Rumahweb Journal
banner - apa itu Phishing Pengertian, Cara Kerja dan Cara Mengatasinya

Phishing: Pengertian, Cara Kerja dan Cara Mengatasinya

Phishing adalah salah satu bentuk serangan dunia maya (cyber attack) yang bertujuan untuk membujuk atau mengelabui seseorang agar memberikan informasi penting yang sifatnya sensitif. Informasi yang dimaksud bisa berupa data apa saja, misalnya data pribadi, akses login seperti username dan password, atau data finansial seperti rekening, kartu kredit, dan lain-lain.

Website Phishing

Website yang sengaja dibuat dengan tujuan untuk Phishing. Pelaku menggunakan nama domain atau subdomain yang mirip dengan nama domain target, atau dengan nama tertentu yang bisa mengelabuhi pengunjung. Kemudian membuat halaman yang juga mirip, biasanya berupa halaman login atau form tertentu yang membuat pengunjung menginputkan data-data pribadi.

contoh facebook phishing

URL Phishing yang disebabkan Malware

Pada perkembangannya, halaman phishing tidak hanya disebabkan karena faktor kesengajaan pemilik website. Website legitimate yang terkena Malware juga bisa memunculkan halaman phishing di URL tertentu. Penggunaan script website yang rentan dengan masalah keamanan bisa dimanfaatkan oleh attacker untuk disusupi malware, sehingga tercipta alamat URL yang menampilkan halaman Phishing.

Pada kasus ini, umumnya pemilik website tidak menyadari webnya terinfeksi Malware. Pengelola website yang kurang memperhatikan masalah keamanan, rentan menggunakan script bajakan/nulled untuk diupload di situs web mereka, daripada menggunakan script (theme/plugin) dari situs resmi yang lebih aman. Script website yang tidak di kelola dengan baik oleh Developer juga berpotensi dengan masalah keamanan ini.

contoh url phishing pada sebuah website

Jenis phishing dan cara kerjanya

Dengan menggunakan alamat URL website dan tampilan yang mirip, web phishing akan mengelabui pengunjung agar menginput informasi yang sensitif. Data yang terinput akan dikumpulkan dalam suatu basis data yang sewaktu-waktu dapat dimanfaatkan oleh pelaku phishing.

Berikut ini beberapa jenis serangan phishing yang paling umum terjadi:

1. Email Phishing

Sebagian besar phishing dikirimkan melalui email. Alamat email dan nama pengirim disamarkan untuk mengelabui penerima. Biasanya pelaku akan meminta penerima email agar klik link tertentu dan menginputkan data yang sensitif seperti update password, dan lain-lain.

2. Spear Phishing

Merupakan bentuk phishing yang menyasar target tertentu, mengaku sebagai pengirim terpercaya. Pelaku mengirim email yang seolah-olah dari pengirim yang dikenal atau terpercaya untuk membujuk individu yang ditargetkan agar mengungkapkan informasi yang bersifat rahasia. 

3. Whaling

Whaling attack adalah metode yang digunakan oleh penjahat dunia maya yang secara langsung menargetkan pejabat senior atau individu penting lainnya di suatu organisasi. Tujuan utamanya ingin mencuri informasi sensitif atau mendapatkan akses ke sistem komputer mereka untuk tujuan kriminal.

Ciri umum yang sering dipakai dalam serangan ini adalah pelaku membuat skenario bahwa ada sesuatu sangat berpotensi menimbulkan masalah, seperti tindakan hukum atau terkait dengan reputasi perusahaan sehingga penerima merasa harus bertindak cepat untuk menghindari masalah tersebut terjadi.

4. Smishing

Merupakan salah satu bentuk phishing dimana seseorang mencoba menipu Anda agar memberikan informasi pribadi Anda melalui pesan Teks atau SMS. Dalam perkembangannya, smishing seringkali menggunakan elemen manipulasi psikologis agar Anda dapat membagikan informasi pribadi. Informasi yang dicari oleh pelaku bisa apa saja mulai dari kata sandi hingga informasi kartu kredit Anda.

5. Vishing

Kata vishing merupakan gabungan antara voice (suara) dan phishing. Salah satu bentuk phishing yang memanfaatkan media suara/telepon. Menggunakan kombinasi taktik menakut-nakuti dan manipulasi emosional, mereka mencoba mengelabui orang agar memberikan informasi mereka.

6. Angler phishing

Seiring dengan meningkatnya popularitas media sosial dan banyaknya perusahaan yang menggunakan akun social media, maka hal ini juga menjadi celah bagi pelaku phishing untuk beraksi di social media. Pelaku membuat akun palsu perusahaan tertentu. Ketika calon korban menghubungi akun palsu pelaku, mereka (pelaku) akan meminta informasi pribadi Anda.

Cara mengatasi phishing

A. Agar Anda tidak menjadi korban Phishing

Dari semua jenis serangan diatas, pada dasarnya pelaku memanfaatkan kelengahan Anda. Bila Anda adalah diminta menginputkan informasi yang sensitif, pastikan berasal dari sumber yang terpercaya. Hindari menginputkan informasi yang sentitif apabila berasal dari sumber yang tidak dikenal. Namun demikian, beberapa point berikut ini juga perlu diperhatikan:

  1. Berhati-hati dengan semua komunikasi yang Anda terima. Bila itu nampak seperti aktifitas phishing, jangan ditanggapi atau hapus.
  2. Selalu cek alamat pengirim email. Apalagi untuk email-email yang meminta informasi sensitif seperti update password, data pribadi, dan lain-lain.
  3. Jangan klik link apapun yang tercantum dalam email yang mencurigakan, dan jangan buka lampiran apapun yang dikirimkan.
  4. Selalu update browser ke versi terbaru.
  5. Perhatikan keamanan website yang Anda akses. Untuk website-website yang penting seperti website perbankan atau institusi keuangan, pada umumnya dilengkapi dengan SSL yang terpercaya.
  6. Lakukan scan Malware secara berkala di komputer Anda, dan pastikan komputer/device yg digunakan memakai Antivirus yang terupdate.

B. Bagi pengelola website yang terkena hack atau tersusupi malware phishing

Seperti yang telah dijelaskan diatas bahwa halaman phishing tidak hanya disebabkan karena faktor kesengajaan pemilik website, namun bisa juga terjadi karena website yang terkena hack atau tersusupi malware. Website legitimate yang rentan dengan masalah keamanan dan terkena malware, kemudian dimanfaatkan oleh attacker untuk menampilkan halaman phishing di URL tertentu pada situs web tersebut.

Berikut ini beberapa tips untuk menanganinya:

  • Scan website menggunakan antivirus yang disediakan oleh provider hosting atau yang terinstall di Server Anda, misalnya Imunify atau jenis antivirus yang lain.
  • Untuk pengguna Content Management System (CMS) seperti WordPress, Joomla, dan lain-lain, pastikan untuk menggunakan script (theme/plugin) dari sumber Resmi.
  • Hindari menggunakan script (plugin/theme) nulled atau bajakan karena rentan dengan masalah keamanan. Script nulled/bajakan rentan disusupi malware atau terdapat bug yang berbahaya dan sewaktu-waktu bisa dimanfaatkan oleh pihak-pihak yang tidak bertanggungjawab untuk menyisipkan malware/virus.
  • Selalu update script website Anda ke versi yang terbaru.

Demikian panduan terkait phishing: pengertian, cara kerja dan cara mengatasinya, semoga bermanfaat!

Bermanfaatkah Artikel Ini?

Klik bintang 5 untuk rating!

Rating rata-rata 5 / 5. Vote count: 4

Belum ada vote hingga saat ini!

Kami mohon maaf artikel ini kurang berguna untuk Anda!

Mari kita perbaiki artikel ini!

Beri tahu kami bagaimana kami dapat meningkatkan artikel ini?

SSL Murah

Gatot Antok Wibowo

Technical Support Rumahweb. Menyukai hal-hal baru.