Apa itu Phising? Pengertian, Jenis, dan Cara Kerja Phising

NEA – Di zaman sekarang ini, keamanan siber berada di garis depan prioritas operasional. Pelanggaran data profil tinggi telah mengajarkan pelajaran yang diperoleh dengan susah payah bahwa perlindungan data dan informasi pengenal pribadi (PII) perlu didahulukan. Di antara salah satu ancaman paling umum terhadap organisasi adalah phising.

Penipuan phising bertanggung jawab atas hampir 80% insiden keamanan. Karena serangan ini mengandalkan kesalahan manusia daripada kekuatan sistem Anda, mereka bisa sulit untuk dilawan. Ikhtisar phising ini memberikan petunjuk singkat tentang subjek dan membantu memahami bagaimana Anda dapat menggagalkan serangan tersebut.

Pengertian Phising

Apa itu phising? Anda tidak membutuhkan tiang, tapi itu melibatkan menggulung korban yang tidak menaruh curiga.

Phising adalah jenis serangan siber yang menggunakan email, telepon, atau teks untuk membujuk individu agar memberikan informasi pribadi atau sensitif, mulai dari kata sandi, informasi kartu kredit, dan nomor jaminan sosial hingga detail tentang seseorang atau organisasi. Penyerang berpura-pura sebagai perwakilan yang sah untuk mendapatkan informasi ini, yang kemudian digunakan untuk mengakses akun atau sistem, yang sering kali menyebabkan pencurian identitas atau kerugian finansial yang signifikan.

Bagaimana Cara Kerja Phising?

Penipuan phising terjadi melalui berbagai bentuk komunikasi, terutama email, teks, dan telepon. Penyerang berharap dapat dipercaya, sehingga mereka berupaya menyamar sebagai perwakilan sah organisasi, sering kali membuat email yang tampak asli atau melakukan panggilan telepon dengan cara yang terdengar seperti permintaan informasi yang valid.

Phising bekerja sebagian besar dengan manipulasi dan bergantung pada interaksi manusia, dengan korban tanpa sadar mengklik tautan berbahaya atau memberikan informasi kepada penyerang.

Karena tujuannya adalah untuk mendapatkan kata sandi atau PII, orang yang melakukan serangan phising sering kali berusaha menyamar sebagai dukungan teknis, lembaga keuangan, atau entitas pemerintah.

Sejarah Phising

phising adalah
Gambar: NewEnglandAmericana.com via Shutterstock

Istilah phising pertama kali digunakan untuk merujuk pada program yang dikembangkan oleh seorang remaja Pennsylvania yang dikenal sebagai AOHell . Program ini menggunakan mekanisme pencurian kartu kredit dan peretasan kata sandi yang digunakan untuk menimbulkan masalah bagi AOL. Perangkat lunak ini melahirkan perangkat lunak phising otomatis lainnya, seperti yang kemudian digunakan oleh komunitas Warez.

Serangan phising terorganisir pertama dikaitkan dengan komunitas Warez, sebuah kelompok yang dikenal dengan peretasan dan pembajakan. Penipuan phising ini menargetkan pengguna AOL pada tahun 1996.

Komunitas Warez terkenal menggunakan algoritma untuk menghasilkan nomor kartu kredit acak. Ketika grup mendarat di nomor yang valid, mereka dapat membuat akun AOL asli yang mereka gunakan untuk menipu pengguna AOL lainnya. Ini kemudian diikuti oleh taktik rekayasa sosial ketika anggota kelompok menyamar sebagai karyawan AOL dalam upaya mengumpulkan informasi yang lebih sensitif.

Setelah penipuan phising ini, penyerang dengan cepat beralih ke email sebagai metode untuk mencoba mengumpulkan informasi yang berguna. Email phising berkisar dalam kecanggihan dari pangeran Nigeria yang kurang meyakinkan yang meminta dukungan finansial hingga virus Mimail 2003 yang jauh lebih meyakinkan, yang berasal dari email yang mengaku berasal dari PayPal.

Email yang berisi virus mimail cukup berhasil meyakinkan pengguna untuk memasukkan username dan password kredensial mereka. Email tersebut memperingatkan informasi kartu kredit yang kedaluwarsa dengan permintaan untuk memperbaruinya sesegera mungkin. Tautan tersebut membawa pengunjung ke jendela dengan logo PayPal, dan banyak pengguna memasukkan kata sandi dan informasi kartu kredit mereka yang ternyata merupakan situs web jahat.

Saat ini, phising dapat menggunakan beberapa metode komunikasi dan telah berkembang dari skema tingkat rendah menjadi penargetan individu dan organisasi yang canggih.

Jenis Phising

Phising dapat mengambil berbagai bentuk. Berikut beberapa variasi serangan phising.

  • Angler Phising: Serangan siber ini datang melalui media sosial. Ini mungkin melibatkan URL palsu, pesan instan, atau profil yang digunakan untuk mendapatkan data sensitif. Penyerang juga membaca profil sosial untuk mengumpulkan informasi pribadi apa pun yang dapat mereka gunakan untuk rekayasa sosial. Baca lebih lanjut tentang serangan phising dan cara mengidentifikasi URL dan alamat email palsu.
  • Clone Phising: Clone phising melibatkan duplikasi email yang tepat untuk membuatnya tampak sah mungkin.
  • Domain Spoofing: Dalam kategori phising ini, penyerang memalsukan domain perusahaan, yang membuat email seolah-olah berasal dari perusahaan tersebut. (Baca lebih lanjut tentang Spoofing).
  • Email Phising: Email phising sering kali pertama kali terlintas dalam pikiran ketika orang mendengar istilah phising. Penyerang mengirim email tidak sah yang meminta informasi pribadi atau kredensial login.
  • Phising Search Engine: Daripada mengirim korespondensi kepada Anda untuk mendapatkan informasi, memancing mesin pencari melibatkan pembuatan situs web yang meniru situs yang sah. Pengunjung situs diminta untuk mengunduh produk yang terinfeksi malware atau memberikan informasi pribadi dalam bentuk yang ditujukan kepada penyerang.
  • Smishing: Gabungkan SMS dengan phising dan Anda memiliki teknik yang disebut smishing. Dengan smishing, penyerang mengirim pesan teks palsu dalam upaya mengumpulkan informasi seperti nomor kartu kredit atau kata sandi.
  • Spear Phishing: Spear phising secara khusus ditargetkan karena penyerang membutuhkan waktu untuk mengumpulkan detail yang dapat mereka gunakan untuk menampilkan diri mereka sebagai entitas tepercaya. Mereka kemudian membuat email phising yang dipersonalisasi, termasuk detail yang membuatnya seolah-olah email tersebut berasal dari sumber yang ramah.
  • Penangkapan ikan paus: Serangan penangkapan ikan paus menargetkan ikan besar, atau karyawan tingkat eksekutif. Serangan semacam ini sering kali melibatkan taktik rekayasa sosial yang lebih canggih dan pengumpulan intelijen untuk menjual yang palsu dengan lebih baik.
  • Vishing: Gabungkan VoIP dengan phising dan Anda mendapatkan vishing. Jenis phising ini melibatkan panggilan dari orang penipu yang berusaha mendapatkan informasi sensitif.

Cara Mencegah dan Melindungi dari Phising

Untuk membantu mencegah serangan phising, Anda harus mengamati praktik terbaik umum, serupa dengan yang mungkin Anda lakukan untuk menghindari virus dan  malware lainnya .

Pertama, pastikan sistem Anda diperbarui untuk membantu melindungi dari kerentanan yang diketahui. Lindungi perangkat dan sistem dengan perangkat lunak keamanan terkemuka dan perlindungan firewall. Anda juga dapat menambahkan perangkat lunak yang mengawasi pengiriman PII melalui email atau metode tidak aman lainnya.

Karena tautan lemah dalam serangan phising adalah pengguna akhir, Anda harus memberikan pelatihan kesadaran keamanan pengguna akhir yang tepat dan mendidik tim Anda tentang cara mengenali penipuan phising. Kunci untuk melindungi dari phising terletak pada kemampuan untuk mengenali serangan siber sebagai tidak sah. Berikut adalah beberapa konsep kunci untuk disertakan dalam pelatihan pengguna akhir:

  • Instruksikan pengguna untuk memilih kata sandi yang kuat dan berhati-hatilah dalam memposting detail pribadi Anda di media sosial. Informasi seperti tanggal lahir, alamat, dan nomor telepon sangat berharga bagi penyerang.
  • Jika ada kecurigaan tentang email atau pos sosial, hubungi tim TI untuk meminta mereka memeriksa situasinya.
  • Hanya buka lampiran dari sumber tepercaya. Jika ragu, tanyakan langsung kepada pengirim yang diduga.
  • Perhatikan perbedaan bahasa dalam pesan atau email yang berbeda dari komunikasi organisasi yang sah.
  • Jangan pernah memberikan informasi pribadi dalam email atau panggilan yang tidak diminta. Misalnya, lembaga keuangan tidak akan pernah menelepon dan meminta kredensial masuk atau info akun karena mereka sudah memilikinya.
  • Periksa email untuk kesalahan ketik dan tata bahasa yang tidak akurat. Ini biasanya merupakan hadiah mati dari penipuan phising yang kurang canggih.
  • Jangan memberikan informasi pribadi melalui email atau teks.
  • Waspadalah terhadap peringatan yang mendesak atau sensitif terhadap waktu. Serangan phising sering kali memicu tindakan dengan berpura-pura mendesak.
  • Verifikasi email dan korespondensi lainnya dengan menghubungi organisasi secara langsung. Jika menurut Anda ada sesuatu yang mencurigakan (oke, permainan kata-kata buruk), panggilan telepon dapat dengan cepat mengidentifikasi panggilan yang sah dari yang palsu.

Ingat, dalam hal menggagalkan serangan phising, bertindak sebagai skeptis adalah langkah yang bijaksana.

Lihat video ini, di mana pakar keamanan siber David Landsberger memberikan tips tentang cara mengidentifikasi situs web palsu dan email phising.

Apa Perbedaan Antara Ransomware vs. Malware vs. Rekayasa Sosial vs. Phising?

Ransomware, malware, rekayasa sosial, dan phising semuanya mencakup berbagai bentuk serangan siber yang bermaksud buruk.

  • Malware adalah istilah umum yang dibentuk oleh kata-kata “jahat” dan “perangkat lunak” yang menggambarkan berbagai jenis perangkat lunak yang dimaksudkan untuk membahayakan sistem, memperoleh data sensitif atau mendapatkan akses tidak sah ke jaringan.
  • Ransomware adalah kategori malware di mana penyerang menggunakan berbagai metode untuk mengenkripsi data Anda, membuatnya tidak dapat diakses, atau menghalangi Anda masuk ke sistem atau perangkat tertentu. Penyerang kemudian meminta tebusan sebagai imbalan untuk memulihkan akses Anda.
  • Rekayasa Sosial, sebaliknya, adalah metode yang digunakan untuk mengekstrak detail sensitif dengan cara manipulasi manusia. Dengan rekayasa sosial, peretas terhubung dengan pengguna sambil berpura-pura mewakili organisasi yang sah dan berusaha memastikan informasi penting seperti nomor akun atau kata sandi.
  • Phising adalah bentuk rekayasa sosial yang melibatkan email, telepon, teks, atau situs web tidak sah. Dalam kedua kasus, informasi yang dikumpulkan digunakan untuk mengakses akun atau data yang dilindungi.

Meskipun panduan kami bertindak sebagai pengantar ancaman yang ditimbulkan oleh phising, ini sama sekali bukan daftar yang lengkap. Phising dan dunia keamanan siber berubah setiap hari, dan serangan menjadi semakin canggih. Cara terbaik untuk memerangi serangan siber adalah tetap mendapat informasi tentang serangan terbaru.

Tinggalkan komentar