Dalam era Internet of Things (IoT), tak bisa dipungkiri mengakibatkan maraknya penipuan dunia maya. Salah satunya penipuan phishing. Phishing adalah upaya penjahat dunia maya yang bertujuan mencuri data pribadi orang lain dan disalahgunakan. Databoks menunjukkan bahwa antara Januari dan September 2020, setidaknya ada 2.000 laporan kejahatan dunia maya di Indonesia. Sebanyak 110 di antaranya adalah penyalahgunaan data atau penipuan.
Apa Itu Phishing
Phishing adalah jenis kejahatan dunia maya yang mencuri informasi dan data pribadi seseorang melalui email, telepon, pesan teks atau tautan dengan berpura-pura menjadi organisasi atau pihak tertentu. Pada dasarnya, phising berasal dari kata phishing dalam bahasa Inggris, mengadaptasi kata fishing yang secara harfiah berarti memancing. Jadi, phising merupakan teknik untuk ‘memancing’ informasi dan data rahasia dari para korban melalui umpan atau data palsu yang dibuat semenarik mungkin dan semirip mungkin dengan aslinya.
Saat ini, phising adalah salah satu ancaman virtual yang paling banyak dijumpai. Siapa pun bisa menjadi korban, mulai dari pengguna internet biasa, pelaku bisnis, sampai perusahaan, semuanya sangat mungkin terkena phising. Anda pun tak terkecuali, karena kejahatan di dunia maya selalu mengintai kapan saja. Bahkan tak jarang ancaman cyber ini berakibat cukup serius pada kehidupan sehari-hari korbannya.
Pelaku kejahatan cyber menyamarkan identitasnya seolah-olah berasal dari perusahaan yang valid untuk menarik dan membujuk calon korban agar memberikan informasi sensitif seperti nomor kartu kredit, informasi login, dan nomor KTP. Setelah korban mulai masuk ke perangkap si penipu, mereka akan mulai melancarkan serangannya. Bukannya mendapat hadiah, korban justru bisa kehilangan akun atau bahkan uang yang ada dalam rekeningnya.
Jenis-Jenis Phishing
Berbagai jenis phising akan selalu dilakukan para penjahat untuk mencuri data calon korbannnya. Misalnya, kejadian yang paling sering terjadi terkait phising adalah scam yang dikirim melalui chat WhatsApp. Jenis serangan seperti ini termasuk yang paling sering terjadi dan biasanya menyerang korban perorangan.
Ada juga serangan yang dikhususkan untuk menjerat korban dari kalangan bisnis. Mereka melakukannya secara sistematis dan terstruktur untuk memperoleh keuntungan yang tidak sedikit. Agar lebih waspada, ketahui beberapa jenis phising yang ada, yaitu:
Smishing
Smishing adalah bentuk phishing yang dilakukan melalui pesan teks (SMS). Jenis ini menjadi salah satu yang paling sering ditemukan. Istilah smishing adalah kombinasi dari SMS dan phishing. Smishing dianggap sangat mudah dilakukan para penipu, mereka hanya perlu merangkai nomor telepon untuk menyebarkan pesan iseng. Kalimat-kalimat yang dikirim umumnya mendorong penerimanya untuk melakukan sesuatu. Serangan ini termasuk yang paling sering terjadi di Indonesia, isinya mendesak korban untuk membayar sesuatu, meyakinkan bahwa korban menang lotre, hadiah undian, atau mendapatkan uang dalam jumlah yang fantastis.
Deceptive Phishing
Deceptive Phishing adalah jenis penipuan yang mengirimkan email atas nama organisasi yang meminta korban untuk melakukan aktivitas tertentu, seperti: verifikasi informasi akun, berikan nama pengguna, kata sandi, minta korban untuk mengubah kata sandi, lakukan transaksi pembayaran. Informasi tersebut digunakan oleh pelaku untuk mendapatkan akses tanpa sepengetahuan korban dan kemudian menggunakannya untuk mendapatkan keuntungan. Ada 2 cara penipuan penipuan yang biasa dilakukan. Pertama, pelaku menyamar sebagai perwakilan organisasi resmi kemudian meminta data pribadi korban. Yang kedua, pelaku berpura-pura menjadi lembaga dan memberikan lokasi yang berbahaya bagi korban.
Web Phising
Web phishing adalah jenis penipuan dengan cara menyalin website asli untuk menipu dan menarik pengguna. Biasanya situs phising ini akan meminta calon korban untuk memasukkan informasi sensitif pada kolom yang disediakan. Kolom ini kemudian akan mengirimkan informasi ini ke scammer. Pengguna kemudian akan dialihkan ke halaman asli tanpa menyadari bahwa mereka telah menjadi korban kejahatan phishing.
Web phising adalah upaya memanfaatkan website palsu untuk mengelabui calon korban. Website untuk phising akan terlihat mirip dengan website resmi dan menggunakan nama domain yang mirip. Hal ini disebut domain spoofing. Sebagai contoh, untuk menyerupai lelang.go.id, domain yang digunakan pelaku phising adalah lelanginternal.com.
Phising PDF
Jenis phishing ini masih tergolong baru muncul belakangan ini. Pencurian data disebut sering melalui pesan WhatsApp yang berkedok file PDF. Pelaku mencoba menyebarkan program aplikasi jahat yang bisa menyebabkan pencurian data pribadi.
Whaling
Istilah ini berasal dari kata ‘whale’ dalam bahasa Inggris yang berarti paus. Jenis phising ini menyasar korban ‘besar’ atau bukan orang biasa. Whaling biasanya menargetkan pegawai eksekutif tingkat tinggi atau tokoh terkenal, seperti direktur perusahaan, dengan maksud untuk mengacaukan instansinya. Serangan ini biasanya dilakukan dengan menyamar sebagai salah satu staf pengadilan atau pengumuman terkait situasi internal perusahaan. Jika tindakan whaling ini berhasil, akan banyak keuntungan yang bisa dimanfaatkan dari akses yang didapatkan.
Vishing
Huruf P diganti dengan huruf V karena serangan vishing dilakukan oleh penjahat menggunakan suara (voice) untuk melancarkan serangan dan mencari korban. Sudah sering berseliweran video di media sosial terkait telepon penipuan. Ada yang menimbulkan kepanikan dengan memberikan kabar kerabat yang ditangkap polisi atau kecelakaan, atau bahkan dapat hadiah undian. Ujung-ujungnya korban akan diminta untuk mentransfer sejumlah uang tertentu. Pelaku terkadang menggunakan nomor telepon yang tidak valid atau VoIP untuk menyembunyikan identitasnya.
Cara Mengenali dan Menghindari Phishing
Ada beberapa hal yang bisa diteliti ketika menerima email, SMS, atau telepon untuk menghindari agar tidak terjebak dalam perangkap penjahat cyber, diantaranya:
Nominal uang yang terlihat fantastis
Tidak ada hasil yang instan. Kecil sekali peluang seseorang mendapatkan uang dalam jumlah banyak tanpa harus bekerja keras siang dan malam. Kalau menerima email, telepon, atau chat yang mengatakan bahwa Anda mendapatkan dana hibah atau transfer uang hingga ratusan juta rupiah tanpa alasan apa pun, kemungkinan besar adalah phising.
Menang undian heboh
Beberapa konten phising yang dikirim hacker akan merayu untuk mengklaim hadiah karena telah berbelanja di platform tertentu, misalnya menang undian tiket jalan-jalan, smartphone, atau mobil. Jangan pernah klik link dalam pesan itu. Pastikan mengecek platform tersebut dan pastikan apakah ada promo yang valid, atau hubungi staf dukungan platform yang mengaku mengirimkan pesan tersebut untuk mengonfirmasi kebenarannya.
Kalimat ajakan terkesan terburu-buru
Kata-kata seperti “Ambil hadiah Anda sekarang atau besok hangus!” bisa menciptakan kesan tersendiri bagi beberapa orang, terutama yang sedang merasa membutuhkan sesuatu. Padahal biasanya platform yang mengadakan undian valid akan menampilkan informasi pemenang di website resmi mereka tanpa desakan untuk segera mengambilnya. Inilah yang dimanfaatkan para penjahat cyber untuk menjebak calon korbannya agar segera mengklik tautan atau memasukkan data pribadi dan informasi rahasia mereka.
Mengancam dengan berita palsu
Rasa panik menjadi salah satu celah psikologi yang sering dimanfaatkan penipu dunia maya. Biasanya mereka melakukannya melalui vishing, menggunakan nada suara yang sedikit menggertak agar Anda bertindak sesuai perintah. Bahkan ada juga sindikat yang menyamar menjadi staf kepolisian, menelepon Anda untuk menyampaikan berita yang menimbulkan rasa panik. Tentu saja setelahnya mereka akan meminta Anda mentransfer sejumlah uang. Jangan langsung gegabah melakukan sesuatu ketika menerima telepon seperti ini. Cobalah hubungi nomor rekan atau kerabat Anda yang mereka sebut mengalami suatu kejadian dan konfirmasikan kebenarannya.
Link eksternal
Email atau pesan yang dikirim penjahat sering kali mencantumkan link eksternal palsu yang bisa cukup berbahaya kalau Anda membukanya. Biasanya link tersebut terlihat berasal dari platform email atau media sosial yang mengabarkan bahwa akun Anda terkena hack. Bahkan, tidak jarang para penipu menggunakan domain palsu yang benar-benar mirip aslinya. Untuk memastikan apakah link tersebut valid, coba arahkan mouse ke link tersebut tapi jangan mengkliknya. Lihat URL-nya di pojok kiri bawah browser. Atau, klik kanan URL lalu copy-paste ke notepad untuk melihat tujuannya. Waspada juga terhadap short URL yang sering digunakan untuk menutupi tautan asli.
File berbahaya
Saat menerima email phising atau chat dari orang asing yang mencurigakan, waspadai file yang disertakan dalam lampiran pesan. Terkadang penipu pura-pura mengirimkan dokumen seperti bukti transfer, dokumen penting, atau bahkan proposal pekerjaan padahal filenya adalah program executable atau APK yang bisa memicu virus dan pencurian data kalau sampai diinstal.
