Pandemi COVID-19 tak bisa luput dari ancaman serangan siber. Meningkatnya risiko kejahatan siber terjadi karena aktivitas online semakin marak dilakukan banyak orang saat mereka bekerja atau belajar di rumah. Bahkan, menurut temuan terbaru dari Badan Siber dan Sandi Negara (BSSN) belum lama ini, phishing menjadi salah satu jenis serangan siber yang kian meningkat di masa pandemi.
Sekadar refreshment, phishing berasal dari kata bahasa Inggris fishing (memancing), yang mana adalah serangan manipulasi psikologis untuk memancing korban memberikan informasi penting seperti informasi keuangan dan password yang dimilikinya. Serangan ini terjadi ketika penjahat siber, yang menyamar sebagai entitas terpercaya, mengelabui korban untuk membuka email, pesan instan, atau pesan teks.
Ada beberapa jenis phishing yang sering diluncurkan penjahat siber. Namun, ada dua jenis phishing yang paling populer digunakan untuk menyasar kebanyakan korban. Pertama adalah clone phishing, di mana serangan dilakukan dengan melalui email yang seolah-olah terlihat resmi dan membawa attachment di dalamnya. Attachment lalu digunakan untuk mengambil data korban untuk dikirimkan lagi ke tempat yang diinginkan oleh si penyerang. Kemudian jenis phishing kedua adalah spear phishing, yang mana tingkat keberhasilan mencuri data pada jenis phishing tersebut cenderung lebih tinggi mengingat si penyerang punya target yang lebih spesifik.
Pada spear phishing, penyerang akan mengenali data dari targetnya terlebih dahulu, dengan demikian korban tidak akan curiga kalau dia tengah diserang. Data yang biasanya dicuri bisa seperti password, nomor kartu kredit, nomor telepon, hingga nomor rekening bank yang biasanya dicantumkan korban di layanan-layanan internet seperti media sosial, e-commerce, cloud, hingga layanan pinjaman online.
Phishing bisa menghasilkan kerugian finansial yang besar terhadap korbannya. Bahkan, phishing seringkali digunakan untuk mendapatkan akses jaringan perusahaan atau institusi pemerintahan sebagai bagian dari serangan yang lebih besar. ย Di artikel ini, kami akan kembali menyajikan pemahaman tentang apa itu phishing, contoh dan teknis serangannya, serta cara untuk mengantisipasi phishing agar Anda bisa menjaga keamanan aset digital yang dimiliki untuk terhindar dari kemungkinan serangan phishing di masa mendatang.
Cara Kerja Serangan Phishing
- Ambil satu contoh kasus di mana ada sebuah email palsu seolah-olah berasal dari universitas X yang didistribusikan secara masif ke banyak anggota universitas X.
- Email tersebut mengklaim bahwa password pengguna akan segera kadaluwarsa. Instruksi diberikan untuk membuka universitasX.xyz/resetpassword untuk memperbarui password mereka dalam waktu 24 jam.
Ada beberapa hal yang dapat terjadi jika korban mengklik tautan tersebut :
- Korban dialihkan ke universitasX.rstpasswd.com, halaman palsu yang muncul persis seperti halaman pembaruan yang sebenarnya, di mana password baru dan yang sudah ada diminta. Penyerang, yang memantau halaman, membajak password asli untuk mendapatkan akses ke area aman di jaringan universitas.
- Korban dikirim ke halaman pembaruan password yang sebenarnya. Namun, saat sedang dialihkan, ada skrip berbahaya yang aktif di latar belakang untuk membajak cookie sesi pengguna. Hal ini menghasilkan serangan XSS yang tercermin, dan memberikan pelaku akses istimewa ke jaringan universitas.
Ciri-Ciri Phishing
Penyerang yang mengirimkan ribuan pesan penipuan dapat menjaring informasi penting dan sejumlah uang, sekalipun jika hanya sebagian kecil korban yang terperangkap. Seperti yang terlihat pada contoh kasus atas, ada beberapa ciri-ciri phishing yang digunakan penyerang untuk meningkatkan keberhasilan mereka.
Pertama, mereka akan berusaha merancang pesan phishing untuk meniru email sesungguhnya dari organisasi palsu. Berbagai metode digunakan seperti merekayasa frasa, tipografi, logo, bahkan tanda tangan yang sama untuk membuat pesan seolah-seolah tampak asli.
Selain itu, penyerang biasanya akan menekan korban untuk bertindak dalam situasi urgen. Misal, seperti yang ditunjukkan sebelumnya, email phishing mengancam akun korban akan kadaluwarsa jika tidak memperbarui kata sandi, dan korban harus menggantinya dalam waktu 1×24 jam.
Terakhir, tautan di dalam pesan bisa mirip dengan yang asli, tetapi biasanya memiliki nama domain dengan pengejaan yang keliru atau subdomain tambahan. Pada contoh di atas, URL universitasX/resetpassword diubah menjadi universitasX.rstpasswd.com. Kemiripan antara dua alamat ini seolah-olah menghadirkan tautan yang aman, sehingga membuat korban tidak sadar bahwa bahwa mereka tengah diintai.
Antisipasi Phishing dengan Tiga Cara Berikut
Baik Anda merupakan individual atau pelaku bisnis dalam sebuah organisasi, penting untuk mengantisipasi serangan phishing agar tidak menjadi korban berikutnya. Ada sejumlah langkah dapat diambil untuk mencegah serangan phishing.
- Autentikasi multiaktor (2FA) menjadi metode paling efektif untuk mencegah serangan phishing. Metode ini menambahkan lapisan verifikasi tambahan saat masuk ke aplikasi sensitif. 2FA memberikan proteksi kepada pengguna dari dua instrumen: sesuatu yang mereka ketahui, seperti password dan nama pengguna, dan sesuatu yang mereka miliki, seperti perangkat smartphone mereka.
- Selain menggunakan 2FA, organisasi harus menerapkan kebijakan manajemen password yang ketat. Misalnya, karyawan harus sering mengubah kata password dan tidak diizinkan menggunakan kembali password untuk banyak aplikasi lainnya.
- Menghadiri seminar atau sesi edukasi terkait keamanan siber juga dapat membantu meningkatkan pengetahuan terkait ancaman serangan phishing dengan menerapkan tindakan keamanan yang lebih ekstensif.
Dengan mengetahui apa itu phishing, jenis, cara kerja, serta ciri-cirinya, bukan menjadi satu-satunya cara bagi Anda untuk dapat mengamankan aset digital yang dimiliki agar terhindar dari kerugian. Dalam hal ini, kewaspadaan justru menjadi kunci utama. Karenanya, Defenxor sebagai ahli keamanan IT terpercaya di Indonesia selalu berkomitmen memberikan informasi dan tips-tips yang diharapkan dapat membantu Anda waspada dalam menghadapi tantangan keamanan siber saat ini, serta senantiasa ingin meningkatkan kesadaran akan pentingnya memastikan keamanan digital agar terhindar dari ancaman siber seperti phishing di waktu mendatang.
