Apa Itu Phising? Pengertian, Jenis dan Cara Mencegahnya

 

Phising merupakan ancaman serius dalam dunia digital yang dapat merugikan banyak orang. Oleh karena itu, pemahaman yang baik tentang phishing dan langkah-langkah untuk mencegahnya sangat penting. Dengan meningkatkan kesadaran dan kehati-hatian dalam beraktivitas online, kita dapat mengurangi risiko menjadi korban phishing. Semoga informasi ini bermanfaat untuk meningkatkan keamanan digital kita semua.

Apa itu Phising? 

Phising adalah salah satu kejahatan online yang kerap mengakibatkan kerugian bagi para korban, aktivitas ini menargetkan informasi atau data sensitif melalui berbagai kanal seperti email, unggahan media sosial, atau pesan teks.

Sejarah Singkat Phising

Menelusuri akarnya kembali ke pertengahan tahun 1990-an, di mana istilah "phising" atau "phishing" mulai muncul. Istilah ini dipilih karena konotasinya dengan "fishing" yang artinya "memancing". Pelaku phising menggunakan metode ini untuk memancing korban agar secara tidak sadar memberikan data penting mereka. Tingkat keberhasilan phising mencapai 74%, sebagian besar karena korban sering tidak menyadari bahwa mereka telah menjadi sasaran phising.

Pada tahun 1990-an, phising menjadi marak di platform pertukaran pesan populer seperti AOL. Pelaku phising sering kali menyamar sebagai pegawai AOL untuk menipu korban agar memberikan username dan password mereka.

Pada awal tahun 2000-an, phising mulai mengarah ke dunia perbankan. Banyak email phising dikirimkan dengan tujuan menipu korban untuk memberikan detail akun bank mereka. Tak lama setelah itu, phising menyebar ke berbagai situs web populer seperti eBay dan Google, menunjukkan evolusi dan penyebaran yang cepat dari modus kejahatan siber ini.

Cara Kerja Phising

Cara kerja phising dapat diuraikan dalam beberapa tahap.

1. Pelaku akan mengumpulkan informasi publik targetnya, yang sering kali diperoleh melalui media sosial. Informasi yang dicari mencakup detail pribadi, riwayat pekerjaan, hobi, dan rutinitas harian. 
2. Setelah mengumpulkan informasi tersebut, pelaku akan menggunakan informasi tersebut untuk membuat email phising atau menggunakan metode lainnya untuk berkomunikasi dengan target. Pesan yang dibuat terlihat meyakinkan karena sering berasal dari sumber yang dipercayai atau dikenal, bahkan menyebutkan nama dan jabatan target dengan tepat. Terkadang, pesan tersebut juga mencakup informasi tentang hobi dan aktivitas yang sering dilakukan oleh target, membuatnya tampak lebih meyakinkan. 
3. Serangan phising dapat terjadi melalui link atau tautan yang dikirim oleh pelaku, yang menyamar sebagai pihak berwenang atau institusi terpercaya. Target diarahkan untuk mengklik tautan tersebut dan memasukkan informasi kredensial, seperti username dan password. Data yang menjadi target phising mencakup informasi pribadi seperti nama, usia, dan alamat, data akun seperti username dan password, serta data finansial seperti informasi kartu kredit atau rekening bank. Tanpa curiga, target membuka pesan phising tersebut, membacanya, dan bahkan mengklik link atau mengunduh lampiran yang disertakan. Dengan begitu, target tersebut telah menjadi korban phising.
4. Setelah mendapatkan informasi, pelaku phising dapat memanfaatkannya untuk menipu korban atau bahkan menjualnya kepada pihak lain untuk tujuan penyalahgunaan akun atau tindakan tidak bertanggung jawab lainnya. Oleh karena itu, penting bagi setiap individu untuk meningkatkan kewaspadaan terhadap aktivitas phising guna melindungi diri dari potensi menjadi korban kejahatan siber ini.

Ciri - ciri Phising

Dikutip dari laman bca.co.id, ciri-ciri phising adalah sebagai berikut: 

• Perintah mengisi data sensitif

Phising memiliki karakteristik manipulatif yang penting untuk diwaspadai. Salah satu ciri khasnya adalah pesan yang panjang dan seringkali meminta data sensitif seperti kata sandi, PIN, OTP, nomor kartu kredit/debit, serta informasi terkait kartu kredit seperti masa berlaku dan CVV/CVC. Namun, perlu diingat bahwa lembaga keuangan, termasuk bank, tidak akan pernah meminta data sensitif tersebut dari nasabahnya. Oleh karena itu, sangat penting untuk tidak memberikan informasi sensitif kepada pihak yang meminta melalui pesan yang mencurigakan.

• Menggunakan identitas palsu 

Pelaku phising sering kali menyamar sebagai instansi perusahaan atau bahkan teman dari calon korban. Dengan menggunakan identitas palsu ini, pelaku berharap agar calon korban mudah percaya dan memberikan data sensitif yang diminta. 

Oleh karena itu, pengguna media digital perlu selalu melakukan double-checking terhadap identitas pengirim pesan sebelum memberikan informasi sensitif, guna menghindari jebakan phising yang mengancam keamanan data pribadi mereka.

• Memberi tautan atau file palsu 

Salah satu taktik umum yang digunakan dalam phising adalah memberikan tautan atau file palsu kepada calon korban. Ciri khas phising ini terlihat dari pesan yang memberikan iming-iming diskon, berita menarik, atau tawaran lainnya untuk mengunduh lampiran. 

Sebagai pengguna internet, penting untuk berhati-hati dalam mengakses situs web dan mengunduh file dari sumber yang tidak terpercaya. Dengan melakukan langkah pencegahan ini, kita dapat mengurangi risiko jebakan phising dan menjaga keamanan informasi pribadi kita dari serangan cyber yang berbahaya.

• Email bersifat rayuan bahkan ancaman 

Pelaku phising seringkali menggunakan strategi persuasif yang memaksa korban untuk mengambil keputusan dengan cepat. Mereka menciptakan urgensi dengan berbagai alasan, seperti mengancam bahwa masa berlaku promo akan berakhir sehingga korban akan merugi, adanya transaksi mencurigakan yang mengharuskan segera memblokir kartu atau rekening, atau peluang bisnis dengan keuntungan besar yang segera harus dimanfaatkan.

Oleh karena itu, penting bagi pengguna internet untuk tetap tenang dan berhati-hati terhadap email yang memicu tekanan waktu atau ancaman, sehingga dapat menghindari jebakan phising yang merugikan.

• Korban phising tidak spesifik 

Terakhir, ciri dari phising adalah bahwa pesan phising sering kali tidak ditujukan secara spesifik kepada korban. Sebaliknya, pesan tersebut cenderung umum, dengan awalan seperti "Kepada Nasabah yang Terhormat", "Kepada Bapak yang Budiman", "Dear Respectable Member", dan sejenisnya.

Dengan menyajikan pesan dalam bentuk umum seperti ini, pelaku phising berharap agar pesannya bisa menjangkau sebanyak mungkin korban potensial. Oleh karena itu, penting bagi pengguna internet untuk mempertimbangkan dengan hati-hati pesan yang mereka terima dan tetap waspada terhadap kemungkinan adanya upaya phising yang mengancam keamanan data pribadi mereka.

Cara Menghindari Phishing

Berikut langkah-langkah atau cara menghindari phising agar tidak menjadi korban penipuan: 

1. Rutin memeriksa keamanan gadget 

Phising merupakan ancaman serius bagi keamanan gadget, termasuk aplikasi mobile banking dan penyimpanan informasi pribadi di aplikasi seperti Note. Seluruh aplikasi dalam gadget dapat menjadi sasaran serangan phising, yang dapat mengancam keamanan data kita. 

Oleh karena itu, sangat penting untuk melakukan pemeriksaan keamanan secara rutin pada gadget kita. Langkah-langkah pencegahan meliputi memeriksa riwayat penggunaan aplikasi dan mencari file-file yang mencurigakan secara teratur. Dengan melakukan pemeriksaan secara berkala, kita dapat mengurangi risiko terkena phising dan menjaga keamanan data pribadi kita dari serangan cyber yang merugikan.

2. Menyimpan informasi login dengan hati-hati 

Untuk menghindari jebakan phising, sangat penting untuk menyimpan informasi login dengan hati-hati. Terlalu sering, orang meninggalkan informasi login mereka di tempat-tempat yang tidak aman, seperti di komputer umum atau di ponsel milik orang lain. Tindakan semacam ini meningkatkan risiko menjadi korban phising. 

Selain menjaga informasi login dengan hati-hati, penting juga untuk menggunakan kata sandi yang unik dan kuat. Jika khawatir sulit mengingatnya, Anda dapat mencatatnya di tempat yang aman dan rahasia, bukan meninggalkannya di tempat sembarangan. Dengan tindakan-tindakan pencegahan ini, dapat mengurangi risiko jatuh ke dalam perangkap phising dan menjaga keamanan akun serta informasi pribadi.

3. Tidak mengikuti perintah email/pesan teks mencurigakan 

Kemudian, cara yang efektif untuk menghindari phising adalah dengan mengabaikan sepenuhnya email atau pesan teks yang mencurigakan. Setiap hari, kemungkinan besar Anda akan menerima serangan phising berkali-kali. Namun, penting untuk tetap waspada dan tidak menjalankan perintah dari pengirim yang mencurigakan tersebut. Jika pengirim pesan mengklaim sebagai seseorang yang dikenal, sebaiknya hubungi langsung orang tersebut untuk memastikan keaslian pesan tersebut. Dengan tindakan pencegahan ini, dapat mengurangi risiko jatuh ke dalam perangkap phising dan menjaga keamanan informasi pribadi.

4. Mengakses website dengan SSL 

SSL (Secure Socket Layer) adalah teknologi yang diterapkan pada website untuk melindungi pengaksesnya dari serangan online. Mengakses website dengan SSL menjadi kunci penting dalam menjaga keamanan perangkat dari phising dan malware. Pengguna disarankan untuk hanya mengunjungi website yang menggunakan SSL. Salah satu cara untuk membedakan website yang menggunakan SSL dengan yang tidak adalah melalui protokol aksesnya. Website yang menggunakan SSL akan memiliki protokol akses "https://".

5. Waspada menerima telepon tidak dikenal 

Untuk menghindari serangan phishing, penting untuk berhati-hati terhadap panggilan telepon dari nomor yang tidak dikenali. Sebaiknya, hindari menerima panggilan dari orang yang tidak dikenal. Jika terpaksa menjawab, pastikan untuk mendengarkan dengan cermat apa yang disampaikan oleh penelepon tersebut. Jika permintaannya terkait dengan informasi pribadi atau permintaan uang, lebih baik untuk mengabaikan panggilan tersebut demi menjaga keamanan dan privasi.

6. Tidak mudah tergiur hadiah yang ditawarkan email/pesan teks 

Penting untuk tetap waspada terhadap serangan phishing dengan tidak hanya memperhatikan panggilan telepon, tetapi juga menghindari godaan hadiah dari email atau pesan teks. Banyak dari hadiah-hadiah tersebut sebenarnya hanya menyamar untuk melakukan phishing. Terlepas dari janji hadiah besar, keputusan untuk tergiur bisa berujung pada kehilangan data berharga, termasuk informasi rekening. Oleh karena itu, lebih bijaksana untuk tidak mudah terpancing oleh tawaran hadiah yang terlalu menggiurkan.

7. Memasang aplikasi pelindung phising 

Terakhir, penting untuk memasang aplikasi pelindung phishing dan malware. Berbagai aplikasi semacam ini tersedia secara luas di internet, baik untuk perangkat ponsel maupun komputer. Dengan memastikan aplikasi pelindung terpasang pada perangkat, dapat menjaga perangkat dari serangan phishing dan malware.

Jenis-jenis Phishing

Ada beberapa jenis phising paling umum menimpa orang, yaitu antara lain:

1. Deceptive Phising
   Deceptive phising adalah  salah satu bentuk penipuan di mana pelaku mengirimkan email atas nama lembaga tertentu untuk meminta korban melakukan sejumlah aktivitas, seperti verifikasi informasi akun, memberikan informasi username atau kata sandi, mengganti kata sandi, atau bahkan melakukan transaksi pembayaran. Informasi yang diperoleh oleh peretas melalui metode ini kemudian dimanfaatkan untuk keuntungan pribadi tanpa pengetahuan korban. Terdapat dua cara yang umum dilakukan oleh pelaku deceptive phishing. Pertama, pelaku menyamar sebagai perwakilan lembaga resmi dan meminta data pribadi korban. Sedangkan cara kedua, pelaku berpura-pura menjadi lembaga dan memberikan tautan ke situs berbahaya kepada korban. Kesadaran akan modus ini penting untuk menghindari jatuh korban dalam perangkap phising yang merugikan.
2. Smishing Phising
   Smishing phising adalah bentuk penipuan yang dilakukan melalui pesan teks atau telepon dengan tujuan untuk memperoleh informasi pribadi korban. Karena pesan teks atau panggilan telepon cenderung lebih dipercayai oleh orang daripada email, kejahatan online ini dapat dengan mudah mengakali korban. Dalam skema smishing, pelaku berupaya membuat korban terpengaruh dengan instruksi yang diberikan, seperti mengirimkan pulsa, menyebutkan nomor rekening, atau mengklik tautan tertentu. Penting bagi pengguna untuk waspada terhadap upaya smishing dan tidak terjebak dalam jebakan yang merugikan.
3. Spear Phising
   Spear phishing merupakan bentuk penipuan di mana pelaku mengirimkan email kepada target tertentu dengan menyamar sebagai pengirim yang terpercaya. Email tersebut seringkali berisi tautan yang mengarahkan korban ke situs web palsu yang penuh dengan malware, yang dikenal sebagai phishing site. Phishing site merupakan upaya penipuan yang bertujuan untuk menipu korban melalui situs web palsu guna mencuri informasi sensitif seperti kredensial akun atau informasi keuangan. Taktik spear phishing ini menunjukkan tingkat kecerdasan dan perencanaan yang lebih tinggi, karena dikustomisasi untuk target tertentu, dan oleh karena itu, masyarakat perlu waspada terhadap modus ini.
4. Whale Phising
   Whale phishing adalah bentuk serangan phishing yang ditargetkan kepada figur publik yang dikenal luas, memiliki kekayaan, dan kekuasaan. Karena status dan potensi keuntungan dari target yang besar, pelaku phising menyebutnya sebagai "whale" atau ikan paus. Meskipun metode yang digunakan mirip dengan spear phishing, whale phishing cenderung lebih terorganisir dan sering kali dilakukan oleh kelompok orang yang bekerja sama. Serangan ini menunjukkan tingkat koordinasi dan perencanaan yang tinggi, sehingga memerlukan kewaspadaan ekstra dari figur publik dan orang-orang terkait untuk melindungi diri dari ancaman phishing yang merugikan.
5. Web Phising
   Web phising melibatkan pembuatan situs web yang menyerupai, bahkan identik, dengan situs web aslinya. Perbedaannya terletak pada alamat situs web yang sering kali hanya memiliki perbedaan kecil, seperti satu huruf atau nama domain yang berbeda. Sebagai contoh, mekariisign.com mungkin terlihat sama dengan mekarisign.com, hanya dengan tambahan satu huruf "i." Dalam contoh lain, alamat situs web Amazon dapat memiliki huruf "n" tambahan yang tidak seharusnya ada. Korban yang tidak waspada akan dengan mudah tertipu dan menginputkan informasi pribadi seperti email dan password karena tampilan halaman login-nya identik dengan yang asli. Penting bagi pengguna internet untuk waspada terhadap taktik web phishing ini guna melindungi informasi pribadi dan keamanan online mereka.
6. Angler Phising
   Angler phising adalah varian baru yang menargetkan pengguna media sosial. Umumnya, serangan ini berbentuk pesan pribadi (DM) atau notifikasi yang sangat mirip dengan notifikasi resmi dari media sosial itu sendiri. Dalam contoh angler phishing, seorang pengguna PayPal mungkin mengeluhkan masalah melalui media sosial. Pelaku yang menggunakan akun mirip PayPal kemudian membalasnya dengan memberikan tautan yang mencurigakan. Di dalam tautan tersebut, korban diminta untuk memasukkan data pribadi dengan dalih untuk penanganan lebih lanjut. Kehadiran angler phishing menekankan pentingnya kesadaran pengguna media sosial terhadap ancaman phishing yang semakin canggih dan merugikan.
7. Quishing
   Quishing, juga dikenal sebagai QR code phishing, merupakan teknik penipuan yang memanfaatkan kode QR palsu untuk mengalihkan korban ke situs web phishing yang meniru situs web asli dari perusahaan atau organisasi tertentu. Kode QR, karena kemudahannya dalam dipindai, seringkali sulit dibedakan antara palsu dan asli. Dengan demikian, serangan QR code phishing dapat dengan mudah menipu korban dan mengakibatkan kerugian yang signifikan. Kehadiran quishing menegaskan pentingnya waspada terhadap berbagai metode penipuan digital yang terus berkembang, serta pentingnya edukasi mengenai cara mengenali dan menghindari serangan phishing.

Contoh Kasus Phising di Indonesia

Di Indonesia, kasus phising telah menjadi sorotan sejak beberapa tahun yang lalu. Salah satu kasus paling mencolok terjadi pada tahun 2015 dengan nama populer "Mama Minta Pulsa". Dalam kasus ini, terdapat sindikat yang terdiri dari delapan orang yang melakukan penipuan pulsa dengan menyamar sebagai anggota keluarga palsu. 

Dalam waktu satu hari saja, sindikat ini berhasil meraup lebih dari Rp20 juta hanya dengan menggunakan SMS atau panggilan telepon untuk mengklaim diri sebagai anggota keluarga terdekat korban. Kejadian ini menunjukkan betapa kompleksnya kasus phishing dan pentingnya kesadaran masyarakat untuk melindungi diri dari serangan penipuan yang merugikan.

Jerat Hukum untuk Pelaku Phising di Indonesia

Meskipun belum ada peraturan perundang-undangan yang secara khusus mengatur tentang phising di Indonesia, pelaku phising dapat dijerat berdasarkan Kitab Undang-Undang Hukum Pidana (KUHP) dan Undang-Undang No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE). Tepatnya sebagai berikut:

• Penipuan sesuai Pasal 378 KUHP dengan pidana penjara maksimal 4 tahun.
• Manipulasi diatur pada Pasal 35 jo. Pasal 51 UU ITE akan dipidana penjara paling lama 12 tahun dan/atau denda paling banyak Rp 12 miliar.
• Penerobosan sesuai Pasal 30 ayat (3) jo. Pasal 46 ayat (3) UU ITE dengan pidana penjara maksimal 8 tahun dan/atau denda paling banyak Rp 800 juta.
• Memindahkan atau Mentransfer informasi dijerat pasal 32 ayat (2) jo. Pasal 48 ayat (2) UU ITE dengan pidana penjara paling lama 9 tahun dan/atau denda paling banyak RP 3 miliar.

Oleh karena itu, jika menjadi korban phising, penting untuk melaporkannya kepada pihak berwajib, terutama jika data-data yang terkena phising merupakan informasi penting. Ini menunjukkan keseriusan hukum dalam menangani kasus-kasus kejahatan digital yang merugikan masyarakat.

Demikian informasi seputar apa itu phising, cara kerja phising, ciri-ciri phising, hingga cara menghindari phising. Ingat, phising adalah kejahatan digital yang telah memakan banyak korban. Karena itu, selalu waspada dan hati-hati saat melakukan aktivitas online.