Phishing atau cyber phising adalah jenis serangan rekayasa sosial yang sering digunakan untuk mencuri data pengguna internet, termasuk kredensial login dan nomor kartu kredit. Kondisi ini terjadi ketika penyerang menyamar sebagai entitas tepercaya, menipu korban untuk membuka email, pesan instan, atau pesan teks.
Dilansir dari Imperva, penerima kemudian ditipu untuk mengeklik tautan berbahaya yang dapat menyebabkan pemasangan perangkat lunak perusak, pembekuan sistem sebagai bagian dari serangan ransomware, atau pengungkapan informasi sensitif. Serangan phising dapat menghancurkan dan merugikan seseorang karena bisa jadi melakukan pembelian tidak sah, pencurian dana, atau pencurian identitas.
Artikel terkait: 5 Pedoman Agar Anak Cerdas Berinternet, Orang Tua dan Guru Wajib Tahu
Selain itu, phishing sering digunakan untuk mendapatkan pijakan di jaringan perusahaan atau pemerintah sebagai bagian dari serangan yang lebih besar, seperti peristiwa ancaman persisten tingkat lanjut (APT). Dalam skenario terakhir ini, karyawan dikompromikan untuk melewati batas keamanan, mendistribusikan malware di dalam lingkungan tertutup, atau mendapatkan akses istimewa ke data aman.
Sebuah perusahaan yang menyerah pada serangan semacam itu biasanya mengalami kerugian finansial yang parah selain penurunan pangsa pasar, reputasi, dan kepercayaan konsumen. Bergantung pada cakupannya, upaya phishing dapat meningkat menjadi insiden keamanan yang membuat bisnis sulit untuk pulih.
Untuk memberi gambaran bagaimana kasus phising, berikut ini ilustrasi upaya serangan yang cukup umum.
- Email palsu yang seolah-olah dari sebuah universitas didistribusikan secara massal ke sebanyak mungkin anggota fakultas.
- Email tersebut mengeklaim bahwa kata sandi pengguna akan segera kedaluwarsa. Instruksi diberikan untuk pergi ke laman tertentu untuk memperbarui kata sandi mereka dalam waktu 24 jam.
Beberapa hal dapat terjadi dengan mengeklik tautan. Sebagai contoh:
- Pengguna diarahkan ke laman palsu yang muncul persis seperti laman pembaruan yang sebenarnya. Di laman tersebut, kata sandi baru dan yang sudah ada diminta. Penyerang, memantau halaman, membajak kata sandi asli untuk mendapatkan akses ke area aman di jaringan universitas.
- Pengguna dikirim ke laman pembaruan kata sandi yang sebenarnya. Namun, saat dialihkan, skrip berbahaya aktif di latar belakang untuk membajak cookie sesi pengguna. Ini menghasilkan serangan XSS yang direfleksikan, memberikan pelaku akses istimewa ke jaringan universitas.
Artikel terkait: Catat! Ini 5 Cara Tes Kecepatan Internet Melalui HP dan Laptop
Teknik Phising
Penipuan Email
Email phishing adalah permainan angka. Penyerang yang mengirimkan ribuan pesan penipuan dapat menjaring informasi penting dan sejumlah uang, meskipun hanya sebagian kecil penerima yang tertipu. Ada beberapa teknik yang digunakan penyerang untuk meningkatkan tingkat keberhasilan mereka.
Pertama, mereka akan berusaha keras dalam merancang pesan phishing untuk meniru email dari sebuah perusahaan yang palsu. Mereka menggunakan frasa, tipografi, logo, dan tanda tangan yang sama membuat pesan tampak sah dan tepercaya.
Selain itu, penyerang biasanya akan mencoba mendorong pengguna untuk bertindak dengan menciptakan rasa urgensi. Misalnya, seperti yang ditunjukkan sebelumnya, email mengilustrasikan seakan-akan akun yang dimiliki akan kedaluarsa. Dengan cara ini, pengguna pun akan menjadi panik dan rentan melakukan kesalahan.
Terakhir, tautan di dalam pesan mirip dengan tautan yang sah, tetapi biasanya memiliki nama domain yang salah eja atau subdomain tambahan. Kesamaan antara dua alamat menawarkan kesan tautan aman sehingga membuat penerima kurang menyadari bahwa serangan sedang terjadi.
Spear Phising
Spear phishing menargetkan orang atau perusahaan tertentu, bukan pengguna aplikasi acak. Ini adalah versi phishing yang lebih mendalam dan memerlukan pengetahuan khusus tentang suatu perusahaan, termasuk struktur kekuatannya. Serangan mungkin terjadi sebagai berikut:
- Pelaku meneliti nama karyawan dalam departemen pemasaran perusahaan dan mendapatkan akses ke faktur proyek terbaru.
- Dengan menyamar sebagai direktur pemasaran, penyerang mengirim email kepada manajer proyek departemen (PM) menggunakan template email standar perusahaan.
- Tautan dalam email dialihkan ke dokumen internal yang dilindungi kata sandi, yang sebenarnya merupakan versi palsu dari faktur curian.
- PM diminta untuk login untuk melihat dokumen. Penyerang mencuri kredensialnya dan mendapatkan akses penuh ke area sensitif dalam jaringan perusahaan.
Dengan memberikan kredensial login yang valid kepada penyerang, spear phishing adalah metode yang efektif untuk mengeksekusi tahap pertama APT.
Artikel terkait: Parental Control sebagai Pengaman Internet untuk Anak
Bagaimana Cara Menghindarinya?
Perlindungan serangan phishing memerlukan langkah-langkah tertentu, baik yang dilakukan oleh perusahaan maupun oleh pengguna atau karyawan. Bagi karyawan, kewaspadaan adalah kuncinya. Sebuah pesan palsu sering mengandung kesalahan halus yang terkadang luput dari perhatian.
Ini dapat mencakup kesalahan ejaan atau perubahan pada nama domain. Pengguna juga harus berhenti dan memikirkan mengapa mereka bahkan menerima email seperti itu. Untuk perusahaan, sejumlah langkah dapat diambil untuk mengurangi serangan phishing dan spear phishing adalah sebagai berikut.
- Otentikasi dua faktor (2FA) adalah metode paling efektif untuk melawan serangan phishing karena menambahkan lapisan verifikasi tambahan saat masuk ke aplikasi sensitif.
- Selain menggunakan 2FA, perusahaan harus menerapkan kebijakan manajemen kata sandi yang ketat. Misalnya, karyawan harus diminta untuk sering mengubah kata sandi mereka dan tidak diizinkan untuk menggunakan kembali kata sandi untuk beberapa aplikasi.
- Kampanye pendidikan juga dapat membantu mengurangi ancaman serangan phishing dengan menerapkan praktik yang aman, seperti tidak mengeklik tautan email eksternal.
Demikian penjelasan mengenai phising dan cara menghindari serangannya. Semoga berguna untuk menambah keamanan Parents ketika menggunakan internet, ya!
***
Baca juga:
id.theasianparent.com/penggunaan-internet
id.theasianparent.com/privasi-adalah
id.theasianparent.com/kiddle-internet-aman-untuk-anak-dari-google