Tips & Trik

Mengenal Penipuan Phishing dan Pencegahannya

Mohammad Mamduh    •    Selasa, 18 Dec 2018 11:25 WIB
tips dan trik teknologif5 networkscyber security
Mengenal Penipuan Phishing dan Pencegahannya
Ilustrasi: Sec Newspaper

Jakarta: Salah satu metode penipuan online yang sudah umum dan cukup lama adalah phishing. Metode ini memanfaatkan kelengahan pengguna, menggunakan identitas palsu yang sudah dikenal banyak orang.

Teknologi dan metode penipuan phishing sebenarnya sudah cukup umum dan tak banyak berubah selama beberapa tahun terakhir. Penjahat menggunakan trik psikologis untuk memancing korban hingga mempercayai dan mengakses formulir dan aplikasi web palsu.

 

Cara Kerja Phishing


Phishing memanfaatkan email yang masuk ke calon korban. Biasanya email ini mengatasnamakan instansi ternama, dan mencoba mengarahkan korban ke situs tertentu yang alamatnya terpasang di bodi email.

Umumnya, alamat situs dibuat meyakinkan, sehingga korban melihat alamatnya sama persis dengan yang dimiliki instansi sebenarnya.

Ilustrasi: Sheridan College 


Pelaku phishing biasanya melakukan proses tiga langkah berikut ini dalam menjalankan skema penipuan mereka:

1. Pemilihan Target
Menemukan korban yang cocok, beserta alamat email dan latar belakangnya, guna mencari titik psikologi yang tepat untuk memancingnya.

2. Rekayasa Sosial
Menyiapkan pancingan dengan umpan yang tepat agar dimakan korbannya, untuk mencuri identitas dan menanamkan malware.

Dalam kasus spear-phishing atau teknik penyebaran email seolah dari rekan atau organisasi yang telah dikenal korban sebelumnya, setiap umpan akan disesuaikan dengan calon korbannya. 

3. Rekayasa Teknis
Menciptakan metode untuk meretas korban yang termasuk diantaranya membuat website palsu, menciptakan malware, dan menyembunyikan serangan dari pemindai keamanan. 

Umpan phishing yang paling umum adalah:

1. Tagihan atau invoice yang sudah melewati tanggal batas 

2. Notifikasi penguncian akun yang meminta Anda mengisi informasi pribadi jika ingin dibuka
 
3. Pesan singkat yang biasanya sulit dikenali, namun kata-katanya seringkali dibuat tidak rapi

4. Pihak berwajib atau staf eksekutif, biasanya akan direspon dengan cepat oleh karyawan 

5. Informasi atau konfirmasi pemesanan atau pengantaran, biasanya berisi tautan notifikasi

6. Perekrutan dan pencarian pekerjaan, seolah-olah dikirim oleh orang penting yang menawarkan pekerjaan dengan posisi atau gaji menggiurkan

7. Penipuan (scam) real estate atau transfer, seolah datang dari agen yang meminta Anda transfer uang untuk membeli properti

8. Umpan ‘pihak terpercaya’ (trusted party), seakan dari orang yang dikenal memberikan tautan website menarik atau attachment yang harus Anda buka

9. Notifikasi akun bank, meminta Anda login untuk melihat aktivitas perbankan selama ini

10. Permintaan sumbangan, seolah berasal dari yayasan resmi dan biasanya sering terjadi di musim liburan

11. Peringatan terkait masalah legal, biasanya mencatut nama Dinas Pajak atau lembaga resmi lainnya yang menyatakan korban memiliki utang yang harus segera dibayarkan

12. Notifikasi hadiah atau pengembalian dana, juga dari lembaga resmi yang akan memberikan Anda pengembalian dana atau hadiah yang bisa diambil

 

Melindungi Diri dari Phishing


Untuk konsumen, sangat penting untuk memahami bahwa alamat email bisa dipalsukan atau dipelesetkan (spoofed).

URL spoofing adalah proses menciptakan URL palsu yang seringkali terjadi dalam serangan phishing. Penyingkatan URL (shortened URL) dari layanan seperti bit.ly dan lainnya bisa membahayakan. Pengguna sebaiknya membuka tab baru di browser dan mencari konten atau website yang menjadi referensi.

Peringatan sertifikat (certificate warning) terlihat dari peramban  ketika sertifikat keamanan situs tidak berlaku, bukan yang terbaru, atau tidak dikeluarkan oleh otoritas sertifikat terpercaya.

Ketimbang mengabaikan peringatan ini, khususnya jika pengguna merasa situsnya aman-aman saja, ada baiknya mencari situs tersebut di window terpisah pada browser.

Sementara untuk perusahaan, seiring bertambahnya kecanggihan dan sifat agresif dari upaya penipuan phishing, melatih kewaspadaan pengguna sangat penting dalam melindungi perusahaan dan pengguna terhadap upaya phishing.

Hal ini membutuhkan langkah-langkah yang bersifat teknologi. Termasuk diantaranya melabeli email, software antivirus (AV), penyaringan web, dan autentikasi multi-faktor.
 
Pada akhirnya, tak ada solusi keamanan satu pintu untuk mengendalikan phishing. Perlu ada kerangka kendali komprehensif yang melibatkan orang, proses, dan teknologi untuk mengurangi risiko serangan phishing menjadi insiden besar di perusahaan.


(MMI)

Bagaimana Kami Menguji

Kami menguji produk dengan subjektif karena mengutamakan pengalaman penggunaan. Meski demikian, kesimpulan yang kami ambil juga didasari sejumlah data dari perangkat lunak tertentu yang kami gunakan untuk melihat kinerja produk.

Khusus untuk menguji perangkat keras dan perangkat lunak komputer, kami menggunakan konfigurasi yang identik untuk tiap produk. Berikut komponen testbed resmi Metrotvnews.com.

Hardware

  • Prosesor: Intel Core i7-7700K, AMD Ryzen 7 1800X
  • Motherboard: ASUS Z270F STRIX Gaming, MSI X370 Gaming Pro Carbon
  • VGA: MSI GTX 1080 Gaming X, ASUS RX 480 STRIX 8GB
  • RAM: Corsair Vengeance LPX 3200MHz (2x8GB)
  • Penyimpanan: Corsair Neutron XTi 240GB
  • PSU: Corsair RM850X
  • Case: MSI DIY Case
  • Monitor: ASUS PB287Q 4K, AOC C3583FQ
  • Keyboard: Logitech G900 Chaos Spectrum, Logitech G402 Hyperion Fury
  • Mouse: Logitech G440, Logitech G240
  • Headset: Logitech G430, Logitech G633

Software

Performa dan Baterai: PCMark 8, 3DMark, Crystal Disk Mark
Gaming: The Witcher 3: Wild Hunt, Ashes of Singularity, Tom CLancy's Ghost Recon Wildlands

Kami juga menggunakan metode pengujian yang sama untuk semua gadget. Meski di pasar tersedia beragam perangkat lunak benchmarking, kami hanya memilih tiga berdasarkan reputasi mereka yang diakui secara internasional, 3DMark dan PCMark 2.0.