Pengertian Phising dan Cara Mengatasinya

Ketika berbicara tentang keamanan digital, salah satu ancaman yang sering kali kita dengar namun belum tentu kita pahami sepenuhnya adalah phising. 

Meski istilah ini sering muncul dalam diskusi tentang dunia maya, banyak dari kita mungkin belum benar-benar memahami bagaimana phising bekerja, jenis-jenisnya, serta bagaimana kita dapat melindungi diri kita dari serangan ini. 

Pada artikel ini akan mengupas tuntas mengenai phising dengan gaya yang menarik dan berbeda dari yang lain.

Pengertian Phising

Phising adalah metode penipuan yang digunakan oleh pihak tidak bertanggung jawab untuk mendapatkan informasi sensitif seperti kata sandi, nomor kartu kredit, atau data pribadi lainnya dengan cara menyamar sebagai entitas yang terpercaya. 

Istilah "phising" berasal dari kata "fishing" atau memancing, yang dalam hal ini merujuk pada memancing korban agar memberikan informasi pribadi mereka melalui jebakan digital. Jadi, secara sederhana, phising adalah bentuk penipuan online yang berusaha mencuri data pribadi kita.

Cara Kerja Phising

Phising biasanya dilakukan melalui email, pesan teks, atau bahkan situs web palsu. Pelaku phising akan mengirimkan pesan yang tampak seperti berasal dari institusi terpercaya, seperti bank, perusahaan teknologi, atau layanan e-commerce. 

Pesan tersebut sering kali menyertakan link yang membawa kita ke halaman login palsu. Jika kita memasukkan informasi pribadi di halaman tersebut, informasi tersebut akan langsung masuk ke tangan pelaku.

Contohnya, kita mungkin menerima email yang terlihat seperti dari bank kita, dengan pesan yang mengatakan bahwa ada masalah dengan akun kita dan kita harus login untuk memperbaikinya. 

Namun, link yang disertakan dalam email tersebut sebenarnya mengarahkan kita ke situs palsu yang didesain mirip dengan situs bank kita. Begitu kita login, pelaku phising akan mendapatkan akses ke informasi login kita dan bisa menggunakannya untuk mencuri uang dari rekening kita.

Jenis-Jenis Phising

Phising tidak hanya terbatas pada satu bentuk atau metode. Pelaku kejahatan siber selalu mencari cara baru untuk menipu kita, dan hasilnya adalah berbagai jenis phising yang beragam. Berikut ini adalah beberapa jenis phising yang perlu kita waspadai:

1. Email Phising

Ini adalah bentuk phising yang paling umum dan dikenal. Pelaku mengirimkan email yang tampaknya berasal dari institusi resmi seperti bank, perusahaan teknologi, atau layanan online lainnya. 

Email ini sering kali mencakup pesan mendesak seperti "verifikasi akun Anda" atau "perbarui informasi pembayaran Anda." 

Di dalam email, terdapat link yang mengarahkan kita ke halaman login palsu. Jika kita memasukkan informasi pribadi di sana, pelaku akan mendapatkan akses ke data tersebut. 

jenis ini adalah yang paling klasik, efektivitasnya tidak bisa diremehkan karena banyak orang masih terjebak dengan email yang tampak sah ini.

2. Spear Phising

Berbeda dengan email phising yang bersifat massal, spear phising lebih ditargetkan kepada individu atau organisasi tertentu. Pelaku biasanya melakukan riset terlebih dahulu mengenai korban untuk membuat pesan yang sangat personal dan meyakinkan. 

Misalnya, jika kita bekerja di perusahaan tertentu, pelaku bisa saja mengirimkan email yang tampak seperti dari rekan kerja atau atasan kita dengan topik yang relevan dengan pekerjaan kita. 

Karena pesannya tampak sangat spesifik dan relevan, kita mungkin lebih cenderung untuk mempercayainya dan memberikan informasi yang diminta.

3. Whaling

Whaling adalah varian dari spear phising, tetapi menargetkan individu yang memiliki posisi tinggi dalam sebuah organisasi, seperti CEO, CFO, atau manajer senior. 

Pelaku whaling biasanya menggunakan informasi yang sangat spesifik dan relevan dengan pekerjaan korban untuk menipu mereka agar memberikan informasi penting atau melakukan transfer dana. 

Serangan whaling bisa sangat merusak karena melibatkan orang-orang yang memiliki akses ke informasi sensitif atau sumber daya keuangan yang besar.

4. Pharming

Pharming adalah teknik yang lebih canggih di mana pelaku mengalihkan traffic dari situs web yang sah ke situs palsu tanpa sepengetahuan korban. Bahkan jika kita mengetik alamat situs web yang benar di browser kita, kita tetap bisa diarahkan ke situs palsu. 

Hal ini dapat terjadi karena pelaku telah mengubah entri DNS atau memanipulasi pengaturan di perangkat kita. Pharming adalah salah satu jenis phising yang paling berbahaya karena sulit dideteksi oleh pengguna biasa. 

Kita bisa saja merasa aman dengan memasukkan URL secara manual, tetapi tetap saja diarahkan ke situs penipuan.

5. Vishing (Voice Phising)

Vishing adalah bentuk phising yang dilakukan melalui panggilan telepon. Pelaku vishing akan menelepon kita dan berpura-pura menjadi perwakilan dari bank, lembaga pemerintah, atau perusahaan lain yang terpercaya. 

Mereka akan mencoba menipu kita dengan cerita yang tampak sah, seperti klaim bahwa ada masalah dengan rekening kita atau bahwa kita perlu memverifikasi identitas kita. 

Dalam banyak kasus, pelaku vishing menggunakan teknik social engineering untuk menekan atau menakut-nakuti kita agar memberikan informasi pribadi seperti nomor kartu kredit atau kata sandi.

6. Smishing (SMS Phising)

Smishing adalah bentuk phising yang dilakukan melalui pesan teks atau SMS. Sama seperti email phising, smishing juga memanfaatkan pesan yang tampak resmi untuk menipu kita agar mengklik link berbahaya atau memberikan informasi pribadi. 

Pesan smishing sering kali mencakup pernyataan mendesak seperti "akun Anda telah dikunci" atau "Anda memenangkan hadiah." Karena pesan teks cenderung lebih personal dan mendesak, banyak orang yang terjebak dengan smishing tanpa menyadarinya.

7. Clone Phising

Dalam clone phising, pelaku membuat salinan dari email yang sah yang sebelumnya telah diterima oleh korban. Pelaku kemudian mengirimkan email yang mirip, tetapi dengan perubahan kecil seperti mengganti link dengan yang berbahaya. 

Karena email ini tampak identik dengan yang asli, korban mungkin tidak menyadari perbedaan dan akhirnya memasukkan informasi mereka di situs palsu. Clone phising memanfaatkan kepercayaan yang sudah terbentuk antara korban dan pengirim asli.

8. CEO Fraud

CEO fraud adalah jenis phising di mana pelaku menargetkan karyawan suatu perusahaan dengan berpura-pura menjadi CEO atau eksekutif tinggi lainnya. 

Pelaku akan mengirimkan email yang tampaknya berasal dari CEO, biasanya meminta transfer uang atau akses ke informasi sensitif. 

Karena email ini datang dari seseorang dengan otoritas tinggi dalam perusahaan, karyawan mungkin merasa tertekan atau berkewajiban untuk memenuhi permintaan tersebut tanpa mempertanyakan keasliannya.

9. Evil Twin Phising

Evil twin phising melibatkan pembuatan jaringan Wi-Fi palsu yang tampak seperti jaringan yang sah. Pelaku menciptakan titik akses Wi-Fi dengan nama yang sama atau mirip dengan jaringan yang sah, dan ketika kita terhubung ke jaringan tersebut, pelaku dapat memantau dan mencuri informasi yang kita kirimkan. 

Teknik ini sering digunakan di tempat-tempat umum seperti kafe, bandara, atau hotel, di mana kita cenderung menggunakan jaringan Wi-Fi tanpa terlalu banyak pertimbangan.

10. Pop-up Phising

Pop-up phising adalah teknik di mana pelaku menampilkan jendela pop-up di layar kita yang meminta kita untuk memasukkan informasi pribadi atau login ke akun kita.

 Pop-up ini mungkin muncul saat kita mengunjungi situs web tertentu atau mengklik link berbahaya. Karena pop-up sering kali dirancang agar tampak seperti bagian dari situs web yang kita kunjungi, kita mungkin tanpa disadari memasukkan informasi sensitif ke dalamnya.

Cara Mengatasi Phising

Setelah memahami betapa seriusnya ancaman phising, tentu kita ingin tahu cara melindungi diri. Berikut ini adalah langkah-langkah yang lebih mendetail yang bisa kita lakukan untuk mencegah dan mengatasi phising:

1. Verifikasi Sumber Pesan dengan Teliti

Ketika menerima email atau pesan yang meminta informasi pribadi, kita harus selalu berhati-hati. Jangan pernah langsung percaya hanya karena pesan tersebut terlihat resmi. 

Periksa alamat pengirim dengan seksama. Apakah alamat email tersebut benar-benar berasal dari institusi yang diklaim? Jika kita ragu, lebih baik menghubungi institusi tersebut melalui kontak resmi yang kita miliki, seperti menelepon nomor layanan pelanggan yang tertera di situs web resmi.

2. Hindari Klik Sembarangan pada Link dan Lampiran

Salah satu metode utama phising adalah dengan menipu kita agar mengklik link atau membuka lampiran yang tampaknya sah. 

Sebagai langkah pencegahan, kita harus selalu menghindari mengklik link yang mencurigakan, terutama jika datang dari sumber yang tidak dikenal. 

Lebih baik mengetik alamat situs secara manual di browser daripada mengandalkan link dari email atau pesan.

3. Tes Dengan Memasukkan Username dan Password Yang Salah

Saat akan memasukkan Username dan Password pada sebuah akun, untuk memastikan halaman tersebut asli dari situs resminya. Silakan coba dengan memasukkan Username dan Password yang salah.

Jika halaman login tersebut merupakan Phising, maka biasanya akan dialihkan ke halaman lain. 

Namun jika halaman login tersebut asli, maka akan muncul peringatan Username dan Password salah.

4. Gunakan Autentikasi Dua Faktor (2FA)

Autentikasi dua faktor adalah salah satu cara paling efektif untuk melindungi akun kita dari akses yang tidak sah. 

Dengan 2FA, meskipun pelaku phising berhasil mencuri kata sandi kita, mereka tetap memerlukan kode unik yang dikirimkan ke ponsel kita untuk mengakses akun. 

Aktifkan 2FA di semua akun penting, seperti email, media sosial, dan layanan perbankan online.

5. Perbarui Perangkat Lunak Secara Berkala

Perangkat lunak yang usang sering kali menjadi celah yang dapat dimanfaatkan oleh pelaku phising untuk menyerang.

Pastikan bahwa sistem operasi, browser, dan aplikasi keamanan kita selalu diperbarui. Pembaruan ini sering kali mencakup perbaikan untuk kerentanan keamanan yang baru ditemukan.

6. Periksa URL dengan Cermat

Pelaku phising sering menggunakan URL yang sangat mirip dengan situs web asli untuk menipu korban. Sebagai contoh, mereka mungkin mengganti huruf "o" dengan angka "0" atau menggunakan nama domain yang hanya berbeda satu huruf dari yang asli. 

Sebelum kita memasukkan informasi pribadi di sebuah situs web, pastikan kita telah memeriksa URL dengan teliti. Jika terlihat ada yang janggal, lebih baik tidak melanjutkan.

7. Gunakan Alat Anti-Phising dan Ekstensi Browser

Saat ini, banyak browser modern yang dilengkapi dengan alat anti-phising bawaan yang dapat memperingatkan kita jika kita mencoba mengunjungi situs web yang dicurigai sebagai phising. 

Selain itu, kita juga dapat menginstal ekstensi browser khusus yang dirancang untuk memblokir upaya phising. Pastikan alat ini diaktifkan dan selalu diperbarui agar kita terlindungi dari ancaman terbaru.

8. Laporkan Serangan Phising

Jika kita menerima email atau pesan yang mencurigakan, jangan hanya mengabaikannya. Laporkan ke penyedia layanan atau institusi terkait. 

Banyak layanan email dan media sosial yang memiliki mekanisme untuk melaporkan phising. 

Dengan melaporkan, kita membantu mencegah orang lain menjadi korban serangan yang sama. Kita juga dapat melaporkan serangan phising ke otoritas keamanan siber di negara kita.

9. Gunakan Kata Sandi yang Kuat dan Unik

Salah satu langkah paling dasar namun penting adalah menggunakan kata sandi yang kuat dan unik untuk setiap akun online kita. Hindari menggunakan kata sandi yang sama untuk beberapa akun, karena jika satu akun diretas, semua akun kita bisa terancam. 

Gunakan kombinasi huruf besar, huruf kecil, angka, dan simbol untuk menciptakan kata sandi yang sulit ditebak. Untuk memudahkan manajemen kata sandi, kita bisa menggunakan manajer kata sandi yang terpercaya.

10. Tetap Waspada terhadap Taktik Social Engineering

Phising sering kali menggunakan taktik social engineering, di mana pelaku memanfaatkan psikologi manusia untuk menipu kita. 

Mereka mungkin mencoba menakut-nakuti kita dengan pesan mendesak, seperti ancaman penutupan akun atau masalah keamanan. Tetap tenang dan berpikir logis. Jangan pernah memberikan informasi pribadi tanpa memastikan kebenaran dari permintaan tersebut.

11. Gunakan Layanan Pembayaran yang Aman

Jika kita diminta untuk melakukan pembayaran secara online, pastikan kita menggunakan layanan pembayaran yang aman seperti PayPal atau kartu kredit yang menawarkan perlindungan konsumen. 

Hindari mentransfer uang langsung ke rekening bank yang tidak dikenal atau menggunakan layanan pembayaran yang tidak memiliki reputasi baik.

12. Simak Berita dan Informasi Terkini tentang Ancaman Phising

Dunia teknologi selalu berubah, begitu pula dengan teknik phising. Dengan mengikuti berita dan informasi terkini tentang ancaman phising, kita bisa lebih siap menghadapi serangan baru. 

Ada banyak sumber daya online yang menyediakan informasi tentang ancaman keamanan siber, termasuk blog teknologi, situs web keamanan, dan media sosial.

13. Edukasi Diri dan Orang di Sekitar

Salah satu cara paling efektif untuk melawan phising adalah dengan meningkatkan kesadaran dan edukasi. 

Semakin banyak kita tahu tentang teknik-teknik yang digunakan oleh pelaku phising, semakin kecil kemungkinan kita menjadi korban. Luangkan waktu untuk mempelajari tanda-tanda phising dan berbagi pengetahuan ini dengan teman dan keluarga. 

Dengan demikian, kita tidak hanya melindungi diri sendiri tetapi juga orang-orang di sekitar kita.

Baca juga: Pentingnya Software Antivirus Pada Saat Mengakses Internet Pada Komputer

Dengan memahami cara kerja phising dan mengimplementasikan langkah-langkah pencegahan yang disebutkan di atas, kita dapat melindungi diri kita dari serangan yang merugikan ini. 

Phising memang merupakan ancaman yang serius, tetapi dengan pengetahuan dan kewaspadaan, kita bisa menghindari menjadi korban. Selalu ingat, dalam dunia digital, keamanan kita adalah tanggung jawab kita sendiri.