Jenis-Jenis Phising, Manakah yang Berbahaya?

By Admin in Security Awareness

Security Awareness
Dalam era digital yang semakin berkembang pesat, keberadaan teknologi memberikan kemudahan dan aksesibilitas yang tak terbatas bagi pengguna internet. Namun, di balik kemudahan tersebut, muncul ancaman serius yang dapat merugikan individu, perusahaan, dan bahkan institusi pemerintah. Salah satu ancaman utama yang menjadi perhatian adalah serangan phising.

Phising merupakan bentuk penipuan daring yang canggih dan merugikan. Artikel ini bertujuan untuk memberikan wawasan mendalam mengenai serangan phising, meliputi cara kerja, jenis-jenisnya, dan langkah-langkah preventif yang dapat diambil untuk melindungi diri dari risiko yang ditimbulkannya.

Dari cara yang dilakukan serta target yang diharapkan dalam serangan phising, maka jenis-jenis phising dapat dibagi menjadi beberapa jenis phising, yaitu:

A. Deceptive Phising

Deceptive phising adalah bentuk serangan phising di mana penyerang (phiser) mencoba untuk menipu atau memperdaya korban dengan menyamar sebagai entitas tepercaya atau sah. Tujuan utama dari serangan ini adalah untuk mendapatkan informasi pribadi, seperti kata sandi, informasi akun, atau data keuangan. Penyerang mencoba untuk membuat korban percaya bahwa mereka berinteraksi dengan entitas yang sah, seperti lembaga keuangan, perusahaan, atau layanan online yang dikenal.

Metode umum yang digunakan dalam deceptive phising termasuk:

  1. Email palsu: Penyerang mengirimkan email palsu yang terlihat seperti berasal dari lembaga atau perusahaan terpercaya. Email tersebut mungkin berisi tautan yang mengarah ke situs web phising yang meniru tampilan situs asli.
  2. Situs web palsu: Penyerang membuat situs web yang meniru tampilan dan nuansa situs web yang sah. Korban mungkin diminta untuk memasukkan informasi pribadi atau login di situs web palsu ini.
  3. Pesan instan atau pesan media sosial: Penyerang dapat menggunakan pesan instan atau media sosial untuk menyebarkan tautan ke situs phising atau untuk meminta informasi pribadi secara langsung.
  4. Telepon palsu: Beberapa serangan phising melibatkan panggilan telepon palsu di mana penyerang berpura-pura menjadi entitas sah dan mencoba untuk memperoleh informasi pribadi dari korban.

Penting untuk selalu waspada terhadap email atau komunikasi yang mencurigakan, serta untuk memverifikasi keaslian situs web sebelum memasukkan informasi pribadi atau login. Langkah-langkah keamanan tambahan, seperti penggunaan otentikasi dua faktor, juga dapat membantu melindungi akun dari serangan phising.

B. Blind Phising

Blind phising adalah jenis serangan phising di mana penyerang tidak memiliki informasi spesifik tentang korban yang menjadi target. Dalam serangan phising biasa, penyerang mungkin mencoba menyamar sebagai entitas tertentu untuk mencuri informasi pribadi dari korban yang sudah ditargetkan. Namun, dalam blind phising, penyerang tidak memiliki informasi spesifik tentang siapa korbannya dan secara acak mengirimkan pesan phising kepada banyak orang dengan harapan beberapa orang akan jatuh ke dalam perangkap.

Beberapa karakteristik umum dari blind phising termasuk:
  1. Tidak Ada Informasi Target Khusus: Penyerang tidak tahu siapa yang akan menjadi korban dari serangannya. Mereka dapat menggunakan metode yang lebih umum dan mencoba menipu sebanyak mungkin orang.
  2. Menggunakan Umumnya Digunakan: Serangan blind phising sering kali menggunakan teknik-teknik umum yang dikenal dapat berhasil di banyak situasi. Contohnya termasuk mengirimkan email palsu yang mengklaim masalah keamanan atau penipuan keuangan, dan meminta korban untuk memberikan informasi pribadi.
  3. Tingkat Keberhasilan Yang Relatif Rendah: Karena serangan ini tidak ditargetkan secara khusus terhadap individu tertentu, tingkat keberhasilannya mungkin lebih rendah dibandingkan dengan serangan phising yang ditargetkan.

Meskipun blind phising mungkin kurang terarah, tetap penting bagi individu dan organisasi untuk tetap waspada terhadap pesan yang mencurigakan dan menjaga keamanan informasi pribadi. Langkah-langkah seperti tidak mengklik tautan atau lampiran dari sumber yang tidak dikenal, memverifikasi keaslian pesan dengan pihak yang terkait, dan menggunakan perangkat lunak keamanan yang efektif dapat membantu melindungi diri dari serangan blind phising dan serangan phising lainnya.

C. Spear Phising

Spear phising adalah bentuk serangan phising yang lebih terarah dan spesifik. Berbeda dengan serangan phising umum atau blind phising yang mencoba menipu sebanyak mungkin orang dengan pesan umum, spear phising ditujukan kepada target tertentu atau kelompok tertentu. Para penyerang melakukan riset mendalam tentang target mereka, seperti individu atau organisasi, untuk membuat pesan phising yang lebih meyakinkan dan sulit dideteksi.

Beberapa ciri khas spear phising termasuk:
  • Penargetan Spesifik: Penyerang melakukan riset untuk mendapatkan informasi spesifik tentang target mereka, seperti nama, jabatan, kontak, atau aktivitas online. Informasi ini digunakan untuk membuat pesan phising yang tampak lebih meyakinkan.
  • Customized Content: Pesan phising dibuat dengan merinci dan disesuaikan agar sesuai dengan kehidupan atau pekerjaan target. Ini dapat mencakup penggunaan nama target, jabatan, proyek terkini, atau informasi lain yang membuat pesan terlihat lebih sah.
  • Pemalsuan Identitas yang Cermat: Penyerang sering menyamar sebagai seseorang yang dikenal atau organisasi yang dikenal oleh target. Hal ini dapat mencakup menyamar sebagai rekan kerja, atasan, atau bahkan teman pribadi.
  • Teknik Sosial Rekayasa yang Lanjut: Serangan spear phising dapat melibatkan teknik sosial rekayasa yang lebih lanjut, seperti menciptakan keadaan darurat atau urgensi untuk mendorong target untuk mengambil tindakan cepat tanpa berpikir lebih lanjut resiko yang akan terjadi.

Spear phising dapat menyasar individu, bisnis, atau bahkan pemerintah. Karena serangan ini cenderung lebih terarah dan sulit dideteksi, penting untuk menjaga keamanan digital dengan menggunakan tindakan pencegahan, seperti pelatihan keamanan bagi karyawan, penggunaan perangkat lunak keamanan yang canggih, dan tetap waspada terhadap pesan atau permintaan yang mencurigakan.

D. Whaling

Whaling adalah bentuk serangan phising yang sangat terarah dan ditujukan kepada target yang sangat penting atau berpengaruh dalam sebuah organisasi. Istilah "whaling" digunakan karena serangan ini mirip dengan "spear phising" tetapi dilakukan pada tingkat yang lebih tinggi, menargetkan "paus" atau individu yang memiliki peran dan akses yang sangat tinggi dalam suatu organisasi.

Target whaling seringkali adalah individu seperti eksekutif tingkat tinggi, pemilik perusahaan, atau pejabat senior lainnya yang memiliki akses ke informasi penting dan keputusan kunci dalam organisasi. Penyerang whaling menggunakan teknik sosial rekayasa yang canggih dan seringkali memanfaatkan informasi pribadi yang sangat spesifik untuk membuat pesan phising yang sangat meyakinkan.

Beberapa karakteristik dari serangan whaling melibatkan:
  1. Penargetan Individu Berpengaruh: Whaling ditargetkan pada individu-individu yang memiliki wewenang tinggi dan akses ke informasi rahasia atau kritis. Dalam hal ini phiser akan menargetkan manager bahkan pimpinan tertinggi perusahaan. Harapan yang diinginkan jika phiser sudah mendapatkan akses penuh terhadap perusahaan, maka data dan informasi perusahaan mampu diambil alih oleh phiser dan diperjual belikan untuk mendapatkan royalti tebusan dari perusahaan.
  2. Riset Mendalam: Phiser melakukan riset mendalam untuk mengumpulkan informasi pribadi dan profesional tentang target, sehingga pesan phising dapat dibuat dengan sangat meyakinkan.
  3. Pemalsuan Identitas yang Tinggi: Phiser sering menyamar sebagai atasan eksekutif, bos, atau pemilik perusahaan untuk meningkatkan kemungkinan keberhasilan serangan.
  4. Hasil yang Potensial Besar: Jika serangan berhasil, hasilnya bisa sangat besar karena informasi yang dapat diakses oleh target whaling dapat mencakup rincian keuangan, rencana bisnis, atau informasi penting lainnya.

Whaling merupakan ancaman serius karena dampaknya yang besar terhadap organisasi. Untuk melawan serangan ini, organisasi perlu mengadopsi kebijakan keamanan yang ketat, memberikan pelatihan keamanan yang intensif kepada karyawan, dan menggunakan teknologi keamanan tingkat tinggi untuk mendeteksi dan mencegah serangan whaling.

E. Smishing

Smishing adalah bentuk serangan phising yang menggunakan pesan teks atau SMS (Short Message Service) untuk menipu orang agar mengungkapkan informasi pribadi atau melakukan tindakan tertentu. Istilah "smishing" berasal dari penggabungan kata "SMS" dan "phising." Serangan ini mirip dengan phising dalam hal tujuannya, yaitu mendapatkan informasi sensitif atau merusak keamanan korban.


Berikut adalah beberapa karakteristik umum dari smishing:
  1. Pesan Teks Palsu: Penyerang mengirimkan pesan teks yang menyamar sebagai pesan resmi dari lembaga keuangan, layanan online, atau organisasi lain yang dikenal. Pesan tersebut sering kali menciptakan keadaan darurat atau kebutuhan segera untuk mendapatkan respons dari korban.
  2. Tautan atau Nomor Telepon Palsu: Pesan smishing mungkin berisi tautan yang mengarah ke situs web palsu atau nomor telepon yang diminta untuk dihubungi. Tujuannya adalah agar korban memberikan informasi pribadi atau keuangan.
  3. Pesan Mengancam atau Meminta Informasi Pribadi: Pesan smishing seringkali mengandung ancaman atau tuntutan mendesak yang merayu korban untuk memberikan informasi pribadi seperti nomor kartu kredit, kata sandi, atau data keuangan lainnya.
  4. Penggunaan Teknik Sosial Rekayasa: Seperti bentuk phising lainnya, smishing melibatkan penggunaan teknik sosial rekayasa untuk memanipulasi emosi atau keadaan darurat yang mendorong korban untuk bertindak tanpa berpikir lebih lanjut.

Untuk melindungi diri dari serangan smishing, disarankan untuk:
  • Tidak mengklik tautan dari pesan teks yang mencurigakan: Verifikasi keaslian pesan dengan langsung menghubungi lembaga atau organisasi yang diduga mengirimkan pesan.
  • Tidak memberikan informasi pribadi: Jangan memberikan informasi pribadi atau keuangan melalui pesan teks, terutama jika diminta secara mendesak atau mencurigakan.
  • Memeriksa nomor pengirim: Periksa nomor telepon pengirim pesan untuk memastikan bahwa itu berasal dari sumber yang sah.

Dengan tetap waspada terhadap pesan teks yang mencurigakan, individu dapat membantu melindungi diri dari serangan smishing.

F. Web Phising

Web phising adalah bentuk serangan phising yang dilakukan melalui situs web palsu yang dirancang untuk menipu pengguna agar mengungkapkan informasi pribadi atau keuangan. Dalam serangan ini, penyerang menciptakan halaman web yang meniru tampilan dan nuansa situs web resmi dari lembaga keuangan, perusahaan, atau layanan online yang dikenal.

Berikut adalah langkah-langkah umum yang terlibat dalam serangan web phising:
  1. Pembuatan Situs Web Palsu: Penyerang membuat situs web yang sangat mirip dengan situs resmi target. Ini dapat mencakup penggunaan logo, warna, dan desain yang serupa untuk membuatnya terlihat seolah-olah itu adalah situs yang sah.
  2. Penyebaran Tautan Melalui Email atau Pesan Palsu: Penyerang dapat menyebarkan tautan ke situs web palsu melalui email phising, pesan teks (smishing), atau pesan media sosial. Pesan tersebut seringkali menciptakan keadaan darurat atau kebutuhan mendesak untuk membuat pengguna lebih cenderung mengklik tautan.
  3. Penggunaan Teknik Sosial Rekayasa: Halaman web palsu dapat menciptakan situasi atau urgensi yang mendorong pengguna untuk memberikan informasi pribadi atau login. Ini dapat mencakup klaim palsu tentang masalah keamanan akun atau perlu pembaruan informasi.
  4. Pencurian Informasi Pribadi: Ketika pengguna mengklik tautan dan memasukkan informasi pribadi atau login di situs web palsu, informasi tersebut dikumpulkan oleh penyerang untuk digunakan secara ilegal.

Beberapa tanda yang dapat membantu mengidentifikasi situs web phising termasuk:
  • Alamat URL yang mencurigakan: Periksa alamat URL dengan cermat untuk memastikan bahwa itu adalah situs web resmi. Situs web palsu mungkin memiliki perubahan kecil pada nama domain atau subdomain.
  • Kualitas Desain yang Buruk: Situs web phising seringkali memiliki kualitas desain yang kurang baik dibandingkan dengan situs web resmi.
  • Permintaan Informasi Pribadi yang Berlebihan: Jika sebuah situs web meminta informasi pribadi atau login yang tidak relevan atau terlalu banyak, itu mungkin menjadi tanda situs phising.

Untuk melindungi diri dari serangan web phising, penting untuk selalu memeriksa keaslian situs web sebelum memasukkan informasi pribadi atau login, tidak mengklik tautan dari sumber yang tidak dikenal, dan tetap waspada terhadap pesan yang mencurigakan. Selain itu, menggunakan perangkat lunak keamanan yang canggih dan menjaga perangkat lunak serta sistem operasi selalu diperbarui juga dapat membantu mengurangi risiko serangan phising.

G. Vishing

Vishing adalah bentuk serangan phising yang menggunakan panggilan suara atau VoIP (Voice over Internet Protocol) untuk menipu individu agar memberikan informasi pribadi atau keuangan. Istilah "vishing" berasal dari penggabungan kata "voice" dan "phising." Dalam serangan vishing, penyerang mencoba untuk membuat korban percaya bahwa mereka berbicara dengan entitas yang sah, seperti bank, layanan kartu kredit, atau perusahaan terpercaya lainnya.

Berikut adalah beberapa karakteristik umum dari serangan vishing:
  1. Panggilan Suara Palsu: Penyerang menggunakan teknologi suara untuk membuat panggilan yang tampaknya berasal dari sumber yang sah. Mereka sering kali menyamar sebagai perwakilan layanan pelanggan, petugas keamanan, atau entitas resmi lainnya.
  2. Teknik Sosial Rekayasa Suara: Penyerang menggunakan teknik sosial rekayasa dalam percakapan suara untuk memanipulasi emosi dan mendapatkan kepercayaan korban. Ini dapat mencakup menciptakan keadaan darurat atau urgensi.
  3. Permintaan Informasi Pribadi atau Pembayaran: Selama panggilan, penyerang mungkin meminta korban untuk memberikan informasi pribadi seperti nomor kartu kredit, kata sandi, atau nomor rekening bank. Mereka juga dapat mencoba membuat korban melakukan pembayaran atau mentransfer dana.
  4. Penggunaan Nomor Telepon Palsu: Penyerang sering menggunakan teknologi untuk menyamarkan nomor telepon asli mereka agar terlihat seperti berasal dari sumber yang sah atau daerah lokal.

Beberapa tindakan yang dapat diambil untuk melindungi diri dari serangan vishing melibatkan:
  • Tidak Memberikan Informasi Pribadi atau Keuangan: Jangan memberikan informasi pribadi atau keuangan melalui panggilan suara yang tidak diharapkan atau yang mencurigakan.
  • Memverifikasi Identitas: Jika seseorang meminta informasi sensitif melalui panggilan suara, verifikasikan identitas mereka dengan menghubungi lembaga atau perusahaan secara langsung melalui nomor yang terdaftar resmi.
  • Waspada terhadap Urgensi: Waspadalah terhadap panggilan yang menciptakan keadaan darurat atau urgensi, karena ini dapat menjadi taktik penyerang untuk membuat Anda tergesa-gesa dan kurang waspada.
  • Melaporkan Kejadian: Jika Anda menerima panggilan vishing, laporkan insiden tersebut ke lembaga yang bersangkutan atau kepada pihak berwenang setempat.

Dengan tetap waspada terhadap panggilan suara yang mencurigakan dan mengadopsi praktik keamanan yang baik, individu dapat membantu melindungi diri dari serangan vishing.
Back to Posts