Mengenal Phishing :
Jenis, Cara Kerja & Mencegahnya

Phishing merupakan salah satu metode cyber crime yang hadir seiring perkembangan teknologi digital. Kejahatan digital ini bentuknya mencuri informasi dan data pribadi melalui email, telepon, pesan teks, dan tautan yang mengaku sebagai instansi tertentu. Serangan manipulatif ini menjadi tantangan di era digital.

Phishing menjadi salah satu jenis pembobolan data yang sudah muncul sejak era 1990-an. Hingga ini, phishing masih menjadi salah satu teknik serangan cyber yang paling merusak, terutama dengan metode eksekusinya yang menjadi semakin canggih  seiring perkembangan teknologi.

Serangan phishing berdampak buruk bagi korban, baik individu maupun bisnis. Kerugian yang didapat seperti pembelian secara tidak sah, pencurian dana, hingga pencurian identifikasi. Maka dari itu, mari simak lebih lanjut mengenai jenis phishing, cara kerjanya, dan cara mencegahnya melalui artikel ini.

Jenis-jenis Phishing

Phishing tujuannya membobol data pribadi dan cybersecurity perusahaan. Lebih bahaya lagi, jika penyerang phishing atau disebut phisher ini bisa mengirim email ke eksekutif perusahaan yang memegang peranan tertentu dalam bisnis.

Jenis cyber attack ini juga bisa menyerang sistem penampung informasi lainnya tergantung kebutuhan para penyerang. Untuk lebih mengenal tindakan phishing, mari simak jenis phishing yang banyak ditemui saat ini.

1. Deceptive Phishing

Deceptive phishing adalah aktivitas penipuan yang kini marak terjadi, khususnya di aplikasi obrolan daring. Penipuan ini menggunakan identitas dari instansi, perusahaan, atau pihak-pihak tertentu yang mempunyai brand besar. Penyerang menggunakan alamat email, tautan, dan pesan teks yang menyerupai instansi, perusahaan, atau brand ternama.

Deceptive Phishing merupakan jenis penipuan yang paling umum. Hati-hati jika ada perusahaan besar yang meminta Anda untuk verifikasi informasi akun, meminta login, meminta mengubah kata sandi, hingga melakukan pembayaran. Perlu diperhatikan kembali informasinya, ya. Jika merasa janggal, lebih baik abaikan.

2. Spear Phishing

Jenis penipuan ini mirip seperti cara menangkap ikan yang diincar menggunakan tombak (spear). Artinya, teknik ini memburu korban yang sudah diincar sebelumnya oleh si pencuri data yang memiliki tujuan tertentu. Biasanya, phiser menghubungi korban melalui kontak pribadi, seperti email, pesan WhatsApp, SMS, telepon, dan lainnya.

Mengingat korban telah diincar sebelumnya, spear phishing memiliki tingkat keberhasilan yang lebih tinggi. Phisher benar-benar terlihat meyakinkan. Namun, untuk mengetahuinya, kamu bisa mengenali pesan phishing dari penggunaan tata bahasa yang kurang tepat.

Jika penyerang mengaku sebagai manajer atau eksekutif, kamu bisa mengonfirmasikan hal tersebut kepada yang bersangkutan, jika merasa janggal dengan email atau pesan yang disampaikan.

3. Whaling

Whaling adalah jenis phishing dengan target individu secara spesifik yang memiliki kewenangan tinggi di suatu perusahaan, misalnya pemilik bisnis, direktur perusahaan, dan lainnya. Orang dengan jabatan tertinggi dijadikan target, karena memiliki banyak otoritas atas data-data dan informasi yang penting. 

Jika tindakan whaling berhasil, banyak keuntungan yang bisa dimanfaatkan dari akses yang didapatkan. Biasanya, phisher menghubungi ke alamat email pribadi korban dengan alasan korespondensi terkait urusan bisnis.

Baca juga: Data Breach: Kenali dan Ketahui Cara Mengatasinya

4. Smishing

Istilah smishing merupakan bentuk gabungan dari SMS dan phishing. Jenis serangan ini disebar melalui pesan teks (SMS). Smishing tergolong penipuan paling mudah di antara jenis phishing lain. Alasannya, phisher hanya perlu mengurut nomor telepon untuk menyebarkan pesan tipuan supaya mengklik link berbahaya berisi malware atau mengarahkan Anda ke website buatan pelaku.

Bagaimana Cara Kerjanya?

Memanipulasi informasi dan memanfaatkan kelalaian korban merupakan cara kerja phishing. Tahap awal tentu menentukan siapa calon korban dan tujuannya, dilihat dari jenis phishing yang akan dijalankan. Beberapa targetnya, seperti username dan password pengguna untuk menguasai akun. 

Phisher pun menyiapkan website palsu, mulai dari desain, memilih nama domain yang mirip dengan domain asli, hingga menyiapkan konten dengan tulisan yang meyakinkan. Bahkan, tak jarang pelaku mendesain website mirip dengan brand terkenal, tapi menggunakan nama domain yang jauh berbeda.

Dengan tampilan website dan informasi yang meyakinkan, tak sedikit yang akhirnya mengakses website phishing milik pelaku yang disebarkan melalui link yang disebarkan via SMS atau akun media sosial. Jika korban mengikuti instruksi, tujuan pelaku tercapai.

Biasanya, pelaku meminta data pribadi, seperti alamat email, kata sandi, nomor rekening, data kartu kredit, nomor telepon, one-time password (OTP), hingga alamat rumah. Pada phishing melalui email, kalimat yang digunakan biasanya berisi kejutan hadiah atau pemberitahuan palsu soal peretasan yang mendesak Anda memperbarui kata sandi.

Cara Mencegah Phishing

Ciri-ciri phishing biasanya soal ejaan dan tanda baca yang typo atau menggunakan emoji. Beberapa kasus phishing melalui website juga mengandung unsur desakan. Alhasil, calon korban terpaksa mengambil keputusan sesuai keinginan phisher ini. Di samping waspada dengan email, link, atau pesan janggal yang masuk, Anda perlu memperhatikan beberapa hal untuk terhindar dari serangan phishing.

1. Melindungi Data Pribadi

Dilarang memberikan informasi pribadi ke orang tidak dikenal, termasuk hindari menaruh nomor telepon pribadi di media sosial. 

2. Klarifikasi Informasi yang Tidak Jelas

Jangan tertipu informasi yang menyatakan bahwa Anda atau perusahaan terpilih sebagai pemenang, terlebih jika tak mendaftarkan diri ke kompetisi apapun. Tentunya, perhatikan detail pengirim, sebelum mengklik tautan dari sebuah email. Perhatikan kembali nama website yang Anda kunjungi. Jika ragu, Anda bisa mengkonfirmasinya ke bagian IT perusahaan yang tentu lebih paham serangan cyber.

3. Memiliki Berbagai E-Mail

Pisahkan email yang berisi informasi keuangan dengan email untuk mendaftar akun di berbagai website dan aplikasi. Keempat, gunakan two-factor authentication (2FA) untuk akun yang Anda daftarkan di internet.

4. Waspada dengan Transaksi

Hati-hati saat bertransaksi secara online. Hindari penggunaan kartu kredit di aplikasi atau website yang belum terpercaya. Hindari juga bertransaksi keuangan atau mengakses website dan aplikasi perbankan saat menggunakan Wifi publik.

5. Jangan Sembarang Download

Jika terjebak phishing, segera ganti kata sandi atau hapus informasi yang berpotensi untuk dicuri. Perlu diperhatikan, salah satu serangan phishing adalah meminta download file tertentu melalui email palsu yang Anda terima. Pada saat melakukannya, bisa saja Anda mengunduh malware yang akan bekerja di komputer secara rahasia. 

Untuk menghindarinya, gunakanlah software anti-malware yang akan melakukan scan secara otomatis sesuai dengan setting yang digunakan. Anda juga bisa meminta bantuan tim IT perusahaan untuk memeriksa berkala, seperti menghapus script mencurigakan yang bisa saja mencuri data pribadi.

Baca juga: Peran Security Operation Center dalam Melindungi Ancaman Siber

Phishing merupakan aktivitas cyber attack berbentuk manipulasi yang dapat mengancam keamanan data pribadi maupun perusahaan. Para penyerang atau phisher dapat melakukan serangan dalam skala yang besar, tergantung tujuannya. Beberapa cara efisien di atas bisa diterapkan untuk menghindari serangan tersebut.

Jika Anda seorang pemilik bisnis yang mempunyai website, pastikan website Anda memiliki protokol kriptografi atau SSL agar konsumen yang mengunjungi website memiliki rasa aman saat mengakses situs bisnis Anda.