Telset.id, Jakarta – Penipuan dengan modus phising alias mengelabui dengan maksud mencuri akun target, masih marak terjadi di Indonesia. Untuk itu, semua pihak, baik individu dan perusahaan diharapkan tetap waspada terhadap kejahatan dunia maya tersebut dengan mengetahui cara kerja phising.
Kepala Center For Information Security Awareness (CFIA), yang menjadi penulis tamu F5 Labs Mike Levin menjelaskan teknologi dan metode penipuan phishing sebenarnya sudah cukup umum dan tak banyak berubah selama beberapa tahun terakhir. Para penjahat menggunakan trik psikologis untuk memancing korban hingga mempercayai dan mengakses formulir dan aplikasi web palsu.
“Pelaku phishing (phishers) biasanya melakukan proses tiga langkah berikut ini dalam menjalankan skema penipuan mereka, yakni pemilihan target, rekayasa sosial (social engineering), rekayasa teknis (technical engineering),” ujar Mike dalam keterangan resminya kepada tim Telset.id, Selasa (18/12/2018)
Pemilihan Target
Memilih target merupakan langkah awal yang dilakukan penipu dunia maya, yakni menemukan korban yang cocok, beserta alamat e–mail dan latar belakangnya. Tujuannya mencari titik psikologi yang tepat untuk memancingnya.
Rekayasa Sosial
Pada langkah kedua ini, penipu menyiapkan pancingan dengan umpan yang tepat agar dimakan korbannya. Tujuannya untuk mencuri kredensial dan menanamkan malware.
{Baca juga: Awas! Pelaku Phising Incar Pengguna iPhone}
Dalam kasus spear-phishing, penjahat mengirim email seolah dari rekan atau organisasi yang telah dikenal korban sebelumnya dan setiap umpan akan disesuaikan dengan calon korbannya. Pada akhir tahun, phisher akan memanfaatkan tutup tahun fiskal dan momen liburan sebagai bagian dari aktivitas mereka.
Rekayasa Teknis
Di langkah terakhir, penipu menciptakan metode untuk meretas korban dengan berbagai cara, yakni membuat website palsu, menciptakan malware dan menyembunyikan serangan dari pemindai keamanan.
“Lembaga keuangan adalah sasaran serangan phishing yang tumbuh paling cepat di musim liburan. Diperkirakan akan ada kenaikan juga di industri e-commerce dan ekspedisi (shipping)” imbuh dia.
Oleh karena itu, Mike meminta supaya konsumen bisa melindungi diri sendiri dari phising dan juga fraud. Caranya adalah dengan memahami bahwa alamat email bisa dipalsukan atau dipelesetkan (spoofed) dengan 2 tanda ini. URL spoofing adalah proses menciptakan URL palsu yang seringkali terjadi dalam serangan phishing.
Menurut Mike, penyingkatan URL (shortened URL) dari layanan seperti bit.ly dan lainnya bisa membahayakan. Oleh karenanya pengguna sebaiknya membuka tab baru di browser dan mencari konten atau website yang menjadi referensi.
{Baca juga: 60% Phising Jaringan Sosial Adalah Situs Facebook Palsu}
“Pengguna juga harus memahami peringatan sertifikat (certificate warning) yang terlihat dari browser ketika sertifikat keamanan website tidak berlaku atau tidak dikeluarkan oleh otoritas sertifikat terpercaya. Ada baiknya mencari situs tersebut di window terpisah pada browser,” kata dia.
Sedangkan untuk perusahaan, Mike menyarankan supaya mereka melatih kewaspadaan pengguna, seperti dengan melabeli email, membeli software antivirus (AV), melakukan penyaringan web dan otentikasi multi-faktor.
”Tak ada solusi keamanan satu pintu untuk mengendalikan phishing dan fraud. Perlu ada kerangka kendali komprehensif yang melibatkan orang, proses dan teknologi untuk mengurangi risiko serangan phishing menjadi insiden besar di perusahaan,” tandasnya. [WS/IF]
