Ringkasan
Phishing adalah praktik jahat di mana penyerang menyamar sebagai entitas tepercaya untuk mengelabui orang agar mengungkapkan informasi sensitif.
Belajar mengenali tanda-tanda umum phishing, seperti URL mencurigakan dan permintaan informasi pribadi yang mendesak, agar tetap waspada.
Pelajari berbagai teknik phishing, mulai dari penipuan email umum hingga spear phishing yang canggih, untuk memperkuat pertahanan keamanan siber.
Perkenalan
Phishing adalah taktik berbahaya di mana pelaku kejahatan berpura-pura menjadi sumber tepercaya untuk mengelabui orang agar membagikan data sensitif mereka. Dalam artikel ini, kami akan menjelaskan apa itu phishing, cara kerjanya, dan apa yang dapat Anda lakukan untuk menghindari menjadi korban penipuan jenis ini.
Cara kerja phishing
Phishing terutama mengandalkan rekayasa sosial, sebuah metode di mana penyerang memanipulasi orang untuk membocorkan informasi sensitif. Penyerang mengumpulkan data pribadi dari sumber publik (seperti media sosial) untuk membuat email yang tampak autentik. Korban sering kali menerima pesan jahat yang tampaknya berasal dari kontak keluarga atau organisasi terkemuka.
Bentuk phishing yang paling umum adalah melalui email yang berisi tautan atau lampiran berbahaya. Mengklik tautan ini dapat memasang malware di perangkat pengguna atau mengarahkan mereka ke situs web palsu yang dirancang untuk mencuri informasi pribadi dan keuangan.
Meskipun lebih mudah untuk mendeteksi email phishing yang ditulis dengan buruk, penjahat dunia maya menggunakan alat canggih seperti chatbots dan generator ucapan AI untuk meningkatkan keaslian serangan mereka. Hal ini menyulitkan pengguna untuk membedakan antara komunikasi asli dan palsu.
Cara mengenali upaya phishing
Mengidentifikasi email phishing mungkin rumit, namun ada beberapa tanda yang dapat Anda perhatikan.
Tanda-tanda umum
Berhati-hatilah jika pesan berisi URL yang mencurigakan, menggunakan alamat email publik, menimbulkan ketakutan atau urgensi, meminta informasi pribadi, atau memiliki kesalahan ejaan dan tata bahasa. Dalam kebanyakan kasus, Anda dapat mengarahkan mouse ke tautan untuk memeriksa URL tanpa mengekliknya.
Penipuan berdasarkan pembayaran digital
Phisher sering kali menyamar sebagai layanan pembayaran online tepercaya, seperti PayPal, Venmo, atau Wise. Pengguna menerima email palsu yang mendesak mereka untuk memverifikasi rincian login yang seharusnya. Penting untuk tetap waspada dan melaporkan aktivitas mencurigakan apa pun.
Serangan phishing di bidang keuangan
Penipu menyamar sebagai bank atau lembaga keuangan dan mengklaim kelemahan keamanan untuk mendapatkan informasi pribadi. Taktik yang umum mencakup email menyesatkan tentang transfer uang atau penipuan setoran langsung ke karyawan baru. Mereka mungkin juga mengklaim bahwa ada pembaruan keamanan yang mendesak.
Penipuan phishing terkait pekerjaan
Penipuan yang dipersonalisasi ini melibatkan penyerang yang menyamar sebagai eksekutif, CEO, atau CFO, meminta transfer kawat atau pembelian palsu. Phishing suara dengan generator suara AI melalui telepon adalah metode lain yang digunakan oleh penipu.
Bagaimana mencegah serangan phishing
Untuk menghindari serangan phishing, penting untuk menerapkan berbagai langkah keamanan. Hindari mengklik langsung tautan apa pun. Sebaliknya, kunjungi situs web perusahaan atau saluran komunikasi resmi untuk memverifikasi apakah informasi yang Anda terima adalah sah. Pertimbangkan untuk menggunakan alat keamanan seperti perangkat lunak antivirus, firewall, dan filter spam.
Selain itu, organisasi harus menggunakan standar otentikasi email untuk memverifikasi email masuk. Contoh umum metode autentikasi email mencakup DKIM (DomainKeys Identified Mail) dan DMARC (Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain).
Bagi individu, penting untuk memberi tahu keluarga dan teman mereka tentang risiko phishing. Bagi bisnis, sangat penting untuk mengedukasi karyawan tentang teknik phishing dan memberikan pelatihan kesadaran rutin untuk mengurangi risiko.
Jika Anda memerlukan bantuan dan informasi lebih lanjut, carilah inisiatif pemerintah seperti OnGuardOnline.gov dan organisasi seperti Anti-Phishing Working Group Inc. Inisiatif ini memberikan sumber daya dan panduan yang lebih rinci untuk mendeteksi, mencegah, dan melaporkan serangan phishing.
Jenis-jenis phishing
Teknik phishing terus berkembang, dan penjahat dunia maya menggunakan berbagai metode. Berbagai jenis phishing biasanya diklasifikasikan berdasarkan tujuan dan vektor serangan. Mari kita analisa lebih detail.
Mengkloning phishing
Penyerang menggunakan email sah yang dikirim sebelumnya dan menyalin isinya ke email serupa yang berisi tautan ke situs jahat. Penyerang juga dapat mengklaim bahwa ini adalah tautan yang diperbarui atau baru, dan menunjukkan bahwa tautan sebelumnya salah atau telah kedaluwarsa.
Penipuan tombak
Jenis serangan ini berfokus pada seseorang atau institusi. Serangan tombak lebih canggih dibandingkan jenis phishing lainnya karena disesuaikan. Artinya, penyerang pertama-tama mengumpulkan informasi tentang korban (misalnya, nama teman atau keluarga) dan menggunakan data ini untuk memikat korban ke file situs web berbahaya.
farmasi
Penyerang mencemari catatan DNS, yang secara efektif mengalihkan pengunjung dari situs web sah ke situs web palsu yang telah dibuat sebelumnya oleh penyerang. Ini adalah serangan yang paling berbahaya karena catatan DNS tidak berada di bawah kendali pengguna, sehingga membuat pengguna tidak dapat mempertahankan diri.
Penangkapan ikan paus
Suatu bentuk spear phishing yang menargetkan orang-orang kaya dan penting, seperti CEO dan pejabat pemerintah.
Pemalsuan email
Email phishing sering kali memalsukan komunikasi dari perusahaan atau orang yang sah. Mereka mungkin menyertakan tautan ke situs jahat yang dibuat untuk korban yang tidak menaruh curiga. Di situs tersebut, penyerang mengumpulkan kredensial login, serta PII, menggunakan halaman login yang disamarkan dengan cerdik. Halaman tersebut mungkin berisi Trojan, keylogger, dan skrip berbahaya lainnya yang mencuri informasi pribadi.
Pengalihan situs web
Pengalihan situs web mengarahkan pengguna ke URL yang berbeda dari yang ingin mereka kunjungi. Pelaku yang mengeksploitasi kerentanan dapat memasukkan pengalihan dan menginstal malware di komputer pengguna.
Kesalahan ketik
Typosquatting mengarahkan lalu lintas ke situs web palsu yang menggunakan ejaan bahasa asing, kesalahan ejaan umum, atau variasi halus pada domain tingkat atas. Phisher menggunakan domain untuk meniru antarmuka situs web yang sah, memanfaatkan pengguna yang salah mengetik atau membaca URL.
Iklan berbayar palsu
Iklan berbayar adalah taktik lain yang digunakan untuk phishing. Iklan (palsu) ini menggunakan domain yang salah ketik oleh penyerang dan dibayar untuk meningkatkan hasil pencarian. Situs tersebut bahkan mungkin muncul sebagai salah satu hasil pencarian teratas di Google.
Serangan lubang berair
Dalam serangan watering hole, phisher mempelajari pengguna dan menentukan situs web mana yang sering mereka kunjungi. Mereka memindai situs-situs ini untuk mencari kerentanan dan mencoba memasukkan skrip berbahaya yang dirancang untuk menargetkan pengguna saat mereka mengunjungi situs web itu lagi.
Pencurian identitas dan hadiah palsu
Mereka meniru identitas tokoh berpengaruh di jejaring sosial. Phisher mungkin menyamar sebagai pemimpin utama perusahaan dan mengiklankan hadiah atau terlibat dalam praktik penipuan lainnya. Korban hoax ini bahkan dapat ditargetkan secara individu melalui proses rekayasa sosial yang bertujuan untuk menemukan pengguna yang mudah tertipu. Aktor dapat meretas akun terverifikasi dan mengubah nama pengguna untuk meniru sosok asli sambil mempertahankan status terverifikasi.
Baru-baru ini, para phisher banyak menargetkan platform seperti Discord, X, dan Telegram untuk tujuan yang sama: memalsukan obrolan, meniru identitas individu, dan meniru layanan yang sah.
Aplikasi berbahaya
Phisher juga dapat menggunakan aplikasi jahat yang memantau perilaku Anda atau mencuri informasi sensitif. Aplikasi dapat berperan sebagai pelacak harga, dompet, dan alat terkait mata uang kripto lainnya (yang memiliki basis pengguna yang cenderung berdagang dan memiliki mata uang kripto).
SMS dan phishing suara
Suatu bentuk phishing berbasis pesan teks, biasanya melalui SMS atau pesan suara, yang mendorong pengguna untuk berbagi informasi pribadi.
Phishing vs. farmasi
Meskipun beberapa orang menganggap pharming sebagai jenis serangan phishing, hal ini bergantung pada mekanisme yang berbeda. Perbedaan utama antara phishing dan pharming adalah phishing mengharuskan korbannya melakukan kesalahan. Sebaliknya, pharming hanya mengharuskan korban mencoba mengakses situs web sah yang catatan DNS-nya telah disusupi oleh penyerang.
Phishing di ruang kripto dan blockchain
Meskipun teknologi blockchain memberikan keamanan data yang kuat karena sifatnya yang terdesentralisasi, pengguna di dunia blockchain harus tetap waspada terhadap upaya rekayasa sosial dan phishing. Penjahat dunia maya sering kali mencoba mengeksploitasi kerentanan manusia untuk mendapatkan akses ke kunci pribadi atau kredensial login. Dalam kebanyakan kasus, penipuan didasarkan pada kesalahan manusia.
Penipu juga dapat mencoba mengelabui pengguna agar mengungkapkan frase awal mereka atau mentransfer dana ke alamat palsu. Penting untuk berhati-hati dan mengikuti praktik keselamatan yang direkomendasikan.
Kesimpulan
Kesimpulannya, memahami phishing dan terus mengetahui perkembangan teknik penipuan sangat penting untuk melindungi informasi pribadi dan keuangan. Dengan menggabungkan langkah-langkah keamanan, pendidikan, dan kesadaran yang kuat, individu dan organisasi dapat memperkuat diri mereka terhadap ancaman phishing yang selalu ada di dunia digital kita yang saling terhubung. Tetap SAFU!
Bacaan lebih lanjut
Lima tips untuk melindungi kepemilikan mata uang kripto Anda
Lima cara untuk meningkatkan keamanan akun Binance Anda
Bagaimana melakukan transaksi peer-to-peer (P2P) dengan aman
Pemberitahuan Hukum dan Peringatan Risiko: Konten ini disajikan "sebagaimana adanya" hanya untuk informasi umum dan tujuan pendidikan, tanpa representasi atau jaminan apa pun. Hal ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum atau profesional lainnya dan juga tidak dimaksudkan untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus mencari nasihat individu dari penasihat profesional yang sesuai. Karena artikel ini disumbangkan oleh pihak ketiga, harap dicatat bahwa pendapat yang dikemukakan adalah pendapat kontributor pihak ketiga dan tidak mencerminkan pendapat Binance Academy. Untuk informasi lebih lanjut, baca pemberitahuan hukum lengkap kami di sini. Harga aset digital bisa berfluktuasi. Nilai suatu investasi bisa turun dan naik, dan Anda mungkin tidak mendapatkan kembali jumlah yang diinvestasikan. Hanya Anda yang bertanggung jawab atas keputusan investasi Anda. Binance Academy tidak bertanggung jawab atas kerugian apa pun yang mungkin Anda alami. Materi ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum atau profesional lainnya. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Peringatan Risiko kami.
