Phising

5 min baca

5 min baca

Phising adalah bentuk serangan rekayasa sosial, di mana penjahat menyamar sebagai entitas yang dapat dipercaya sambil meminta informasi sensitif dari korban.

Apa itu phising?

Teknik yang digunakan untuk mendapatkan data pengguna yang berharga yang dapat dijual atau disalahgunakan oleh peretas untuk tujuan jahat, seperti pemerasan, pencurian uang, atau pencurian identitas.


Pernahkah Anda menerima email, teks, atau bentuk komunikasi elektronik lainnya yang tampaknya berasal dari bank, atau layanan online populer lainnya, yang meminta Anda untuk "mengkonfirmasi" kredensial akun, nomor kartu kredit, atau informasi sensitif lainnya? Jika demikian, Anda sudah tahu seperti apa serangan phising yang umum.

Asal istilah

Konsep ini pertama kali dijelaskan dalam makalah konferensi 1987 oleh Jerry Felix dan Chris Hauck yang disebut "Keamanan Sistem: Perspektif Peretas" (1987 Interex Proceedings 1:6). Ini membahas teknik peretas yang meniru entitas atau layanan yang memiliki reputasi baik. Kata itu sendiri adalah homofon dari "memancing" untuk target - karena menggunakan logika "umpan-tangkap" yang sama. Huruf "ph-" pada awalnya mengacu pada "phreaks", sekelompok peretas yang bereksperimen dengan, dan secara ilegal menjelajahi perbatasan, sistem telekomunikasi pada 1990-an.

Bagaimana cara kerja phising?

Phising telah ada selama bertahun-tahun dan pada saat itu, Peretas telah mengembangkan beragam metode untuk menargetkan korban.

Teknik phising yang paling umum adalah menyamar sebagai bank atau lembaga keuangan melalui email, untuk memikat korban agar mengisi formulir palsu di atau dilampirkan ke pesan email, atau mengunjungi halaman web yang meminta masuknya detail akun atau kredensial login.

Baca lebih banyak

Informasi yang dicuri dari para korban biasanya disalahgunakan untuk mengosongkan rekening bank mereka atau dijual secara online.

Serangan serupa juga dapat dilakukan melalui panggilan telepon (vishing) maupun pesan SMS (smishing).

Spearphishing

Metode phising yang lebih canggih di mana pesan phising yang tampaknya otentik masuk ke kotak masuk grup, perusahaan, atau bahkan individu tertentu. Penulis email spearphishing melakukan penelitian mendetail tentang target mereka sebelumnya, sehingga sulit untuk mengidentifikasi konten sebagai penipuan.

Serangan yang difokuskan pada individu bisnis tertentu yang sebagian besar berprofil tinggi – seperti manajer puncak atau pemilik – diberi label sebagai “penangkapan ikan paus”, karena besarnya potensi imbalan (orang jahat mengejar “ikan besar”).

Cara mengenali phising

Di masa lalu, nama domain yang salah eja atau menyesatkan sering digunakan untuk tujuan ini. Saat ini, pelaku menggabungkan metode yang lebih canggih, membuat tautan dan halaman palsu sangat mirip dengan yang asli.

Email atau pesan elektronik dapat berisi logo resmi atau tanda lain dari organisasi yang bereputasi baik dan masih berasal dari phisher. Berikut adalah beberapa petunjuk yang dapat membantu Anda menemukan pesan phising.

Tanda mencurigakan

  1. Salam umum atau informal – Jika pesan tidak memiliki personalisasi (misalnya "Pelanggan yang Terhormat") dan formalitas, maka mungkin ada sesuatu yang salah. Hal yang sama berlaku untuk personalisasi semu menggunakan acak, nomor referensi palsu
  2. Permintaan informasi pribadi – Sering digunakan oleh phisher, biasanya dihindari oleh bank, lembaga keuangan, dan sebagian besar layanan online
  3. Tata bahasa yang buruk – Kesalahan ejaan, kesalahan ketik, dan frasa yang tidak biasa sering kali menunjukkan kepalsuan (tetapi tidak adanya salah satu dari ini bukan bukti legitimasi)
  4. Korespondensi tak terduga – Kontak yang tidak diminta dari bank atau penyedia layanan online sangat tidak biasa dan karenanya mencurigakan
  5. Rasa urgensi – Pesan phising sering kali mencoba mendorong tindakan yang cepat dan kurang dipertimbangkan
  6. Tawaran yang tidak bisa Anda tolak? – Jika pesannya terdengar terlalu bagus untuk menjadi kenyataan, itu hampir pasti
  7. Domain yang mencurigakan – Apakah bank AS atau Jerman benar-benar mengirim email dari domain China?

Bagaimana melindungi diri Anda dari phising

Untuk menghindari umpan phising, perhatikan indikator di atas yang digunakan untuk mengirim pesan phising
umumnya berasal dari diri mereka sendiri. Ikuti langkah-langkah sederhana ini:

Waspadai teknik phising baru

Ikuti media untuk laporan serangan phising, karena pelaku mungkin menemukan teknik baru untuk memikat pengguna ke dalam jebakan.

Jangan berikan informasi pribadi Anda

Selalu waspada jika pesan elektronik dari entitas yang tampaknya dapat dipercaya meminta kredensial Anda atau detail sensitif lainnya.

Berpikir dua kali sebelum mengklik

Jika pesan mencurigakan memberikan tautan atau lampiran, jangan klik atau unduh. Melakukannya dapat mengarahkan Anda ke situs web berbahaya atau menginfeksi perangkat Anda dengan malware.

Periksa akun online Anda secara teratur

Jika pesan mencurigakan memberikan tautan atau lampiran, jangan klik atau unduh. Melakukannya dapat mengarahkan Anda ke situs web berbahaya atau menginfeksi perangkat Anda dengan malware.

Gunakan solusi anti phising yang andal.

Terapkan teknik ini dan 'Nikmati Teknologi yang Lebih Aman'.

Contoh penting

Phising sistematis dimulai di jaringan America Online (AOL) pada tahun 1995. Untuk mencuri kredensial akun yang sah, Pelaku menghubungi korban melalui AOL Instant Messenger (AIM), sering kali berpura-pura menjadi karyawan AOL yang memverifikasi kata sandi pengguna. Istilah "phising" muncul di newsgroup Usenet yang berfokus pada alat bernama AOHell yang mengotomatiskan metode ini, dan namanya stuck. Setelah AOL memperkenalkan tindakan pencegahan pada tahun 1997, para pelaku menyadari bahwa mereka dapat menggunakan teknik yang sama di bagian lain dari dunia online dan bergerak ke arah meniru lembaga keuangan.

Contoh-contoh sebelumnya

Salah satu upaya besar pertama, meskipun gagal, terjadi pada tahun 2001, mengambil keuntungan dari kekacauan serangan teror 9/11. Phisher mengirimkan email yang meminta beberapa korban untuk memeriksa ID, mencoba menyalahgunakan data yang diperoleh untuk mencuri detail keuangan dari layanan mata uang digital e-gold.

Hanya butuh tiga tahun lagi untuk phising untuk mendapatkan pijakan yang kuat di dunia online dan pada tahun 2005 telah merugikan pengguna AS lebih dari US$900 juta.

Menurut Survei Phishing Global APWG, lebih dari 250.000 serangan phising unik diamati pada tahun 2016, menggunakan rekor jumlah nama domain yang terdaftar secara jahat melebihi angka 95.000. Dalam beberapa tahun terakhir, phisher cenderung fokus pada perbankan, layanan finansial dan keuangan, pelanggan e-commerce dan jaringan sosial dan kredensial email.

ESET melindungi Anda dari phising

PREMIUM SECURITY

ESET Smart Security Premium

Dibangun tanpa kompromi untuk pengguna yang menginginkan semuanya.
Mengamankan perangkat Windows, macOS, dan Android.

 

Keamanan digital terbaik untuk bisnis

Lindungi titik akhir perusahaan Anda, data bisnis, dan pengguna dengan
teknologi berlapis-lapis ESET.

Keamanan digital terbaik untuk bisnis

Lindungi titik akhir perusahaan Anda, data bisnis, dan pengguna dengan teknologi berlapis-lapis ESET.