Ketika sedang berselancar di internet, ada baiknya kita selalu waspada terhadap bahaya yang mengincar. Selain virus dan malware ancaman lainnya yang harus diwaspadai adalah tindakan phising.
Kata phising merupakan bahasa slang dari fishing yang berarti memancing. Jadi, lewat teknik “memancing” inilah peretas bisa menjebak kita untuk memberikan data-data penting secara tanpa kita sadari melalui jaringan internet.
Phishing juga bisa diartikan suatu tindakan memperoleh informasi pribadi seperti user ID, password, dan data sensitif lainnya dengan menyamar sebagai seseorang atau organisasi/institusi berwenang dengan cara mengirimkan pesan penting palsu, dapat berupa e-mail, website, atau komunikasi elektronik lainnya.

Kenali Email dan Website Phishing

Phising zaman sekarang sedikit susah dikenali apakah berasal dari orang atau institusi terverifikasi atau bukan. Tapi tujuan mereka jelas, yakni untuk memperoleh keuntungan dari korban. Berikut adalah ciri-ciri phising untuk membantu mengenal tindak kejahatan siber ini.

1. Email Palsu

Email dikirimkan dari email yang menyerupai email resmi untuk menipu. Pada contoh Bank Mandiri di atas, email dikirimkan melalui [email protected] sedangkan email asli Bank Mandiri adalah mandiricare@bankmandiri.co.id.

 

Pelaku phishing menginginkan akses login kita ke akun yang mereka inginkan. Mereka mencantumkan link ke website palsu yang menyerupai website resmi suatu lembaga/layanan/organisasi atau institusi dan kemudian menginstruksikan kita untuk login.

Jika email palsu yang kita terima berisi lampiran, jangan sekali-kali meng-klik dan unduh lampiran tersebut. Pelaku biasanya menyisipkan malware pada “fake email” yang dikirimkan kepada korban.

2. Website Palsu

Gambar di atas adalah salah satu contoh website phishing yang meniru website Bank Danamon. Mulai dari logo hingga tampilan sangat mirip dengan website asli yang beralamat di https://www.danamonline.com/. Namun, jika kita cermati, link login berbeda dengan alamat website resmi Bank Danamon, serta terdapat tambahan karakter pada linknya.

Dunia perbankan nasional pernah digegerkan dengan kasus phishing pada tahun 2001. Seseorang membuat website palsu yang mirip dengan domain resmi BCA http://www.klikbca.com/ seperti kilkbca.com, clikbca.com, klickbca.com dan klikbac.com.

Banyak korban terjebak situs palsu ini. Sekilas, situs buatannya memiliki tampilan yang sama dan terlihat seperti asli.  Hanya saja, korban memasukkan User ID dan PIN ke dalam database milik SH dan bukan login ke akun BCA mereka. Ia pun dapat dengan leluasa mengakses akun korban berbekal informasi akun ini.

Gambar dibawah ini adalah contoh web phising dari Bank BCA.

Cara Kerja Web Phising

Cara kerja web phising sebenarnya cukup sederhana, yaitu pelaku akan membidik target website yang bonafit dan populer dikalangan pengguna. Misalnya seperti facebook, instagram.com, gmail.com, situs bank, atau situs-situs pembayaran semacam paypal, gopay, dan lain-lain.

Setelah menemukan target yang ingin dibidik, pembuat web phising akan segera membuat website palsu atau bahkan website palsu sudah disiapkan dengan tampilan dan nama domain semirip mungkin dengan website aslinya. Beberapa contoh web phising yang pernah kami temui di antaranya adalah fatebook.com (duplikat facebook.com), kikbca.com (duplikat klikbca.com), serta twlitter.com (duplikat dari Twitter.com, perhatikan huruf “i” diganti dengan huruf “L”).

Dengan berbekal nama domain dan tampilan yang mirip dengan web aslinya, web phising akan bekerja mengumpulkan user untuk login menggunakan informasi asli. Kemudian data-data yang dimasukkan tersebut secara otomatis akan tersimpan di database untuk digunakan login ke website asli oleh pelaku penyebar web phising.

Akun media sosial yang terkena phising biasanya memiliki tanda-tanda sering memposting link berisi hal-hal aneh, following bertambah sendiri, atau bisa juga digunakan untuk melakukan modus penipuan terencana.

Tips Cara Menghindari Phising

Untuk menghindari phising sebenarnya cukup mudah. Yaitu teliti, cermat, waspada dan tidak sembarang meng-klik link baik itu link di email, beranda media sosial maupun di inbox. Juga jangan buka website yang nama domainya terlihat aneh. Jika Anda kurang waspada, bukan tidak mungkin Anda menjadi korban. Apa yang dapat Anda lakukan? Berikut tips yang bisa Anda terapkan dengan mudah agar terhindar dari phishing.

  1. Amankan browser Anda. Mulailah dari set kemanan di browser Anda.
  2. Instal ekstensi keamanan pada browser. Ekstensi seperti Netcraft Extension berfungsi untuk mengidentifikasi website berbahaya.
  3. Waspada terhadap email yang mengarahkan Anda ke website palsu dan meminta login akun. Cek dan cermati email pengirim, pastikan email pengirim sesuai email resmi.
  4. Berhati-hatilah terhadap pop-up ketika Anda sedang mengakses halaman tertentu. Terlebih jika pop-up tersebut meminta akses login atau informasi pribadi seperti token, nomor kartu kredit, dan lain-lain.
  5. Pastikan Anda mengetahui dan mengakses website asli akun yang Anda miliki. Pada address bar website resmi biasanya terdapat icon kunci dan keterangan SSL Certificate yang valid. Website resmi biasanya menggunakan fitur keamanan SSL. Layanan keamanan SSL ini diperlukan untuk validasi keaslian website dan keamanan transaksi, juga meningkatkan kepercayaan pengguna.
  6. Rajin mengganti password

Cara Mengatasi Akun yang Terkena Phising

Jika akun Anda terkena phising, langkah pertama yang harus Anda lakukan adalah mengganti password akun Anda. Jika kata sandi sudah diganti oleh hacker web phising, Anda masih memiliki kesempatan untuk menyelamatkan akun tersebut dengan cara sebagai berikut:

  • Jika terjadi pada akun sosial media seperti facebook, twitter, dan instagram, sebaiknya Anda segera menuju ke website resmi untuk melakukan reset password lama.
  • Pada tahap ini biasanya Anda akan diminta untuk menuliskan username atau alamat email yang pertama kali digunakan untuk mendaftar.
  • Setelah sukses, segera login ke email pertama yang Anda gunakan untuk membuat akun sosial media. Kemudian cari link konfirmasi untuk melakukan reset password.
  • Buka link tersebut. Namun, sebelumnya Anda harus lebih dulu memastikan sang pengirim email benar-benar kredibel. Hal ini ditandai dengan adanya nama domain di alamat email. Contoh: [email protected]facebook.com atau [email protected]facebook.com.
  • Ubah kata sandi Anda dengan pilihan kombinasi alfanumerik yang lebih rumit dari sebelumnya agar akun tersebut bisa kembali lagi ketangan Anda.

Setelah berhasil, jangan lupa untuk mengaktivkan pengaturan authentifikasi dua langkah menggunakan kode SMS, Google Authentificator, atau email konfirmasi.

Itulah cara menghindari dan mengatasi akun dari tindakan phising. Semoga bermanfaat.