TL;DR

  • Phishing adalah praktik jahat di mana penipu menyamar sebagai entitas tepercaya untuk mengelabui individu agar mengungkapkan informasi rahasia.

  • Tetap waspada terhadap phishing dengan mengenali tanda-tanda umum seperti URL mencurigakan dan permintaan informasi pribadi yang mendesak.

  • Pahami berbagai teknik phishing, mulai dari penipuan email umum hingga spear phishing yang canggih, untuk memperkuat pertahanan keamanan siber Anda.

Perkenalan

Phishing adalah taktik berbahaya di mana pelaku kejahatan berpura-pura menjadi sumber tepercaya untuk mengelabui orang agar membagikan data sensitif. Pada artikel ini, kami akan menjelaskan apa itu phishing, cara kerjanya, dan apa yang dapat Anda lakukan agar tidak menjadi korban penipuan ini.

Cara Kerja Phishing

Phishing terutama mengandalkan rekayasa sosial, yaitu metode yang digunakan penipu untuk memanipulasi orang agar membocorkan informasi sensitif. Penipu ini mengumpulkan data pribadi dari sumber publik (seperti media sosial) untuk membuat email yang tampak autentik. Korban sering kali menerima pesan jahat yang tampaknya berasal dari kontak keluarga atau organisasi terkemuka.

Bentuk phishing yang paling umum terjadi melalui email yang berisi tautan atau lampiran berbahaya. Mengklik tautan ini dapat memasang malware pada perangkat pengguna atau mengarahkan mereka ke situs web palsu yang dirancang untuk mencuri informasi pribadi dan keuangan.

Meskipun email phishing yang ditulis dengan buruk lebih mudah dikenali, penjahat dunia maya menggunakan alat canggih seperti chatbot dan generator suara AI untuk meningkatkan autentisitas serangan mereka. Bagi pengguna, hal ini membuat sulit membedakan antara komunikasi asli dan palsu.

Mengenali Upaya Phishing

Email phishing mungkin sulit dikenali, tetapi ada beberapa tanda yang dapat Anda waspadai.

Tanda-tanda umum

Berhati-hatilah jika pesan tersebut berisi URL yang mencurigakan, menggunakan alamat email publik, menimbulkan rasa takut atau urgensi, meminta informasi pribadi, atau mengandung kesalahan ejaan dan tata bahasa. Pada sebagian besar kasus, Anda dapat mengarahkan kursor ke tautan untuk memeriksa URL tanpa mengkliknya.

Penipuan berdasarkan pembayaran digital

Penipu phishing sering kali menyamar sebagai layanan pembayaran daring tepercaya seperti PayPal, Venmo, atau Wise. Pengguna menerima email penipuan yang meminta mereka memverifikasi rincian login mereka. Penting untuk tetap waspada dan melaporkan aktivitas yang mencurigakan.

Serangan phishing terkait keuangan

Penipu menyamar sebagai bank atau lembaga keuangan yang mengklaim terjadi pelanggaran keamanan untuk memperoleh informasi pribadi. Taktik umum meliputi email penipuan tentang transfer uang atau penipuan setoran langsung, yang menargetkan karyawan baru. Mereka mungkin juga mengklaim bahwa ada pembaruan keamanan yang mendesak.

Penipuan phishing terkait pekerjaan

Penipuan yang dipersonalisasi ini melibatkan penipu yang menyamar sebagai eksekutif, CEO, atau CFO, yang meminta transfer uang atau pembelian palsu. Phishing suara menggunakan generator suara AI yang terjadi melalui telepon adalah metode lain yang digunakan oleh penipu.

Cara Mencegah Serangan Phishing

Untuk menghindari serangan phishing, penting untuk menerapkan beberapa tindakan keamanan. Hindari mengklik tautan apa pun secara langsung. Sebaliknya, periksa situs web resmi perusahaan atau saluran komunikasi untuk memverifikasi bahwa informasi yang Anda terima sah. Pertimbangkan untuk menggunakan alat keamanan seperti perangkat lunak antivirus, firewall, dan filter spam. 

Selain itu, organisasi harus menggunakan standar autentikasi email untuk memverifikasi email masuk. Contoh umum metode autentikasi meliputi DKIM (DomainKeys Identified Mail) dan DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Bagi perorangan, penting untuk memberi tahu keluarga dan teman tentang risiko phishing. Bagi bisnis, sangat penting untuk mendidik karyawan tentang teknik phishing dan memberikan pelatihan kesadaran berkala untuk mengurangi risiko.

Jika Anda memerlukan bantuan dan informasi tambahan, lihat inisiatif pemerintah seperti OnGuardOnline.gov dan organisasi seperti Anti-Phishing Working Group Inc. Mereka menyediakan sumber daya dan panduan yang lebih terperinci tentang cara mendeteksi, mencegah, dan melaporkan serangan phishing.

Jenis-jenis phishing

Teknik phishing terus berkembang dan penjahat dunia maya menggunakan berbagai metode. Berbagai jenis phishing umumnya diklasifikasikan berdasarkan target dan vektor serangan. Mari kita periksa lebih detail.

Klon phishing

Penipu akan menggunakan email sah yang telah dikirim sebelumnya, menyalin kontennya, dan membuat email baru yang serupa yang berisi tautan ke situs web palsu. Penipu ini mungkin juga mengklaim bahwa ini adalah tautan yang diperbarui atau baru, dan menyatakan bahwa tautan sebelumnya salah atau telah kedaluwarsa.

Penipuan tombak

Jenis serangan ini difokuskan pada seseorang atau suatu institusi. Serangan tombak lebih canggih daripada jenis phishing lain karena diprofilkan. Artinya penipu mengumpulkan informasi tentang korban (misalnya, nama teman atau anggota keluarga) dan menggunakan data ini untuk memikat mereka ke situs web palsu.

Farmasi

Penipu tersebut merusak catatan DNS, yang dalam praktiknya akan mengarahkan pengunjung dari situs web sah ke situs web palsu yang dibuatnya. Ini adalah serangan paling berbahaya karena catatan DNS tidak berada di bawah kendali pengguna, sehingga mereka tidak dapat mempertahankan diri.

Penangkapan ikan paus

Suatu bentuk spear phishing yang menargetkan orang-orang kaya dan penting, seperti CEO dan pejabat pemerintah.

Pemalsuan email

Email phishing biasanya memalsukan komunikasi dari perusahaan atau individu yang sah. Mereka mungkin memberikan kepada korban yang tidak menyadari adanya tautan ke situs web palsu, tempat para penipu ini mengumpulkan informasi login dan PII (informasi pengenal pribadi) menggunakan halaman login yang disamarkan secara cerdik. Halaman mungkin berisi trojan, keylogger, dan skrip berbahaya lainnya yang mencuri informasi pribadi.

Pengalihan situs web

Pengalihan situs web mengarahkan pengguna ke URL selain yang ingin dikunjungi pengguna. Penipu yang mengeksploitasi kerentanan dapat menyisipkan pengalihan dan memasang malware di komputer pengguna.

Kesalahan ketik

Typosquatting mengarahkan lalu lintas ke situs web palsu yang menggunakan ejaan bahasa asing, kesalahan ejaan yang umum, atau variasi halus dalam domain situs web. Penipu phishing menggunakan domain untuk meniru antarmuka situs web yang sah, mengambil keuntungan dari pengguna yang salah mengetik atau salah membaca URL.

Iklan palsu berbayar

Iklan berbayar adalah taktik lain yang digunakan untuk phishing. Iklan (palsu) ini menggunakan domain palsu yang dibayar oleh penipu agar muncul di hasil pencarian. Situs tersebut bahkan mungkin muncul sebagai hasil pencarian teratas di Google.

Tempat minum Ataque

Dalam serangan lubang air, penipu phishing menganalisis pengguna dan menentukan situs web mana yang sering mereka kunjungi. Mereka memindai situs-situs tersebut untuk mencari kerentanan dan mencoba menyuntikkan skrip berbahaya yang dirancang untuk menargetkan pengguna saat mereka mengunjungi situs itu lagi.

Pencurian identitas dan hadiah palsu

Personifikasi tokoh berpengaruh di media sosial. Penipu phishing mungkin menyamar sebagai pimpinan perusahaan dan mengiklankan hadiah atau terlibat dalam praktik penipuan lainnya. Korban trik ini dapat ditargetkan secara individual melalui proses rekayasa sosial yang ditujukan untuk menemukan pengguna yang mudah tertipu. Penipu ini dapat meretas akun terverifikasi dan mengubah nama pengguna untuk menyamar sebagai orang sungguhan sambil mempertahankan status terverifikasi.

Baru-baru ini, para pelaku phishing sangat gencar menargetkan platform seperti Discord, X, dan Telegram untuk tujuan yang sama: memalsukan obrolan, menyamar sebagai individu, dan meniru layanan yang sah.

Aplikasi berbahaya

Pelaku phishing juga dapat menggunakan aplikasi berbahaya yang memantau perilaku Anda atau mencuri informasi sensitif. Aplikasi ini dapat disajikan sebagai pelacak harga, dompet, dan alat terkait kripto lainnya (yang memiliki basis pengguna yang paham kripto dan cenderung melakukan perdagangan).

Phishing Suara dan SMS

Suatu bentuk phishing berbasis pesan teks, biasanya dilakukan melalui SMS atau pesan suara, yang mendorong pengguna untuk membagikan informasi pribadi.

Phishing vs. Farmasi

Meskipun beberapa orang menganggap pharming sebagai jenis serangan phishing, serangan ini mengandalkan mekanisme yang berbeda. Perbedaan utama antara phishing dan pharming adalah bahwa phishing mengharuskan korban melakukan kesalahan. Di sisi lain, pharming hanya mengharuskan korban untuk mencoba mengakses situs web sah yang catatan DNS-nya telah disusupi oleh penipu.

Phishing di dunia blockchain dan mata uang kripto

Sementara teknologi blockchain memberikan keamanan data yang kuat karena sifatnya yang terdesentralisasi, pengguna dalam ruang blockchain harus tetap waspada terhadap rekayasa sosial dan upaya penipuan phishing. Penjahat dunia maya sering kali mencoba mengeksploitasi kerentanan manusia untuk mendapatkan akses ke kunci pribadi atau kredensial login. Dalam kebanyakan kasus, penipuan mengandalkan kesalahan manusia.

Penipu juga mungkin mencoba mengelabui pengguna agar mengungkapkan frasa awal atau mentransfer dana ke alamat palsu. Penting untuk berhati-hati dan mengikuti praktik keamanan yang disarankan.

Pertimbangan akhir

Kesimpulannya, memahami penipuan phishing dan tetap mendapat informasi tentang teknik yang berkembang sangat penting untuk melindungi informasi pribadi dan keuangan. Dengan menggabungkan langkah-langkah keamanan yang kuat, pendidikan dan kesadaran, individu dan organisasi dapat memperkuat diri terhadap ancaman phishing yang selalu ada di dunia digital yang saling terhubung. Tetap AMAN!

Bacaan lebih lanjut

  • 5 Tips untuk Melindungi Kepemilikan Kripto Anda

  • 5 Cara untuk Meningkatkan Keamanan Akun Binance Anda

  • Cara tetap aman dalam perdagangan peer-to-peer (P2P)

Penafian: Konten ini disajikan kepada Anda "apa adanya" hanya untuk tujuan informasi dan pendidikan, tanpa jaminan apa pun. Konten tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional, dan tidak dimaksudkan untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus mencari nasihat sendiri dari penasihat profesional. Dalam hal kontribusi dan artikel yang dikirimkan oleh kontributor pihak ketiga, harap diperhatikan bahwa pandangan yang diungkapkan adalah pandangan penulis masing-masing dan belum tentu mencerminkan pandangan Binance Academy. Untuk keterangan lebih rinci, silakan baca pemberitahuan kami di sini. Harga aset digital dapat berubah-ubah. Nilai investasi Anda dapat turun atau naik dan Anda mungkin tidak mendapatkan kembali jumlah yang Anda investasikan. Anda bertanggung jawab sepenuhnya atas keputusan investasi Anda dan Binance Academy tidak bertanggung jawab atas segala kemungkinan kerugian Anda. Materi ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Peringatan Risiko kami.