Apa Itu Phising? Pengertian, Jenis, dan Cara Mengenalinya

Saat ini, phising adalah salah satu ancaman virtual yang paling banyak dijumpai. Siapa pun bisa menjadi korban, mulai dari pengguna internet biasa, pelaku bisnis, sampai perusahaan, semuanya sangat mungkin terkena phishing.

Anda pun tak terkecuali, karena kejahatan di dunia maya selalu mengintai kapan saja. Bahkan tak jarang ancaman cyber ini berakibat cukup serius pada kehidupan sehari-hari korbannya.

Oleh karena itu, di artikel ini kami akan membantu Anda lebih waspada saat online di internet dengan menjelaskan pengertian phising. Kami juga akan membahas jenis phising dan ciri-ciri phising agar Anda bisa menghindarinya.

Yuk langsung saja mulai pembahasannya di bawah ini! Jangan lupa untuk membaca sampai selesai ya.

Apa Arti Phising?

Phising adalah penipuan online yang dilakukan melalui email, link, website, atau telepon palsu yang dibuat semirip mungkin dengan aslinya. Tujuannya yaitu untuk mendapatkan data dan informasi sensitif, seperti rekening bank atau username dan password.

Pada dasarnya, phising berasal dari kata phishing dalam bahasa Inggris, mengadaptasi kata fishing yang secara harfiah berarti memancing.

Jadi, phising merupakan teknik untuk ‘memancing’ informasi dan data rahasia dari para korban melalui umpan atau data palsu yang dibuat semenarik mungkin dan semirip mungkin dengan aslinya.

Pelaku kejahatan cyber melakukan phising dengan berbagai cara. Biasanya, pelaku phising menjalankan kejahatannya melalui link penipuan dalam email atau SMS, atau dengan suara via telepon.

Mereka menyamarkan identitasnya seolah-olah berasal dari perusahaan yang valid untuk menarik dan membujuk calon korban agar memberikan informasi sensitif seperti nomor kartu kredit, informasi login, dan nomor KTP.

Setelah korban mulai masuk ke perangkap si penipu, mereka akan mulai melancarkan serangannya. Bukannya mendapat hadiah, korban justru bisa kehilangan akun atau bahkan uang yang ada dalam rekeningnya.

Apa Saja Bentuk Penipuan Phising?

Bentuk paling umum dari phishing adalah email phising, SMS, panggilan telepon, web phising, dan pop-up di website yang tidak dilindungi. Semuanya akan diberi pesan-pesan yang sangat menarik agar calon korban terbujuk.

Bahkan tidak jarang juga pesan tersebut dibuat seolah-olah dikirim oleh bank, lembaga pemerintah, atau perusahaan keuangan seperti PayPal dan DANA.

Isinya akan mengajak calon korban untuk melakukan suatu tindakan atau memberikan informasi tertentu. Misalnya, Anda mungkin diminta untuk membuka link atau file, menelepon, atau menginstall dan mengupdate aplikasi tertentu.

Para pelaku phising akan menggunakan segala cara untuk memancing calon korbannya dan mendapatkan akses ke informasi sensitif yang bisa mereka manfaatkan untuk mendapatkan keuntungan.

Jenis-Jenis Phising

Nah, meskipun sudah tahu apa itu phising dan mulai memikirkan berbagai cara untuk menghindari serangan ini, jangan sampai Anda meremehkannya.

Berbagai jenis phising akan selalu dilakukan para penjahat untuk mencuri data Anda. Ada saja teknik baru mereka untuk menjerat korban. 

Misalnya di Indonesia sendiri, kejadian yang paling sering terjadi terkait phising adalah scam yang dikirimkan melalui chat di aplikasi WhatsApp. Jenis serangan seperti ini termasuk yang paling sering terjadi dan biasanya menyerang korban perorangan.

Ada juga serangan yang memang dikhususkan untuk menjerat korban dari kalangan bisnis. Mereka melakukannya secara sistematis dan terstruktur untuk memperoleh keuntungan yang juga tidak sedikit.

Jadi, agar Anda lebih waspada, sebaiknya ketahui jenis-jenis phising yang ada saat ini, yaitu:

1. Scam Phising

Scam phising adalah upaya yang dilakukan para pelaku kejahatan cyber untuk mengelabui Anda agar memberikan informasi pribadi, seperti nomor rekening bank, password, dan nomor kartu kredit.

Mereka biasanya akan mengirimkan link atau file yang sudah dimodifikasi atau mengandung malware. Informasi yang mereka dapat kemudian digunakan untuk membobol akun Anda, mencuri uang, dan melakukan transaksi.

Media yang biasanya dimanfaatkan untuk serangan scam phising adalah telepon, email, SMS, atau media sosial.

2. Blind Phising

Dari semua jenis serangan phising, blind phising adalah jenis yang paling umum terjadi.

Serangan ini dikirim melalui email massal dan tidak menggunakan strategi apa pun. Hanya berbekal “untung-untungan” bahwa akan ada penerima yang jatuh ke dalam perangkap mereka untuk mengikuti tindakan dalam email.

3. Spear Phising

Spear phising diambil dari kata ‘spear’ yang berarti tombak, layaknya pemancing yang melakukan teknik memancing dengan tombak untuk memilih ikan tertentu.

Yap, serangan ini dilakukan terhadap kelompok tertentu, bisa saja pejabat pemerintah, pelanggan perusahaan tertentu, atau bahkan orang tertentu.

Serangan spear phishing biasanya dilakukan untuk membobol dan mengakses database khusus guna mendapatkan informasi penting, file rahasia, atau data-data keuangan.

3. Clone Phising

Jenis penipuan ini dilakukan dengan mengkloning website asli untuk mengelabui dan menarik pengguna.

Umumnya, web phising ini akan meminta calon korban untuk memasukkan informasi sensitif pada kolom yang disediakan.

Padahal kolom ini nantinya akan mengirimkan informasi tersebut ke si penjahat. Setelah itu, pengguna akan diarahkan ke halaman asli tanpa menyadari bahwa ia sudah menjadi korban kejahatan phising.

4. Whaling

Istilah ini berasal dari kata ‘whale’ dalam bahasa Inggris yang berarti paus. Benar, masih berhubungan dengan aktivitas memancing, jenis phising ini menyasar korban ‘besar’ atau bukan orang biasa.

Whaling biasanya menargetkan pegawai eksekutif tingkat tinggi atau tokoh terkenal, seperti direktur perusahaan, dengan maksud untuk mengacaukan instansinya.

Serangan ini biasanya dilakukan dengan menyamar sebagai salah satu staf pengadilan atau pengumuman terkait situasi internal perusahaan.

5. Vishing

Huruf P diganti dengan huruf V karena serangan vishing dilakukan oleh penjahat menggunakan suara (voice) untuk melancarkan serangan dan mencari korban phising.

Anda pasti sudah sering melihat beberapa video yang berseliweran di media sosial terkait telepon penipuan.

Ada yang menimbulkan kepanikan dengan memberikan kabar kerabat yang ditangkap polisi atau kecelakaan, atau bahkan dapat hadiah undian. Ujung-ujungnya korban akan diminta untuk mentransfer sejumlah uang tertentu.

Pelaku phising yang melakukan vishing terkadang menggunakan nomor telepon yang tidak valid atau VoIP untuk menyembunyikan identitasnya.

6. Pharming

Serangan ini dilakukan dengan DNS spoofing dan menjaring korban dalam skala besar.

Jadi, DNS adalah sistem yang menerjemahkan domain menjadi alamat IP, dan setiap kali pengguna mencari website di internet dengan mengetikkan URL (misalnya google.com.br), DNS akan mencari alamat IP yang cocok dengan nama domain tersebut di server.

Nah, kalau sistem ini sudah dibobol, URL yang diketik pun bisa mengarahkan pengguna ke halaman tiruan yang dibuat khusus untuk serangan tersebut.

7. Smishing

Smishing adalah sebutan untuk jenis phising yang dilakukan melalui SMS. Sama seperti jenis penipuan phishing lainnya, kalimat-kalimat yang dikirim dalam SMS umumnya mendorong penerimanya untuk melakukan sesuatu.

Serangan ini juga termasuk yang paling sering terjadi di Indonesia, yang isinya mendesak korban untuk membayar sesuatu, meyakinkan bahwa korban menang lotre, hadiah undian, atau mendapatkan uang dalam jumlah yang fantastis.

Phishing di Media Sosial

Jangan salah, phising juga kerap terjadi di platform media sosial loh. Survei Kaspersky menunjukkan bahwa 21,89% kejadian phishing terjadi di platform Facebook.

Bentuknya terkadang bisa berupa diskon besar-besaran yang sayang untuk dilewatkan, atau notifikasi palsu yang membuat penasaran seperti “Seseorang menandai Anda di sebuah foto, klik di sini untuk melihatnya.

Tentu saja penyerang melakukannya bukan tanpa maksud. Mereka selalu mencoba untuk mencuri data media sosial Anda. Caranya bahkan bisa sangat spesifik, yaitu dengan memalsukan identitas dan berpura-pura seperti orang terdekat Anda.

Terkadang bahkan ada yang menyamar sebagai staf dukungan suatu platform menggunakan akun palsu yang terlihat sangat mirip tapi mungkin luput dari perhatian, seperti @amazonhelp (akun resmi) dan @amazon_help (akun palsu).

Cara Mengenali dan Menghindari Phising

Mengetahui jenis-jenis dan arti phising saja sama sekali belum bisa melindungi Anda dari phising. Trik yang digunakan oleh para penjahat selalu dikembangkan sesuai dengan situasi yang sedang tren. Lalu, bagaimana cara menghindari phising?

Nah, ada beberapa hal yang bisa Anda teliti dulu ketika menerima email, SMS, atau telepon yang kemungkinan merupakan phising.

Dengan mengecek hal-hal di bawah ini, Anda pun bisa melindungi diri agar tidak terjebak dalam perangkap penjahat cyber.

Ciri-ciri umum phising adalah:

  1. Nominal uang yang terlihat fantastis
    Tidak ada hasil yang instan. Kecil sekali peluang seseorang mendapatkan uang dalam jumlah banyak tanpa harus bekerja keras siang dan malam.

    Jadi, kalau Anda menerima email, telepon, atau chat yang mengatakan bahwa Anda mendapatkan dana hibah atau transfer uang hingga ratusan juta rupiah tanpa alasan apa pun, kemungkinan besar pesan tersebut adalah phising.
  1. Menang undian heboh
    Beberapa konten phising yang dikirim penyerang akan merayu Anda untuk mengklaim hadiah karena telah berbelanja di platform tertentu, misalnya menang undian tiket jalan-jalan, smartphone, atau mobil.

    Jangan pernah klik link dalam pesan seperti ini. Pastikan untuk selalu mengecek platform tersebut dan pastikan apakah ada promo yang valid, atau hubungi staf dukungan platform yang mengaku mengirimkan pesan tersebut untuk mengonfirmasi kebenarannya.
  1. Kalimat ajakan terkesan terburu-buru
    Kata-kata seperti “Ambil hadiah Anda sekarang atau besok hangus!” bisa menciptakan kesan tersendiri bagi beberapa orang, terutama yang sedang merasa membutuhkan sesuatu.

    Padahal biasanya platform yang mengadakan undian valid akan menampilkan informasi pemenang di website resmi mereka tanpa desakan untuk segera mengambilnya.

    Inilah yang dimanfaatkan para penjahat cyber untuk menjebak calon korbannya agar segera mengklik link atau memasukkan data pribadi dan informasi rahasia mereka.
  1. Mengancam dengan berita palsu
    Rasa panik menjadi salah satu celah psikologi yang sering dimanfaatkan penipu dunia maya. Biasanya mereka melakukannya melalui vishing, menggunakan nada suara yang sedikit menggertak agar Anda bertindak sesuai perintah.

    Bahkan ada juga sindikat yang menyamar menjadi staf kepolisian, menelepon Anda untuk menyampaikan berita yang menimbulkan rasa panik. Tentu saja setelahnya mereka akan meminta Anda mentransfer sejumlah uang.

    Jangan langsung gegabah melakukan sesuatu ketika menerima telepon seperti ini. Cobalah hubungi nomor rekan atau kerabat Anda yang mereka sebut mengalami suatu kejadian dan konfirmasikan kebenarannya.
  1. Link eksternal
    Email atau pesan yang dikirim penjahat sering kali mencantumkan link eksternal palsu yang bisa cukup berbahaya kalau Anda membukanya.

    Biasanya link tersebut terlihat berasal dari platform email atau media sosial yang mengabarkan bahwa akun Anda terkena hack. Bahkan, tidak jarang para penipu menggunakan domain palsu yang benar-benar mirip aslinya.

    Untuk memastikan apakah link tersebut valid, coba arahkan mouse ke link tersebut tapi jangan mengkliknya. Lihat URL-nya di pojok kiri bawah browser. Atau, klik kanan URL lalu copy-paste ke notepad untuk melihat tujuannya. Waspada juga terhadap short URL yang sering digunakan untuk menutupi link asli.
  1. File berbahaya
    Saat menerima email phising atau chat dari orang asing yang mencurigakan, waspadai file yang disertakan dalam lampiran pesan.

    Terkadang penipu pura-pura mengirimkan dokumen seperti bukti transfer, dokumen penting, atau bahkan proposal pekerjaan padahal filenya adalah program executable atau APK yang bisa memicu virus dan pencurian data kalau sampai diinstal.
  1. Pengirim tidak dikenal
    Kalau tiba-tiba menerima email, telepon, atau chat dari orang tidak dikenal, Anda harus selalu mencurigainya. Hal yang sama berlaku apabila mereka mengaku dari pihak bank, perusahaan besar yang tidak memiliki ikatan dengan Anda, atau orang asing.

    Bahkan Google dan Facebook juga pernah menjadi korban phishing loh. Evaldas Rimasauskas dari Lituania menyamar sebagai perusahaan Quanta Computer yang merupakan vendor kerja sama Google dan Facebook. Hasilnya? Ia berhasil mendapatkan sekitar 100 juta poundsterling!

Agar Anda bisa lebih mengenalinya, mari lihat contoh email phising pada gambar di bawah ini. Kami akan memberikan analisisnya.

Dari poin-poin identifikasi phising tadi, Anda bisa melihat ciri khas penipuan phising pada email di atas, seperti:

  1. Mencantumkan nominal uang yang tidak realistis.
  2. Berusaha meyakinkan Anda bahwa pesan tersebut bukanlah scam.
  3. Email pengirim yang mencurigakan, asing, dan tidak dikenal.
  4. Tidak mencantumkan nama penerima dan pesan sambutan khusus, menunjukkan bahwa email tersebut kemungkinan merupakan blind phising yang dikirim ke banyak penerima sekaligus.
  5. Membawa nama pemerintah setempat untuk meyakinkan Anda bahwa pengirim bukanlah orang jahat karena dekat dengan pihak penguasa.

Bagaimana, apakah Anda bisa mengenalinya? Sayangnya masih banyak orang yang percaya dan jatuh ke dalam perangkap penipu ini.

Mari lihat satu contoh lagi di bawah ini yang mungkin sudah pernah Anda lihat di media sosial.

(Sumber: Kompas.com)

Surat di atas biasanya dikirimkan melalui pesan WhatsApp dari nomor yang mengaku sebagai staf suatu bank.

Pelaku menggiring korbannya untuk memercayai bahwa akan ada kenaikan transfer dalam jumlah yang tidak masuk akal, yaitu dari Rp6.500 menjadi ratusan ribu. Tentu saja penerima pasti tidak ingin dikenai biaya lebih mahal tersebut.

Kalau tidak menyetujui tarif tersebut dan ingin tetap menggunakan tarif yang murah, penerima diminta membuka sebuah website yang merupakan clone phising. Di website palsu tersebut korban akan diminta memasukkan informasi login mobile banking miliknya.

Akibatnya sudah jelas, penipu akan mencuri data pribadi milik korban tersebut lalu menguras habis isi rekeningnya.

Nah, dari 2 contoh di atas, Anda sekarang sudah tahu ciri-ciri phising. Maka dari itu Anda sebaiknya selalu waspada kalau ada pesan-pesan aneh yang kurang masuk akal demi melindungi diri Anda sendiri di internet maupun dunia nyata.

Cara Melindungi Diri dari Phising

Agar terhindar dari phising, Anda perlu melakukan langkah-langkah keamanan yang mampu menghalau strategi baru para penjahat cyber.

Meskipun sudah banyak berita atau banner yang mengingatkan akan bahayanya, Anda bisa melakukan beberapa cara melindungi diri dari phising sebagai tindakan preventif.

Langkah-langkah yang bisa dilakukan untuk menghindari phising adalah:

  1. Analisis email dan chat yang diterima
    Yup, Anda harus terus dan terus mengingat tips ini. Selalu evaluasi informasi dan maksud pengirim pada email yang Anda terima. Cek bagian header email untuk mengetahui apakah email diterima dari domain yang valid.

    Untuk chat yang diterima melalui aplikasi WhatsApp atau SMS, selalu pastikan bahwa pengirimnya adalah akun resmi yang biasanya memiliki tanda centang dan langsung nama platform, bukan sekadar nomor telepon.
  1. Install software antivirus
    Software antivirus berperan cukup krusial mengingat ada banyak sekali jenis ancaman internet selain phishing. Untuk melindungi diri Anda, gunakan software antivirus terbaik yang ada di pasaran seperti Avast, ESET, Avira atau AVG yang semuanya memiliki versi gratis.
  1. Aktifkan verifikasi dua langkah (2FA)
    Two factor authentication atau 2FA adalah langkah keamanan tambahan yang mewajibkan dua kali proses autentikasi, dilakukan satu per satu untuk mengecek ulang dan memvalidasi apakah orang yang meminta akses merupakan pengguna yang berwenang.

    Aktifkan 2FA pada semua akun Anda baik dengan verifikasi SMS atau aplikasi autentikator guna meningkatkan keamanan dan melindungi diri dari phishing.
  1. Gunakan software firewall
    Firewall berfungsi sebagai lapisan penghalang yang mengamankan akses Anda di internet. Software ini memeriksa traffic yang masuk untuk mengecek sumbernya serta mencari tahu apakah akses tersebut termasuk dalam blocklist.
  1. Install plugin browser anti-phising
    Anda juga bisa menginstal plugin agar lebih aman setiap kali mengakses website. Tool ini akan mencari tahu apakah ada catatan atau bukti tentang website tersebut dalam daftar blokir.

    Beberapa plugin anti-phishing terbaik di antaranya adalah Anti-Phishing & Authenticity Checker, Netcraft Extension, atau Stop Phishing.
  1. Pasang sertifikat SSL
    Selalu pastikan apakah domain yang Anda akses memiliki sertifikat SSL dengan melihat ikon gembok pada kolom alamat browser. Sebab, saat ini SSL adalah teknologi standar yang wajib diterapkan untuk menjamin keamanan transfer data antara server dan website. Kalau ada ikon gembok tersebut, berarti website yang Anda kunjungi kemungkinan aman dari phising.

Jadi, Phising Adalah…

Phising adalah ancaman keamanan internet yang bisa berakibat cukup serius. Tidak hanya mengganggu kenyamanan saat online, phising juga bisa membahayakan keselamatan fisik korbannya.

Sayangnya masih banyak pengguna yang belum benar-benar memahami apa itu phising atau cara mengidentifikasinya.

Nah, setelah membaca artikel ini, Anda pun sekarang tahu pengertian phishing beserta hal-hal yang wajib Anda cek untuk mengenalinya. Selain itu, kami sudah menjelaskan beberapa langkah untuk membantu Anda menghindarinya, baik dalam chat, email, maupun telepon.

Semoga setelah ini Anda bisa lebih waspada saat berinternet dan terlindung dari segala jenis kejahatan cyber, ya. Sampai jumpa di artikel berikutnya!

Author
Penulis

Faradilla A.

Faradilla, yang lebih akrab disapa Ninda, adalah Content Marketing Specialist di Hostinger. Ia suka mengikuti tren teknologi, digital marketing, dan belajar bahasa. Melalui tutorial Hostinger ini, Ninda ingin berbagi informasi dan membantu pembaca menyelesaikan masalah yang dialami. Kenali Ninda lebih dekat di LinkedIn.