informasi sensitif. Serangan phishing awal ini relatif sederhana dan tidak canggih, dan sering kali mengandung kesalahan ejaan dan tata bahasa yang jelas. Seiring meningkatnya penggunaan internet dan email, begitu pula prevalensi dan kecanggihan serangan phishing.

Pada awal tahun 2000-an, penyerang mulai menggunakan teknik yang lebih canggih, seperti memalsukan alamat email pengirim agar email palsu terlihat lebih sah, dan menggunakan bahasa yang mendesak atau mengancam untuk menekan korban agar bertindak cepat. Serangan ini menjadi lebih efektif, dan mulai menyasar tidak hanya individu, tetapi juga bisnis dan organisasi.

Dalam beberapa tahun terakhir, maraknya media sosial dan perangkat seluler telah menyebabkan berkembangnya jenis serangan phishing baru, seperti SMS phishing (smishing) dan voice phishing (vishing). Serangan ini menggunakan pesan teks dan panggilan telepon untuk mengelabui korban, dan bisa sangat efektif karena dapat melewati filter email tradisional dan perangkat lunak antivirus.

Seiring perkembangan teknologi, metode dan teknik yang digunakan oleh penyerang juga akan berkembang. Penting untuk menyadari risikonya dan mengambil langkah-langkah untuk melindungi diri Anda dari serangan phishing.

Pertanyaan yang Sering Diajukan (FAQ)