Pernahkah Anda mendapatkan email atau telepon yang terlihat resmi dan meminta informasi pribadi Anda, namun ternyata bohong? Pesan tersebut adalah phishing. Phishing merupakan bentuk penipuan digital yang sering terjadi, di mana pelakunya berpura-pura menjadi pihak tepercaya untuk mencuri informasi pribadi Anda.
Meskipun sudah banyak yang tahu mengenai phishing, nyatanya masih banyak juga yang menjadi korban. Individu ataupun organisasi, semua bisa menjadi korban phishing. Di blog ini, Anda dapat memahami tentang apa itu phishing, cara kerjanya, jenis-jenisnya, contoh kasusnya, hingga cara melindungi diri dari phishing.
Apa itu phishing?
Phishing merupakan salah satu bentuk penipuan di mana pelakunya menyamar sebagai entitas tepercaya untuk mendapatkan informasi pribadi seseorang dan meraih keuntungan dari informasi tersebut. Biasanya, pelaku akan meminta data sensitif seperti kata sandi, OTP, nomor identitas, atau pin rekening.
Bagaimana cara kerja phishing?
Phishing memanfaatkan berbagai saluran komunikasi untuk melakukan penipuan, mulai dari email, SMS, atau panggilan telepon. Melalui media ini, pelaku phishing akan menyebarkan link atau QR code berbahaya yang dirancang untuk mencuri informasi sensitif seperti kredensial login, detail bank, atau informasi kartu kredit.
Dalam melakukan phishing, pelaku sering kali menyamar sebagai institusi resmi agar terlihat meyakinkan. Mereka memanfaatkan kecenderungan psikologis manusia yang cenderung percaya pada otoritas. Tak jarang, mereka juga menciptakan situasi yang mendesak (sense of urgency) agar korban segera mengambil tindakan tanpa berpikir panjang—misalnya dengan langsung mengklik link berbahaya, yang kemudian membuka celah bagi peretasan data atau sistem.
Seiring dengan perkembangan teknologi, phishing juga semakin canggih. Teknologi AI, misalnya, mampu membuat phishing semakin sulit dikenali. Ini karena AI memungkinkan pelaku phishing untuk meniru gaya tulisan dan suara, bahkan membuat video deepfake dengan wajah asli.
Apa saja jenis phishing?
Phishing memiliki berbagai jenis, yaitu:
Spear phishing
Spearphishing merupakan penipuan yang ditargetkan untuk satu orang yang spesifik, baik itu karyawan biasa atau eksekutif. Phishing ini dilakukan setelah pelaku mempelajari kebiasaan, aktivitas, dan karakter korbannya. Setelah itu, pelaku akan membuat penipuan yang terkesan relevan dengan korban, sehingga korban pun tidak akan merasa curiga.
Whaling
Whaling dapat dikatakan sebagai bagian dari spear phishing, karena sama-sama menargetkan satu orang tertentu. Namun, whaling menargetkan korban yang lebih ‘besar’, seperti eksekutif, jajaran direksi, atau orang penting dari pemerintahan.
Karena yang menjadi target adalah orang dengan kekuasaan besar, whaling sering kali dilakukan melalui email bisnis. Biasanya, pelaku akan mengirimkan link berbahaya ke email petinggi atau memalsukan alamat email untuk mengirim email phishing internal kepada karyawan. Selain itu, whaling juga sering dilakukan dengan berpura-pura menjadi vendor pihak ketiga untuk melakukan pencurian identitas.
Casting
Jika spearphishing dan whaling ditujuan untuk satu individu tertentu, casting adalah phishing yang menargetkan banyak orang sekaligus. Biasanya, pelaku akan mengirimkan email phishing secara massal tanpa personalisasi. Namun, karena phishing ini bersifat generik dan mudah dikenali, besar kemungkinan akan masuk ke folder spam alih-alih inbox.
Quishing
Quishing adalah salah satu tipe phishing yang memanfaatkan QR code atau kode QR. Pelaku akan mengirimkan email berisi QR code kepada korban dan jika korban memindai kode tersebut, mereka akan diarahkan ke website yang dirancang untuk mencuri informasi penting.
Vishing
Phishing tidak selalu dikirimkan melalui pesan teks, melainkan juga bisa dilakukan melalui panggilan suara. Jenis phishing ini disebut dengan vishing. Biasanya, pelaku akan menelepon korban dan berpura-pura menjadi petugas bank atau pemerintahan untuk mendapatkan informasi penting dari korban. Pelaku akan terlihat meyakinkan karena mereka menggunakan caller ID palsu serta suara berbasis AI.
Contoh kasus phishing di Indonesia
Phishing bukan hal baru di Indonesia. Pada kuartal akhir 2024, Indonesia Domain Abuse Data Exchange (IDADX) melaporkan terdapat 85.414 laporan domain abuse berupa phishing. Lalu, pada laporan lain oleh Satuan Tugas Pemberantasan Aktivitas Keuangan Ilegal atau Satgas Pasti, tercatat bahwa Indonesia Anti-Scam Centre (IASC) telah menerima 74.243 laporan penipuan. Jumlah ini pun akan terus meningkat, mengingat teknologi phishing yang digunakan penipu semakin canggih seiring dengan perkembangan teknologi.
Salah satu kasus phishing yang paling umum adalah penipuan melalui pesan singkat SMS. Di Indonesia, pesan ini sering diterima di daerah bisnis seperti SCBD. Lewat SMS yang disebarkan menggunakan Base Transceiver Station (BTS) palsu, penipu mengirimkan link berbahaya yang memungkinkan korban menyerahkan data sensitifnya. Korban pun tidak merasa janggal sebab penipu menyamar sebagai entitas resmi.
Tak hanya melalui SMS, phishing juga dapat disebarkan melalui pesan aplikasi Whatsapp. Kasus phishing melalui Whatsapp pernah terjadi pada salah satu bank BUMN tahun 2022. Saat itu, beredar pesan bahwa nasabah harus mengumpulkan data agar terhindar dari biaya transaksi sebesar Rp150.000,00 per bulan. Namun, data yang nasabah kumpulkan justru menjadi celah pembobolan dana dari rekening tabungan. Kerugian yang dialami nasabah mencapai hingga miliaran rupiah.
Phishing dalam organisasi
Phishing tidak hanya menyerang individu, tetapi juga organisasi. Phishing bisa menargetkan karyawan dalam suatu organisasi, dan jika karyawan tersebut tidak dibekali dengan pengetahuan phishing yang cukup, ia dapat menjadi korban. Dampaknya bisa sangat merugikan, mulai dari kebocoran data sensitif hingga kerugian finansial dan kerusakan reputasi.
Cara kerja phishing pada organisasi kurang lebih sama seperti yang menyerang individu. Pelaku akan mengirimkan link berbahaya ke email bisnis karyawan. Sering kali, karyawan tidak menyadari bahwa email ini adalah email phishing, sebab pelaku berpura-pura menjadi entitas tepercaya dalam suatu organisasi, seperti HR atau CEO.
Salah satu skenario umum yang kerap terjadi adalah email yang mengatasnamakan HR atau administrator IT, meminta pembaruan data atau pengiriman dokumen pribadi. Jika karyawan tidak memverifikasi email tersebut dengan cermat, besar kemungkinan mereka akan menyerahkan informasi sensitif kepada pihak yang salah.
Cara terbaik menghindari phishing di organisasi
Phishing yang menargetkan organisasi dapat menimbulkan dampak serius. Kerugian yang terjadi tidak hanya bersifat finansial, tetapi juga bisa merusak reputasi organisasi secara signifikan.
Oleh karena itu, setiap organisasi perlu menerapkan langkah-langkah efektif dalam menghindari phishing. Berikut ini adalah beberapa caranya:
Merancang kebijakan anti-phishing
Merancang kebijakan anti-phishing yang komprehensif sangat penting untuk melindungi organisasi. Kebijakan ini sebaiknya mencakup berbagai skenario teknik social engineering, panduan dalam mengenali ciri-ciri email phishing, serta prosedur pelaporan yang jelas.
Memberikan training kepada karyawan
Security training perlu dilakukan secara rutin untuk meningkatkan awareness karyawan terhadap ancaman phishing. Seluruh karyawan, terlepas dari apapun jabatan atau posisinya, perlu mengikuti pelatihan ini. Training juga perlu dilakukan secara berkala, misalnya satu tahun atau enam bulan sekali, sebab metode phishing akan semakin berkembang seiring waktu.
Menerapkan kebijakan password yang kuat
Phishing lebih mudah terjadi jika password atau kata sandi yang digunakan mudah ditebak. Oleh sebab itu, terapkanlah kebijakan password yang kuat agar karyawan tidak sembarangan dalam membuat password. Anda dapat menetapkan aturan password seperti panjang minimal karakter, penggunaan kombinasi huruf besar dan kecil, angka, serta simbol khusus melalui ManageEngine ADSelfService Plus. Selain itu, Anda juga dapat mengaktifkan Multi Factor Authentication (MFA) melalui ADSelfService Plus untuk menambahkan lapisan keamanan ekstra pada akun pengguna.
Melakukan audit dan patch secara rutin
Melakukan audit sistem dan manajemen patch secara rutin sangat penting untuk memastikan perangkat Anda selalu terlindungi dengan update software dan patch keamanan terbaru. Hal ini penting untuk melindungi perangkat Anda dari risiko eksploitasi dan dampak phishing yang lebih besar.
Mengimplementasikan lapisan keamanan tambahan
Untuk meningkatkan perlindungan terhadap serangan phishing dan ancaman siber lainnya, penting bagi organisasi untuk mengimplementasikan lapisan keamanan tambahan. Tool seperti SIEM dan UEBA dapat diterapkan untuk memantau jaringan secara real-time, sehingga Anda dapat mengenali ancaman lebih awal sebelum menimbulkan dampak yang lebih serius.
ManageEngine Log360 adalah solusi SIEM yang dirancang untuk memberikan perlindungan menyeluruh terhadap serangan siber. Log360 mampu melakukan monitoring secara terpusat, mengumpulkan dan menganalisis log dari berbagai sumber, mengidentifikasi pola serangan dengan menghubungkan aktivitas mencurigakan di seluruh jaringan, mempercepat respons insiden, serta memperkuat pertahanan keamanan Anda secara proaktif.
