Tindakan Kejahatan Phishing

 Pengertian Phishing

Phishing diambil dari kata dari bahasa inggris yakni “fishing” yang artinya memancing. Phishing merupakan metode kejahatan online dengan melakukan pencurian data untuk kepentingan individu yang tidak bertanggung jawab hingga merugikan orang lain.

Aktivitas phishing memang bertujuan untuk memancing orang agar memberikan informasi pribadi tanpa di sadari korban. Umpan pancingan dapat berupa apa saja, mulai dari klik link internet sampai permintaan telepon. Setelah data berhasil dicuri, pelaku bebas menggunakan data korban untuk apa saja, termasuk kejahatan.

Cara kerja phishing adalah korban dihubungi melalui berbagai kontak seperti telepon, email, atau pesan teks oleh seseorang menyamar sebagai lembaga sah untuk memancing korban agar memberikan data sensitif pribadi secara tidak sadar. Informasi pribadi paling umum diminta antara lain berupa no KTP, no rekening, rincian kartu kredit dan perbankan, hingga kata sandi.

 

Jenis-Jenis Phishing

Ada beberapa jenis phishing paling umum menimpa orang, yaitu antara lain:

1.    Deceptive Phishing

Deceptive phishing adalah jenis penipuan dengan mengirimkan email atas nama lembaga untuk meminta korban melakukan beberapa aktivitas, seperti: verifikasi informasi akun, memberikan informasi username atau kata sandi, meminta korban untuk mengubah kata sandi, melakukan transaksi pembayaran.

Informasi di atas digunakan oleh peretas untuk mengakses kembali tanpa Anda ketahui kemudian dimanfaatkan agar memperoleh keuntungan.

Terdapat 2 cara deceptive phishing paling umum dilakukan oleh oknum. Cara pertama adalah pelaku menyamar atau mengklaim sebagai perwakilan dari lembaga resmi lalu meminta data diri korban. Sementara itu cara keduanya adalah pelaku berpura-pura menjadi lembaga dan memberikan situs berbahaya pada korban.

2.     Smishing Phishing

Smishing phishing adalah jenis penipuan melalui SMS atau telpon guna memperoleh informasi pribadi. Kejahatan online ini lebih mudah memakan korban sebab orang cenderung lebih percaya dengan pesan teks atau telpon dibandingkan email.

Dalam smishing, pelaku akan berusaha membuat korban bersedia mengikuti apa yang dikatakannya. Setelah itu, pelaku biasanya akan memberi instruksi ke korban untuk melakukan hal-hal merugikan, seperti mengirim pulsa, menyebutkan nomor rekening, dan mengklik tautan tertentu.

3.     Spear Phishing

Spear phishing dilakukan dengan mengirim email ke target tertentu dengan mengaku sebagai pengirim terpercaya. Email tersebut berisi tautan yang mengarahkan calon korban ke situs web palsu penuh dengan malware, atau disebut juga dengan phishing site.

Phishing site adalah usaha penipuan untuk mengelabuhi korban menggunakan web atau situs palsu. Tujuannya agar pelaku mampu mencuri informasi sensitif seperti kredensial akun atau informasi keuangan dari korban.

4.     Whale Phishing

Whale phishing adalah kejahatan phishing ditujukan kepada seorang figur publik, dikenali banyak orang, kaya, dan memiliki kekuasaan. Sebab status calon korban besar, maka pelaku menganggapnya seperti ikan paus atau whale. Cara yang dilakukan sama dengan spear phishing, tapi lebih terorganisir dan dilakukan oleh sekelompok orang.

 

Modus Operandi Phishing

Modus operandi serangan phishing sangat bervariasi, namun beberapa teknik umum yang sering digunakan oleh penyerang antara lain:

1.     Penyamaran Sebagai Entitas Tepercaya

Penyerang menyamar sebagai pihak yang tepercaya, seperti bank, layanan email, atau platform media sosial. Mereka menggunakan logo dan tata letak yang mirip dengan sumber asli untuk membuat korban percaya.

2.     Tautan ke Situs Palsu

Email atau pesan teks biasanya berisi tautan yang mengarahkan korban ke situs web palsu yang terlihat seperti situs resmi. Di situs palsu ini, korban diminta untuk memasukkan informasi pribadi mereka.

3.     Lampiran Berbahaya

Penyerang juga dapat menyertakan lampiran dalam email phishing yang, ketika dibuka, dapat menginstal malware pada perangkat korban, memungkinkan penyerang untuk mencuri informasi secara langsung.

4.     Taktik Mendesak

Email atau pesan phishing sering kali menggunakan taktik mendesak, seperti mengatakan bahwa akun korban telah diblokir, atau ada transaksi yang mencurigakan, sehingga korban merasa perlu segera memberikan informasi mereka.

 

Dampak Phishing

Phishing dapat memberikan dampak yang sangat merugikan baik bagi individu maupun organisasi. Beberapa dampaknya antara lain:

1. Kehilangan Data Pribadi dan Finansial

Korban phishing dapat kehilangan informasi pribadi dan finansial yang kemudian dapat digunakan oleh penyerang untuk mencuri uang atau melakukan tindakan kriminal lainnya.

2. Pencurian Identitas

Informasi yang diperoleh melalui phishing dapat digunakan untuk melakukan pencurian identitas, di mana penyerang menggunakan identitas korban untuk membuka akun bank, kartu kredit, atau layanan lainnya.

3. Kerugian Finansial dan Reputasi

Bagi organisasi, phishing dapat menyebabkan kerugian finansial yang besar serta merusak reputasi perusahaan. Serangan phishing yang berhasil pada organisasi dapat mengakibatkan kebocoran data yang mengancam kepercayaan pelanggan.

4. Perangkat Terinfeksi Malware

Jika korban mengunduh dan membuka lampiran berbahaya, perangkat mereka dapat terinfeksi malware yang memungkinkan penyerang mengakses informasi pribadi dan mengendalikan perangkat dari jarak jauh.

 

Langkah Pencegahan Phishing

Untuk melindungi diri dari phishing, ada beberapa langkah yang bisa diambil, antara lain:

1. Waspadai Email dan Pesan Teks

Selalu periksa pengirim email atau pesan teks dengan seksama. Jangan pernah mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal atau mencurigakan.

2. Periksa Alamat URL

Sebelum memasukkan informasi pribadi di sebuah situs web, pastikan bahwa alamat URL-nya benar dan aman (gunakan protokol "https"). Jika ada keanehan dalam URL, bisa jadi itu adalah situs phishing.

3. Gunakan Otentikasi Dua Faktor (2FA)

Otentikasi dua faktor menambah lapisan keamanan dengan memerlukan verifikasi tambahan selain kata sandi. Ini dapat membantu melindungi akun bahkan jika kata sandi Anda dicuri.

4. Perbarui Perangkat Lunak Keamanan

Pastikan perangkat lunak antivirus dan sistem operasi Anda selalu diperbarui untuk melindungi dari malware dan ancaman terbaru.

5. Pendidikan Keamanan Siber

Penting untuk terus mendidik diri sendiri dan karyawan (jika di dalam organisasi) tentang teknik phishing terbaru dan cara mengenalinya.

 

Contoh Kasus Penipuan Phishing:

Terdapat sebuah kasus yang bernama “2 Pemuda Mencuri Uang Sebesar 230 Juta Dolar Amerika Dalam Bentuk Cryptocurrency”. Dua pria bernama Malone Lam & Jeandiel Serrano ditangkap oleh agen FBI atas dugaan “crypto scam” dengan total kerugian yang mencapai lebih dari 230 juta dolar Amerika dalam satu operasi penipuan yang terorganisir. Berikut adalah alur kejadian dari operasi phishing tersebut:

1. Impersonasi sebagai Google Support: Penipuan ini melibatkan menelepon korban dengan nomor palsu menyamar sebagai dukungan Google, dan memberitahu krban bahwa akun Google telah diretas. Mereka mendapatkan akses ke email; hal ini dilakukan agar pelaku dapat mengetahui bahwa korban memiliki akun seperti Gemini sebagai platform crypto, dan informasi lebih relevan yang dapat menjadi landasan untuk aksi penipuan selanjutnya untuk memancing informasi pribadi korban.

   Impersonasi sebagai Gemini Support: untuk menambah kredibilitas risiko peretasan, mereka menyamar menjadi dukungan Gemini, sehingga menimbulkan rasa takut pada korban terhadap aset kripto miliknya. Hal ini menambah lapisan legitimasi terhadap ancaman peretasan, meyakinkan korban bahwa ada risiko kehilangan segalanya cryptocurrency adalah nyata dan akan segera terjadi. Akibatnya, korban mengubah verifikasi 2FA dan mengirim dana ke dompet yang disusupi.

3. Berbagi Layar: Penipu meyakinkan korban untuk berbagi layar di AnyDesk, dan mereka melihat kunci pribadi dompet dari korban.

4. Pengalihan Dana: Setelah mendapatkan akses ke kunci pribadi, pelaku segera memindahkan cryptocurrency ke dompet pelaku dan kemudian mencuci uang tersebut.