Apa itu Phishing?

Oleh: M. Ghazali a.k.a ghaNOZ 2480

Pendahuluan

Dalam dunia komputer, saat ini banyak cara untuk mendapatkan informasi penting seperti password, nomor kartu kredit, dan yang lainnya. Salah satu cara untuk mendapatkannya adalah dengan cara yang disebut Phishing. Munculnya istilah phishing berasal dari kata bahasa Inggris fishing (yang berarti memancing), dalam hal ini memancing target untuk memberikan informasi penting seperti informasi keuangan dan password yang dimilikinya.

 

Arti dari Phishing

Dalam dunia komputer, ada suatu istilah Phishing (dalam bahasa inggris). Phishing adalah suatu bentuk penipuan dengan percobaan untuk mendapatkan informasi sensitif, seperti password dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah pesan komunikasi elektronik, seperti e-mail atau pesan instan.

 

Ungkapan “phishing” pertama kali digunakan sekitar tahun 1996 dimana pada saat itu hacker-hacker mulai mencuri account-account pengguna AOL (American On-Line) dengan cara mengirim e-mail kepada pengguna AOL, seolah-olah e-mail yang dikirim tersebut datang dari AOL. Serangan phishing sekarang menyerang pengguna online banking, payment services (layanan pembayaran online) seperti PayPal, situs-situs e-commerce, dan situs-situs e-mail yang berbasis web. Phishing berkembang dengan cepat dalam hal jumlah dan pengalaman yang dimiliki penyerang. Faktanya bank-bank diluar sana seperti di Amerika Serikat, UK dan Australia sudah terkena serangan phishing.

 

Teknik yang digunakan

Karena manusia memiliki insting alami untuk percaya, dan serangan phishing berusaha untuk mengeksploitasinya. Phisher (orang yang melakukan phishing) dalam serangannya menggunakan social engineering dan technical subterfuge (teknik mendalih) untuk mencuri data identitas pribadi pelanggan dan surat-surat rekening keuangan. Skema social engineering menggunakan e-mail yang sudah di-‘spoofed’ yang mengarahkan pelanggan ke sebuah situs palsu yang digunakan untuk menipu pelanggan agar memberitahukan data keuangan seperti nomor kartu kredit, username rekening, passwords dan social security numbers. Dengan membajak nama merk bank, e-retailers (pengecer elektronik) dan perusahaan kartu kredit, phisher berusaha meyakinkan penerima untuk merespon. Skema technical subterfuge memasang perangkat kejahatan ke dalam komputer untuk mencuri surat-surat secara langsung, untuk melakukan ini seringkali menggunakan Trojan keylogger spyware.

 

Bentuk-bentuk dari serangan phishing

  • Pencurian Identitas Online (Online Identity Theft)

Ungkapan ini digunakan untuk menjelaskan tindakan dimana seseorang menggunakan identitas orang lain untuk mendapatkan kredit, barang-barang, layanan-layanan, atau untuk melakukan kejahatan. Contoh kejahatan tersebut penipuan kartu kredit, penipuan surat, pencucian uang, dan kejahatan komputer. Dengan kemajuan Internet, pola penipuan tradisional  ini menjadi membesar, khususnya dalam pencurian indentitas online.

  • Spear Phishing

Orang yang melakukan spear phishing (spear phishers) melakukan serangan dengan cara mengirim e-mail ke pekerja atau anggota beberapa perusahaan, perwakilan pemerintah, organisasi, atau kelompok dengan meyertakan informasi tentang staff atau organisasi yang terpercaya sehingga membuat e-mail tersebut terlihat sungguhan. Pesan tersebut akan terlihat seperti datang dari pekerja Anda atau kolega Anda yang mungkin mengirim pesan e-mail ke semua orang diperusahaan, seperti kepala Departemen Sumber Daya Manusia atau orang yang mengatur sistem komputer, dan dalam e-mail tersebut berisi permintaan untuk memberikan user names atau passwords atau menyuruh penerima e-mail tersebut untuk men-download program jahat (malicious program) dari situs yang sudah terinfeksi. Spear phishing sudah menjadi satu dari sekian banyak bentuk serangan yang merusak organisasi militer di Amerika Serikat (US) dan negera berkembang lainnya. Penyerang mempeoleh informasi user name dan password dan masuk ke dalamnya untuk mendapatkan informasi sensitif yang tidak boleh diketahui orang banyak.

  • Voice Phishing

Bentuk baru phishing adalah dengan mengganti situs dengan sebuah nomor telepon. Phishing dalam bentuk ini, e-mail yang Anda terima menyuruh Anda untuk melakukan panggilan ke nomor tertentu dimana akan ada unit yang merespon panggilan, dan menunggu untuk mengambil nomor account  Anda, nomor identifikasi pribadi, password, atau data pribadi lainnya. Unit audio/orang yang ada disambungan tersebut yang mengklaim account Anda akan ditutup atau masalah lain akan terjadi apabila Anda tidak meresponnya.

 

Bagaimana Agar Terlindung dari Serangan Phishing

  • Jangan terlalu banyak memberikan informasi tentang diri Anda ataupun anggota keluarga Anda (seperti alamat dan nomor telepon) pada suatu situs web komunitas seperti MySpace, Friendster, Facebook, dan yang lainnya. Karena mereka juga (phisher) juga berusaha untuk mendapatkan informasi yang ada pada situs Internet publik (umum).
  • Gunakan perangkat lunak anti-phishing. Aplikasi tersebut biasanya terintegrasi dengan web browser dan e-mail clients, digunakan untuk mengidentifikasi isi dari e-mail dan situs web. Beberapa contoh aplikasi yang tersedia:

o       NetCraft Toolbar, tersedia untuk Internet Explorer dan Firefox.

o       Google Safe browsing: tersedia untuk Firefox.

o       Ebay Toolbar: tersedia untuk Internet Explorer.

o       Earthlink Scamblocker: tersedia untuk Internet Explorer dan Firefox.

o       Geotrust Trustwatch – tersedia untuk Internet Explorer, Firefox, dan Flock.

o       McAfee SiteAdvisor – tersedia untuk Internet Explorer dan Firefox.

  • Salah satu strategi yang terbaik untuk memerangi phishing adalah mempelajari teknik yang sekarang digunakan dan teknik baru yang digunakan dalam melakukan phishing, sehingga membuat kita tahu apa yang harus dilakukan seandainya terkena serangan phishing.

Penutup

Dunia maya yang kita kunjungi memang tidak sepenuhnya aman, namun itulah resiko yang harus kita hadapi, karena itu tetaplah waspada dan jangan mudah percaya (dibodohi) oleh mereka-mereka yang ingin mencuri informasi penting dari Anda.


Referensi

  1. http://id.wikipedia.org/wiki/Phishing
  2.  SANS Top-20 2007 Security Risks (2007 Annual Update), http://www.sans.org
  3. What is phishing?”, http://campaign.gopublicnow.info/2008/01/09/what-is-phishing/
  4. What is Phishing and Pharming?”, http://www.anti-phishing.org/
  5. http://packetstormsecurity.org/papers/phishing/Phishing-101.txt