Dalam era digital saat ini, kita semua menjadi lebih terkoneksi dan tergantung pada teknologi, baik untuk kegiatan sehari-hari maupun bisnis. Namun, perkembangan teknologi ini juga membuka peluang timbulnya sisi negatif, seperti munculnya penjahat cyber yang mencoba melakukan serangan, salah satunya adalah serangan phishing.
Serangan phishing adalah metode yang digunakan penjahat cyber untuk mencuri informasi penting pengguna, yang kemudian disalahgunakan. Dengan semakin canggihnya teknologi, serangan phishing juga semakin beragam dan sulit dideteksi. Oleh karena itu, memahami berbagai tipe serangan phishing menjadi sangat penting.
Dalam artikel ini, kita akan membahas lebih detail tentang pengertian serangan phishing dan tipe-tipe serangan yang perlu diketahui untuk membantu Emak—dan juga orang-orang terdekat—lebih waspada.
Apa Itu Phising?
Phishing adalah teknik yang digunakan penjahat cyber untuk mendapatkan informasi pribadi atau rahasia, seperti nama pengguna, kata sandi, dan detail kartu kredit, dengan menyamar sebagai entitas tepercaya dalam komunikasi elektronik.
Penjahat cyber biasanya menggunakan email, pesan teks, atau situs web palsu untuk melakukan serangan ini. Tujuan utamanya adalah untuk menipu pengguna agar membagikan informasi pribadi mereka secara tidak sengaja, yang kemudian dapat digunakan untuk tujuan yang tidak sah, seperti akses ilegal ke akun, pencurian identitas, atau penipuan keuangan.
Beberapa Tipe Phising
Setelah memahami apa itu phishing, kemudian kita harus tahu berbagai bentuk serangan phishing yang ada. Phishing tidak hanya dilakukan melalui email, tetapi juga melalui berbagai media lain dan dapat ditargetkan secara khusus pada individu atau organisasi.
Mengenali tipe-tipe serangan phishing ini dapat membantu kita memahami bagaimana cara kerja penjahat cyber dan membantu kita lebih siap untuk mencegah atau merespons serangan tersebut. Berikut ini adalah beberapa tipe phishing yang umum terjadi.
Phishing Email
Ini adalah tipe phishing yang paling umum. Misalnya seseorang menerima email yang tampaknya berasal dari bank tempat ia membuka rekening. Email tersebut berisi pesan yang mengatakan bahwa ada masalah dengan akunnya dan ia perlu memverifikasi identitasnya. Email tersebut berisi tautan ke situs web yang tampaknya milik bank tersebut.
Namun, ketika diklik tautannya dan dimasukkan detail akunnya, detail tersebut sebenarnya dikirim ke penjahat cyber. Dengan akses ke akun bank tersebut, penjahat bisa mencuri uang dari akun pengguna, atau melakukan transaksi ilegal atas nama pengguna.
Dalam kasus ini, modus ini disebut dengan phishing email, dan situs web adalah situs web phishing yang dibuat oleh penjahat untuk menipu individu tersebut membagikan informasi akunnya.
Spear Phishing
Dalam spear phishing, serangan akan lebih dipersonalisasi dan sering ditujukan pada individu atau organisasi tertentu. Penyerang akan menggunakan informasi pribadi tentang target yang membuat serangan lebih meyakinkan.
Contoh kasusnya, seorang manajer di sebuah perusahaan besar menerima email yang tampaknya berasal dari departemen IT perusahaan. Email tersebut meminta si manajer untuk memperbarui kata sandi akun email perusahaan mereka melalui tautan yang disediakan dalam email tersebut. Alasannya, biasanya karena ada ancaman keamanan baru dan semua kata sandi harus diperbarui.
Manajer tersebut mengklik tautan dan memasukkan informasi akun untuk memperbarui kata sandi. Namun, sebenarnya email tersebut adalah spear phishing, dan tautan tersebut mengarahkan sangg manajer ke situs web palsu. Dengan memasukkan detail akun ke situs web palsu tersebut, manajer tersebut tanpa sadar memberikan akses ke akun email perusahaan kepada penjahat cyber.
Whaling
Mari kita langsung lihat contoh kasusnya biar langsung paham ya.
CEO sebuah perusahaan besar menerima email yang tampaknya berasal dari CFO (Chief Financial Officer) perusahaan tersebut. Emailnya meminta CEO untuk transfer dana ke rekening bank yang ditentukan untuk membayar kontraktor yang penting dalam proyek besar yang sedang berjalan, atau bisa juga alasan lain—yang penting terlihat urgent.
Karena email tersebut tampaknya berasal dari CFO, dan biasanya proyek memang benar-benar ada (entah dengan cara bagaimana si penjahat mendapatkan infonya), CEO pun melakukan transfer.
Nah, biasanya kemudian memang ketahuan kalau CFO mereka tidak pernah mengirim permintaan tersebut. Cuma biasanya ya terlambat. Email tersebut sebenarnya adalah upaya whaling oleh penjahat cyber yang menyamar sebagai CFO, dan rekening bank tersebut milik penjahat tersebut.
Kayak film-film ya, Mak?
Dalam kasus ini, penjahat cyber menggunakan teknik whaling, menargetkan seseorang dengan jabatan tingkat tinggi dalam organisasi dengan email yang tampaknya berasal dari sumber yang tepercaya. Karena target mereka adalah “paus” (yaitu CEO), serangan ini disebut “whaling”.
Pharming
Contoh kasusnya seperti ini. Ada nasabah mencoba mengunjungi situs web bank dengan memasukkan URL yang benar ke dalam browser. Namun, tanpa sepengetahuannya, komputer atau device apa pun yang dipergunakan telah diinfeksi oleh malware yang telah memodifikasi pengaturan DNS.
Jadi, alih-alih diarahkan ke situs web bank yang sebenarnya, nasabah telah dialihkan ke situs web palsu yang tampak sama persis seperti situs web bank tersebut.
Ketika nasabah memasukkan informasi akun ke situs web palsu ini, informasi tersebut sebenarnya dikumpulkan oleh penjahat cyber. Dengan demikian, penjahat cyber mendapatkan akses ke akun bank pengguna dan dapat mencuri uang dari akun tersebut atau melakukan aktivitas ilegal lainnya.
Smishing dan Vishing
Prinsipnya sama sih dengan phising, hanya saja dilakukan melalui media yang berbeda. Smishing itu via SMS, vishing itu via telepon. Langsung kita lihat contoh kasusnya ya, Mak.
Untuk smishing contohnya begini. Ada seseorang yang menerima SMS yang tampaknya berasal dari bank, yang mengklaim bahwa akun telah dikunci karena ada aktivitas mencurigakan. SMS tersebut meminta n tersebut untuk mengklik tautan yang disertakan dalam pesan untuk membuka kembali akun mereka. Namun, ketika individu tersebut mengklik tautan dan memasukkan informasi akun mereka, detail tersebut sebenarnya dikirim ke penjahat cyber.
Nah, vishing kurang lebih sama sih. Misalnya seperti adanya panggilan telepon dari seseorang yang mengaku dari CS bank. Penelepon tersebut bilang bahwa ada masalah dengan kartu kredit milik nasabah, dan butuh verifikasi data. Nasabah akan diminta untuk menyebutkan detail infonya, tapi sebenarnya si penjahat mencatatnya untuk kemudian dipakai untuk membobol.
Phishing melalui Media Sosial
Ini prinsipnya juga sama. Misalnya, ada pengguna media sosial yang menerima pesan pribadi dari akun yang tampaknya milik teman. Pesan tersebut berisi tautan ke situs web dan mengklaim bahwa pengguna dapat memenangkan hadiah besar. Untuk ngeklaim hadiahnya, pengguna harus login menggunakan akun media sosialnya.
Namun, situs web tersebut sebenarnya adalah situs web phishing, dan dengan memasukkan detail akun, pengguna tersebut telah memberikan informasi login kepada penjahat cyber. Dengan informasi ini, penjahat dapat mengakses akun media sosial pengguna dan menggunakan akun tersebut untuk melakukan aktivitas ilegal atau merugikan.
Dengan memahami apa itu serangan phishing dan berbagai tipe serangannya, kita bisa lebih waspada dan siap menghadapi ancaman tersebut.
Serangan phishing bukanlah hal yang bisa diabaikan, terutama di era digital ini ya, Mak, ketika begitu banyak informasi pribadi dan finansial kita tersimpan secara online. Kesadaran dan pengetahuan tentang serangan ini adalah senjata terbaik kita dalam melawan penjahat cyber.
Ingat, mencegah selalu lebih baik daripada mengobati. Oleh karena itu, teruslah update pengetahuan tentang serangan phishing dan teknologi keamanan lainnya. Selalu waspada dan berhati-hati dalam setiap aktivitas online yang Emak lakukan. Semoga semua selalu aman ya, Mak!