Serangan cyber yang paling banyak dilakukan dan memiliki tingkat keberhasilan serangan yang paling banyak adalah “Phishing”. Serangan phishing perlu kita waspadai karena sering menggunakan media yang sering kita pakai, seperti email dan pesan di telepon genggam kita.

Pada 2 Januari 1996 oleh AOL Usenet newsgroup, istilah Phishing pertama kali dibukukan dan dicatat. Phishing adalah teknik penipuan dengan mengelabui target dengan maksud untuk mencuri akun target. Pencurian bisa berupa data penting target seperti username, password dan kartu kredit dengan cara pengelabuan melalui komunikasi elektronik. Pengelabuan dilakukan menggunakan email spoofing(membuat pesan email palsu dengan alamat pengirim palsu) atau aplikasi chat, dan biasanya sering dengan menggunakan website palsu yang tampilannya sangat mirip dengan aslinya untuk ditujukan ke target langsung.

Phishing menurut hasil survei “The 2019 Cybersecurity Breaches Survey” dari UK Government DCMS, adalah peringkat paling atas serangan cyber. Dalam survei tersebut, menyatakan bahwa ada tiga organisasi bisnis(32%) dan dua dari 10 organisasi amal(22%) memberikan laporan mereka mendapatkan serangan cyber dalam 12 bulan terakhir ini. Serangan dengan tipe phishing merupakan yang paling tinggi, yaitu teridentifikasi 80% untuk organisasi bisnis dan 81% untuk organisasi amal.

Data dari perusahaan global cybersecurity, Kaspersky telah mendeteksi 192.591 serangan phishing pada triwulan pertama 2020 yang menyasar UKM Indonesia. Serangan meningkat jika dibandingkan dengan tahun lalu yaitu 158.492.

Phishing perlu kita waspadai di tahun 2020 saat ini. Apalagi terkait dengan kebocoran data yang menimpa 15juta akun Tokopedia, yang Tokopedia pun sudah mengakui ada usaha pencurian data penggunanya. Akun pengguna Tokopedia saat ini berpotensi terancam dengan serangan Phishing.

Phishing juga pernah heboh terjadi di Indonesia pada tahun 2001 yaitu kasus pembobolan internet banking milik bank BCA oleh Steven Haryanto. Lulusan Insinyur Kimia ITB itu, mempunyai ide ketika dia pernah salah mengetikan alamat website internet banking BCA. Lalu dia membuat website palsu yang sangat mirip dengan website internet banking BCA dan membeli domain yang ada kemungkinan orang salah mengetikan alamat internet banking BCA, yang seharusnya adalah http://www.klikbca.com, menjadi seperti berikut ini: wwwklikbca.com kilkbca.com clikbca.com klickbca.com klikbac.com

Bisa dipastikan orang yang tidak sadar telah salah memasukan alamat website internet banking BCA tetapi mendapatkan tampilan yang sama dengan website aslinya, pasti tidak ragu untuk memasukan user ID dan password.

Serangan phishing yang terjadi di internet banking BCA merupakan salah satu teknik phishing dengan teknik Website Forgery. Lebih lanjut berikut ini adalah teknik-teknik phishing yang pernah disampaikan pada forum internasional di US oleh International HP group Interex pada tahun 1987 :

1. Social Engineering, masyarakat memiliki sebuah reaksi terhadap kejadian-kejadian penting, teknik ini sangat ampuh digunakan oleh hacker untuk menangkap informasi-informasi penting tanpa usaha yang rumit, contoh di bulan April sampai dengan bulan May 2020 banyak bertebaran pesan simpati korban Covid-19 lalu meminta untuk di transfer ke rekening pribadi, seperti mengirimkan header email atau menulis di kolom komentar pada artikel-artikel paling banyak dibaca, “Para Dermawan yang budiman, bantulah saudara kita yang terkena covid”, header email “Bantulah Rakyat Aceh yang tertimpa Tsunami, kirimkan informasi anda sebagai volunteer”, header email lain yang menyentuh “Bantulah Korban Bencana Alam Situ Gintung, kirimkan secuil harta anda kepada mereka”.

2. Manipulasi Link, teknik ini adalah menyesatkan user dengan mengklik salah satu URL yang ada di email legitimate yang dikirimkan oleh hacker, seluruh email isinya asli dari perusahaan yang mengirimkannya, tetapi ada salah satu link yang dibelokkan oleh hacker yang akan menuju ke server lain yang bukan server sebenarnya (unlegitimate server). Nah, informasi user akan tertangkap oleh server palsu tersebut.

3. Filter Evasion, seorang ahli phisher/hacker akan menggunakan teknik ini untuk menghindari jeratan/filter phishing, biasanya akan menempelkan image untuk phishing, sehingga filter phishing yang dibuat oleh developer tidak dapat mengetahui adanya phishing atau tidak.

4. Website Forgery, seorang user sebagai korban yang mengunjungi website phishing tidak dapat mengetahui secara pasti, apakah website tersebut asli atau palsu, karena website akan dibuat sedemikian rupa sama dengan aslinya. Sekarang sudah lebih aman karena dilengkapi token untuk filtering transaksi e-banking. Teknik ini sangat ampuh dan sudah lama digunakan oleh hacker untuk mengelabui user. Teknik ini terkenal dengan sebutan Man-in-the middle.

5. Phone Phishing, tidak semua serangan phishing menggunakan website palsu. Seringkali hacker menggunakan media lain yang digunakan untuk phishing. Model phone phishing digunakan para hacker untuk mengelabui para user, biasanya mengirimkan email yang berlogo asli bank yang dipakai oleh user, yang berisi nomor telepon penyerang. (IGN Matra: 2009:https://inet.detik.com/security/d-1196824/)

Selanjutnya kita perlu mengenali cara mengantisipasi serangan Phishing ini. Langkah paling mudah adalah menginstall antivirus yang dapat memblokir website yang berpotensi malware sebelum kita download ke sistem.

Kedua, install aplikasi sistem keamanan email yang bisa mendeteksi email phishing dan menjaga email phishing tersebut tidak muncul pada folder inbox. Jika anda mendapatkan email phishing segera tandai sebagai sampah atau spam dan latih aplikasi agar mengenali jenis email ini sebagai spam.

Ketiga, menggunakan Two-Factor Authentication jika aplikasi atau web sudah mendukung.

Keempat, menggunakan aplikasi “Browser Security” yang bisa memblokir dan mengamati website jahat, dan menjaga kita ketika tidak sengaja mengaksesnya.

Kelima, kita perlu memperhatikan tautan yang kita klik apakah memiliki kesalahan dalam struktur penulisannya sehingga sekilas terlihat mirip dengan tautan yang asli. Pastikan tautan tersebut mengarah ke domain resminya. Dan pastikan alamat web menggunakan HTTPS.

Keenam, pastikan kita mengenali alamat pengirim. Misal serangan dilakukan melalui email, kita perlu pastikan bahwa alamat email dengan domain resmi, contoh: email resmi [email protected] bukan [email protected].

Ketujuh, selalu waspadai email yang meminta uang kepada kita, apakah itu untuk pembelian atau tagihan-tagihan keuangan serta meminta data pribadi kita, misal : nama, tanggal lahir, nama ibu kandung, alamat, nomor telepon dan lain-lain.

Terakhir, jika kita sudah terjebak ke dalam serangan phishing. Segera ganti password seluruh akun di internet, misal pin internet banking, email, atau media sosial. Pastikan ganti password dengan kombinasi yang sulit ditebak, seperti menggunakan kombinasi : huruf kapital, simbol, angka dan yang lainya.

Referensi:

https://thedefenceworks.com/blog/top-5-security-awareness-topics-for-2020/

The “2019 Cybersecurity Breaches Survey”, (https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/875799/Cyber_Security_Breaches_Survey_2019_-_Main_Report_-_revised.pdf)

https://www.cnnindonesia.com/teknologi/20200503034921-185-499476/akun-tokopedia-bocor-awas-ancaman-scam-dan-phising

https://katadata.co.id/berita/2020/05/11/ukm-indonesia-jadi-target-192-ribu-serangan-siber-selama-wfh

https://inet.detik.com/security/d-1196824/phishing-apa-dan-bagaimana-cara-kerjanya

https://www.kashflow.com/handle-phishing-attack/