TL;DR

  • Phishing adalah praktik jahat di mana penyerang menyamar sebagai entitas yang dapat dipercaya untuk mengelabui individu agar mengungkapkan informasi sensitif.

  • Tetap waspada terhadap phishing dengan mengenali tanda-tanda umum seperti URL mencurigakan dan permintaan informasi pribadi yang mendesak.

  • Pahami beragam teknik phishing, mulai dari penipuan email umum hingga spear phishing yang canggih, untuk memperkuat pertahanan keamanan siber.

Perkenalan

Phishing adalah taktik berbahaya di mana pelaku kejahatan berpura-pura menjadi sumber terpercaya untuk menipu orang agar membagikan data sensitif. Dalam artikel ini, kami akan menjelaskan apa itu phishing, cara kerjanya, dan apa yang dapat Anda lakukan untuk menghindari menjadi korban penipuan tersebut.

Cara Kerja Phishing

Phishing terutama mengandalkan rekayasa sosial, sebuah metode di mana penyerang memanipulasi individu untuk membocorkan informasi rahasia. Penyerang mengumpulkan detail pribadi dari sumber publik (seperti media sosial) untuk membuat email yang tampak autentik. Korban sering kali menerima pesan jahat yang tampaknya berasal dari kontak akrab atau organisasi terkemuka.

Bentuk phishing yang paling umum terjadi melalui email yang berisi tautan atau lampiran berbahaya. Mengklik tautan ini dapat memasang malware di perangkat pengguna atau mengarahkan mereka ke situs web palsu yang dirancang untuk mencuri informasi pribadi dan keuangan.

Meskipun email phishing yang ditulis dengan buruk lebih mudah dikenali, penjahat dunia maya menggunakan alat canggih seperti chatbot dan generator suara AI untuk meningkatkan keaslian serangan mereka. Hal ini menyulitkan pengguna untuk membedakan antara komunikasi asli dan palsu.

Mengenali Upaya Phishing

Mengidentifikasi email phishing mungkin rumit, namun ada beberapa tanda yang dapat Anda perhatikan.

Tanda-tanda Umum

Berhati-hatilah jika pesan berisi URL yang mencurigakan, menggunakan alamat email publik, menimbulkan ketakutan atau urgensi, meminta informasi pribadi, atau memiliki kesalahan ejaan dan tata bahasa. Dalam kebanyakan kasus, Anda dapat mengarahkan mouse ke tautan untuk memeriksa URL tanpa benar-benar mengekliknya.

Penipuan Berbasis Pembayaran Digital

Phisher sering kali menyamar sebagai layanan pembayaran online tepercaya seperti PayPal, Venmo, atau Wise. Pengguna menerima email palsu yang mendesak mereka untuk memverifikasi detail login. Sangat penting untuk tetap waspada dan melaporkan aktivitas mencurigakan.

Serangan Phishing Berbasis Keuangan

Penipu menyamar sebagai bank atau lembaga keuangan, mengklaim pelanggaran keamanan untuk mendapatkan informasi pribadi. Taktik yang umum mencakup email yang menipu tentang transfer uang atau penipuan setoran langsung yang menargetkan karyawan baru. Mereka mungkin juga mengklaim bahwa ada pembaruan keamanan yang mendesak.

Penipuan Phishing Terkait Pekerjaan

Penipuan yang dipersonalisasi ini melibatkan penyerang yang menyamar sebagai eksekutif, CEO, atau CFO, meminta transfer kawat atau pembelian palsu. Phishing suara menggunakan generator suara AI melalui telepon adalah metode lain yang digunakan oleh penipu.

Cara Mencegah Serangan Phishing

Untuk mencegah serangan phishing, penting untuk menerapkan berbagai langkah keamanan. Hindari mengklik tautan apa pun secara langsung. Sebaliknya, kunjungi situs web atau saluran komunikasi resmi perusahaan untuk memeriksa apakah informasi yang Anda terima sah. Pertimbangkan untuk menggunakan alat keamanan seperti perangkat lunak antivirus, firewall, dan filter spam.

Selain itu, organisasi harus menggunakan standar otentikasi email untuk memverifikasi email masuk. Contoh umum metode autentikasi email mencakup DKIM (DomainKeys Identified Mail) dan DMARC (Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain).

Bagi individu, penting untuk memberi tahu keluarga dan teman mereka tentang risiko phishing. Bagi perusahaan, sangat penting untuk mengedukasi karyawan tentang teknik phishing dan memberikan pelatihan kesadaran berkala untuk mengurangi risiko.

Jika Anda memerlukan bantuan dan informasi lebih lanjut, carilah inisiatif pemerintah seperti OnGuardOnline.gov dan organisasi seperti Anti-Phishing Working Group Inc. Mereka menyediakan sumber daya dan panduan yang lebih rinci dalam mengenali, menghindari, dan melaporkan serangan phishing.

Jenis-jenis Phishing

Teknik phishing terus berkembang, dan penjahat dunia maya menggunakan berbagai metode. Berbagai jenis phishing biasanya diklasifikasikan berdasarkan target dan vektor serangan. Mari kita lihat lebih dekat.

Kloning phishing

Penyerang akan menggunakan email sah yang dikirim sebelumnya dan menyalin isinya ke email serupa yang berisi tautan ke situs jahat. Penyerang mungkin juga mengklaim bahwa ini adalah tautan yang diperbarui atau baru, dengan menyatakan bahwa tautan sebelumnya salah atau kedaluwarsa.

Tombak phishing

Jenis serangan ini terfokus pada satu orang atau institusi. Serangan tombak lebih canggih dibandingkan jenis phishing lainnya karena diprofilkan. Artinya, penyerang pertama-tama mengumpulkan informasi tentang korban (misalnya nama teman atau anggota keluarga) dan menggunakan data ini untuk memikat korban ke file situs web berbahaya.

farmasi

Penyerang akan meracuni catatan DNS, yang, dalam praktiknya, akan mengarahkan pengunjung situs web sah ke situs web palsu yang telah dibuat sebelumnya oleh penyerang. Ini adalah serangan yang paling berbahaya karena catatan DNS tidak berada dalam kendali pengguna, sehingga membuat pengguna tidak berdaya untuk bertahan melawannya.

Penangkapan ikan paus

Suatu bentuk spear phishing yang menargetkan orang-orang kaya dan penting, seperti CEO dan pejabat pemerintah.

Pemalsuan email

Email phishing biasanya memalsukan komunikasi dari perusahaan atau orang yang sah. Email phishing dapat memberikan korban yang tidak mengetahui tautan ke situs berbahaya, tempat penyerang mengumpulkan kredensial login dan PII menggunakan halaman login yang disamarkan dengan cerdik. Halaman tersebut mungkin berisi trojan, keylogger, dan skrip berbahaya lainnya yang mencuri informasi pribadi.

Pengalihan situs web

Pengalihan situs web mengarahkan pengguna ke URL yang berbeda dari yang ingin dikunjungi pengguna. Pelaku yang mengeksploitasi kerentanan dapat memasukkan pengalihan dan memasang malware ke komputer pengguna.

Salah ketik

Typosquatting mengarahkan lalu lintas ke situs web palsu yang menggunakan ejaan bahasa asing, kesalahan ejaan umum, atau variasi halus pada domain tingkat atas. Phisher menggunakan domain untuk meniru antarmuka situs web yang sah, memanfaatkan pengguna yang salah mengetik atau salah membaca URL.

Iklan berbayar palsu

Iklan berbayar adalah taktik lain yang digunakan untuk phishing. Iklan (palsu) ini menggunakan domain yang salah ketik dan dibayar oleh penyerang agar bisa muncul di hasil pencarian. Situs tersebut bahkan mungkin muncul sebagai hasil pencarian teratas di Google.

Serangan lubang berair

Dalam serangan watering hole, phisher menganalisis pengguna dan menentukan situs web yang sering mereka kunjungi. Mereka memindai situs-situs ini untuk mencari kerentanan dan mencoba memasukkan skrip berbahaya yang dirancang untuk menargetkan pengguna saat mereka mengunjungi situs web itu lagi.

Peniruan identitas dan hadiah palsu

Peniruan identitas tokoh berpengaruh di media sosial. Phisher dapat menyamar sebagai pemimpin utama perusahaan dan mengiklankan hadiah atau terlibat dalam praktik penipuan lainnya. Korban penipuan ini bahkan dapat ditargetkan secara individu melalui proses rekayasa sosial yang bertujuan untuk menemukan pengguna yang mudah tertipu. Aktor dapat meretas akun terverifikasi dan mengubah nama pengguna untuk meniru sosok asli sambil mempertahankan status terverifikasi.

Baru-baru ini, phisher banyak menargetkan platform seperti Discord, X, dan Telegram untuk tujuan yang sama: memalsukan obrolan, meniru identitas individu, dan meniru layanan yang sah.

Aplikasi Berbahaya

Phisher juga dapat menggunakan Aplikasi jahat yang memantau perilaku Anda atau mencuri informasi sensitif. Aplikasi tersebut dapat berperan sebagai pelacak harga, dompet, dan alat terkait kripto lainnya (yang memiliki basis pengguna yang cenderung berdagang dan memiliki mata uang kripto).

SMS dan phishing suara

Bentuk phishing berbasis pesan teks, biasanya dilakukan melalui SMS atau pesan suara, yang mendorong pengguna untuk berbagi informasi pribadi.

Phishing vs. farmasi

Meskipun beberapa orang menganggap pharming sebagai jenis serangan phishing, hal ini bergantung pada mekanisme yang berbeda. Perbedaan utama antara phishing dan pharming adalah phishing mengharuskan korbannya melakukan kesalahan. Sebaliknya, pharming hanya mengharuskan korban untuk mencoba mengakses situs web sah yang catatan DNS-nya telah disusupi oleh penyerang.

Phishing di Blockchain dan Crypto Space

Meskipun teknologi blockchain memberikan keamanan data yang kuat karena sifatnya yang terdesentralisasi, pengguna di dunia blockchain harus tetap waspada terhadap upaya rekayasa sosial dan phishing. Penjahat dunia maya sering kali berupaya mengeksploitasi kerentanan manusia untuk mendapatkan akses ke kunci pribadi atau kredensial login. Dalam kebanyakan kasus, penipuan bergantung pada kesalahan manusia.

Penipu juga dapat mencoba mengelabui pengguna agar mengungkapkan frase awal mereka atau mentransfer dana ke alamat palsu. Penting untuk berhati-hati dan mengikuti praktik terbaik keamanan.

Kesimpulannya, memahami phishing dan tetap mendapat informasi tentang teknik yang terus berkembang sangat penting dalam melindungi informasi pribadi dan keuangan. Dengan menggabungkan langkah-langkah keamanan, pendidikan, dan kesadaran yang kuat, individu dan organisasi dapat membentengi diri mereka terhadap ancaman phishing yang selalu ada di dunia digital kita yang saling terhubung. Tetap SAFU!

Bacaan lebih lanjut

  • 5 Tips untuk Mengamankan Kepemilikan Cryptocurrency Anda

  • 5 Cara Meningkatkan Keamanan Akun Binance Anda

  • Cara Tetap Aman dalam Perdagangan Peer-to-Peer (P2P).

Penafian: Konten ini disajikan kepada Anda “sebagaimana adanya” hanya untuk informasi umum dan tujuan pendidikan, tanpa representasi atau jaminan apa pun. Hal ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau profesional lainnya, juga tidak dimaksudkan untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus mencari nasihat Anda sendiri dari penasihat profesional yang tepat. Apabila artikel tersebut dikontribusikan oleh kontributor pihak ketiga, harap dicatat bahwa pandangan yang diungkapkan adalah milik kontributor pihak ketiga, dan tidak mencerminkan pandangan Binance Academy. Silakan baca penafian lengkap kami di sini untuk rincian lebih lanjut. Harga aset digital bisa berfluktuasi. Nilai investasi Anda mungkin turun atau naik dan Anda mungkin tidak mendapatkan kembali jumlah yang diinvestasikan. Anda sepenuhnya bertanggung jawab atas keputusan investasi Anda dan Binance Academy tidak bertanggung jawab atas kerugian apa pun yang mungkin Anda alami. Materi ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau nasihat profesional lainnya. Untuk informasi lebih lanjut, lihat Ketentuan Penggunaan dan Peringatan Risiko kami.