Apa itu phishing dan bagaimana cara kerjanya?

Melanjutkan

• Phishing, atau phishing dalam bahasa Prancis, adalah praktik jahat di mana penyerang menyamar sebagai entitas yang dapat dipercaya untuk mengelabui individu agar mengungkapkan informasi sensitif.

• Tetap waspada terhadap phishing dengan mengenali tanda-tanda umum seperti URL mencurigakan dan permintaan informasi pribadi yang mendesak.

• Pelajari berbagai teknik phishing, mulai dari penipuan email yang umum hingga spear phishing yang canggih, untuk memperkuat pertahanan keamanan siber.

Perkenalan

Phishing adalah taktik jahat di mana pelaku kejahatan menyamar sebagai sumber tepercaya untuk mengelabui orang agar membagikan data sensitif. Pada artikel ini, kami akan menjelaskan kepada Anda apa itu phishing, cara kerjanya, dan langkah apa yang dapat Anda ambil untuk menghindari menjadi mangsa penipuan tersebut.

Cara kerja phishing

Phishing terutama mengandalkan rekayasa sosial, sebuah metode yang digunakan penyerang untuk memanipulasi individu agar membocorkan informasi rahasia. Penyerang mengumpulkan informasi pribadi dari sumber publik (seperti media sosial) untuk membuat email yang tampak asli. Korban sering kali menerima pesan jahat yang tampaknya berasal dari kontak akrab atau organisasi terkemuka.

Bentuk phishing yang paling umum terjadi melalui email yang berisi tautan atau lampiran berbahaya. Dengan mengeklik tautan ini, Anda berisiko memasang malware di perangkat Anda atau dialihkan ke situs web palsu yang dirancang untuk mencuri informasi pribadi dan keuangan Anda.

Meskipun email phishing yang ditulis dengan buruk lebih mudah dikenali, penjahat dunia maya menggunakan alat canggih seperti chatbots dan generator suara AI untuk meningkatkan keaslian serangan mereka. Hal ini menyulitkan pengguna untuk membedakan antara komunikasi asli dan palsu.

Kenali upaya phishing

Mengidentifikasi email phishing mungkin rumit, namun ada beberapa tanda yang dapat Anda perhatikan.

Tanda-tanda paling umum

Berhati-hatilah jika pesan berisi URL yang mencurigakan, menggunakan alamat email publik, menimbulkan ketakutan atau urgensi, meminta informasi pribadi, atau terdapat kesalahan ejaan dan tata bahasa. Dalam kebanyakan kasus, Anda dapat mengarahkan mouse ke tautan untuk memeriksa URL tanpa benar-benar mengekliknya.

Penipuan Pembayaran Digital

Penipu phishing sering kali menyamar sebagai layanan pembayaran online tepercaya seperti PayPal, Venmo, atau Wise. Pengguna menerima email palsu yang mendesak mereka untuk memverifikasi rincian login mereka. Penting untuk tetap waspada dan melaporkan aktivitas mencurigakan apa pun.

Penipuan phishing terkait keuangan

Penipu menyamar sebagai bank atau lembaga keuangan, dengan alasan kerentanan keamanan untuk mendapatkan informasi pribadi. Taktik yang umum mencakup email yang menipu tentang transfer uang atau penipuan setoran langsung yang menargetkan karyawan baru. Penipu juga mungkin mengklaim bahwa pembaruan keamanan sangat penting.

Penipuan Phishing Terkait Pekerjaan

Penipuan yang dipersonalisasi ini melibatkan penyerang yang menyamar sebagai eksekutif, CEO, atau CFO, meminta transfer bank atau pembelian palsu. Phishing suara menggunakan generator suara AI melalui telepon adalah metode lain yang digunakan oleh penipu.

Bagaimana mencegah serangan phishing

Untuk mencegah serangan phishing, penting untuk menggunakan beberapa langkah keamanan. Hindari mengklik tautan secara langsung. Sebaliknya, kunjungi situs web atau saluran komunikasi resmi perusahaan untuk memeriksa apakah informasi yang Anda terima sah. Pertimbangkan untuk menggunakan alat keamanan seperti perangkat lunak antivirus, firewall, dan filter spam. 

Organisasi juga harus menggunakan standar otentikasi email untuk memverifikasi email masuk. Contoh umum metode autentikasi email mencakup DKIM (DomainKeys Identified Mail) dan DMARC (Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain).

Bagi individu, penting untuk memberi tahu keluarga dan teman mereka tentang risiko phishing. Bagi perusahaan, penting untuk mendidik karyawannya tentang teknik phishing dan memberikan pelatihan kesadaran berkala untuk mengurangi risiko.

Jika Anda memerlukan bantuan dan informasi tambahan, carilah inisiatif pemerintah seperti OnGuardOnline.gov dan organisasi seperti Anti-Phishing Working Group Inc. Inisiatif ini memberikan sumber daya dan panduan yang lebih rinci untuk mengenali, menghindari, dan melaporkan serangan phishing.

Jenis-jenis phishing

Teknik phishing terus berkembang dan penjahat dunia maya menggunakan metode yang berbeda. Berbagai jenis phishing umumnya diklasifikasikan berdasarkan target dan vektor serangan. Mari kita lihat lebih dekat ini.

Phishing dengan cara kloning

Penyerang akan menggunakan email sah yang dikirimkan sebelumnya dan menyalin isinya ke email serupa yang berisi tautan ke situs jahat. Penyerang juga dapat berpura-pura bahwa ini adalah tautan yang diperbarui atau tautan baru, yang menunjukkan bahwa tautan sebelumnya salah atau kedaluwarsa.

Memancing dengan tombak (harponnage)

Jenis serangan ini terfokus pada seseorang atau suatu institusi. Serangan spear phishing lebih canggih dibandingkan jenis phishing lainnya karena ditargetkan. Artinya, penyerang pertama-tama mengumpulkan informasi tentang korban (misalnya nama teman atau anggota keluarga) dan menggunakan data ini untuk memikat korban ke file situs web berbahaya.

Pharming (pembajakan domain)

Penyerang akan meracuni catatan DNS yang, dalam praktiknya, akan mengarahkan pengunjung dari situs web sah ke situs palsu yang sebelumnya dibuat oleh penyerang. Ini merupakan serangan paling berbahaya karena data DNS tidak berada di bawah kendali pengguna, sehingga membuat pengguna tidak berdaya untuk mempertahankan diri.

Penangkapan ikan paus (phishing tombak eksekutif)

Suatu bentuk serangan spear phishing yang menargetkan orang-orang kaya dan penting, seperti CEO dan pejabat pemerintah.

Pencurian email

Email phishing biasanya memalsukan komunikasi dari perusahaan atau orang yang sah. Email phishing tanpa disadari dapat memberikan korban tautan ke situs jahat, tempat penyerang mengumpulkan kredensial login dan informasi pribadi menggunakan halaman login yang disamarkan dengan cerdik. Halaman tersebut mungkin berisi Trojan, keylogger, dan skrip berbahaya lainnya yang mencuri informasi pribadi.

Pengalihan Situs Web

Situs web mengarahkan pengguna ke URL yang berbeda dari yang ingin dikunjungi pengguna. Pelaku yang mengeksploitasi kerentanan dapat memasukkan pengalihan dan menginstal malware di komputer pengguna.

Kesalahan ketik

Typosquatting mengarahkan lalu lintas ke situs web palsu yang menggunakan ejaan bahasa asing, kesalahan ejaan umum, atau variasi domain tingkat atas yang tidak kentara. Penipu phishing menggunakan domain untuk meniru antarmuka situs web yang sah, memanfaatkan pengguna yang salah mengetik atau membaca URL.

Iklan berbayar palsu

Iklan berbayar adalah taktik lain yang digunakan untuk phishing. Iklan (palsu) ini menggunakan domain yang salah ketik dan dibayar oleh penyerang agar muncul di hasil pencarian. Situs tersebut bahkan mungkin muncul di antara hasil pencarian pertama di Google.

Serangan dengan titik air

Dalam serangan watering hole, penipu menganalisis pengguna dan menentukan situs web mana yang sering mereka kunjungi. Mereka memindai situs-situs ini untuk mencari kerentanan dan mencoba memasukkan skrip berbahaya yang dirancang untuk menargetkan pengguna saat mereka mengunjungi situs web itu lagi.

Pencurian identitas dan kompetisi palsu

Ini menyangkut pencurian identitas tokoh-tokoh berpengaruh di jejaring sosial. Penipu phishing mungkin berperan sebagai eksekutif utama perusahaan dan mengiklankan kontes atau terlibat dalam praktik penipuan lainnya. Korban penipuan ini bahkan dapat ditargetkan secara individu melalui proses rekayasa sosial yang bertujuan untuk menemukan pengguna yang mudah tertipu. Aktor dapat meretas akun terverifikasi dan mengubah nama pengguna untuk meniru karakter kehidupan nyata sambil mempertahankan status terverifikasi.

Baru-baru ini, penipu banyak menargetkan platform seperti Discord, X, dan Telegram untuk tujuan yang sama: memalsukan obrolan, meniru identitas individu, dan meniru layanan yang sah.

Aplikasi berbahaya

Penipu phishing juga dapat menggunakan aplikasi jahat yang memantau perilaku Anda atau mencuri informasi sensitif. Aplikasi dapat menampilkan dirinya sebagai pelacak harga, dompet, dan alat terkait mata uang kripto lainnya (yang memiliki basis pengguna yang cenderung berdagang dan memiliki mata uang kripto).

SMS dan phishing vokal

Suatu bentuk pesan phishing, biasanya melalui SMS atau pesan suara, yang mendorong pengguna untuk berbagi informasi pribadi.

Phishing vs. farmasi

Meskipun beberapa orang menganggap pharming (pembajakan domain) sebagai jenis serangan phishing, pharming bergantung pada mekanisme yang berbeda. Perbedaan utama antara phishing dan pharming adalah phishing mengharuskan korbannya melakukan kesalahan. Sebaliknya, pembajakan domain hanya mengharuskan korban mencoba mengakses situs web sah yang catatan DNS-nya telah disusupi oleh penyerang.

Phishing di blockchain dan ruang kripto

Meskipun teknologi blockchain menawarkan peningkatan keamanan data karena sifatnya yang terdesentralisasi, penggunanya harus tetap waspada terhadap upaya rekayasa sosial dan phishing. Penjahat dunia maya sering kali berupaya mengeksploitasi kerentanan manusia untuk mendapatkan akses ke kunci pribadi atau kredensial login. Dalam kebanyakan kasus, penipuan didasarkan pada kesalahan manusia.

Penipu juga dapat mencoba mengelabui pengguna agar mengungkapkan frasa pemulihan atau mentransfer dana ke alamat palsu. Penting untuk berhati-hati dan mengikuti praktik keselamatan yang baik.

Kesimpulan

Kesimpulannya, penting untuk memahami phishing dan mengikuti perkembangan teknik yang berkembang untuk melindungi informasi pribadi dan keuangan. Dengan menggabungkan langkah-langkah keamanan yang kuat, pendidikan dan kesadaran, individu dan organisasi dapat memperkuat diri mereka terhadap ancaman phishing yang selalu ada di dunia digital kita yang saling terhubung. Tetap SAFU!

Untuk informasi lebih lanjut

• Lima Tip untuk Mengamankan Kepemilikan Cryptocurrency Anda

• 5 Cara Meningkatkan Keamanan Akun Binance Anda

• Bagaimana Tetap Aman dalam Perdagangan Peer-to-Peer (P2P)?

Penafian dan Peringatan Risiko: Konten ini disajikan kepada Anda “sebagaimana adanya” hanya untuk informasi umum dan tujuan pendidikan, tanpa representasi atau jaminan apa pun. Hal ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional, atau sebagai sarana untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus meminta nasihat dari profesional yang tepat sebelum mengambil keputusan apa pun. Jika artikel tersebut ditulis oleh kontributor pihak ketiga, harap diperhatikan bahwa opini dalam artikel tersebut tidak mencerminkan opini Binance Academy. Silakan baca penafian lengkap kami di sini untuk mengetahui lebih lanjut. Harga aset digital bisa berfluktuasi. Nilai investasi Anda mungkin turun atau naik dan Anda mungkin tidak mendapatkan kembali jumlah yang Anda investasikan. Anda sepenuhnya bertanggung jawab atas keputusan investasi Anda dan Binance Academy tidak bertanggung jawab atas kerugian apa pun yang mungkin Anda alami. Konten ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Peringatan Risiko kami.