 |
| Gambar 1. Pesan dari akun palsu BL NEWS, |
Phishing adalah salah satu teknik pembobolan dalam dunia kejahatan siber yang biasa digunakan oleh para hacker/penyerang untuk mencuri username, password dan kresedensial lain dari akun pengguna. Caranya bisa berbagai macam, salah satunya mengirim link yang mirip dengan aslinya ke pengguna secara acak, jika target membuka link itu, akan terlihat halaman login website palsu yang mirip dengan aslinya, jika target mengisi username dan password lalu menekan enter, secara diam-diam halaman website palsu itu akan mengirimkan data anda ke si penyerang, meskipun seolah-olah tidak akan terjadi apa-apa pada halaman itu. Berikut ini pengalaman teman penulis tentang phishing yang baru-baru ini terjadi.
 |
| Gambar 2. Halaman login palsu Bukalapak (lihat link website di atas) |
Beberapa hari lalu, teman penulis mendapat kiriman gambar dari akun benama BL NEWS (Gambar 1), gambar itu berisi tulisan bahwa akun teman penulis telah disalahgunakan dan teman penulis disuruh mengakses website yang ada pada gambar itu. Teman penulis lalu bertanya kepada penulis soal kejadian itu. Setelah penulis lihat sejenak, penulis menduga bahwa ini adalah ulah penyerang yang melakukan phishing ke akun teman penulis. Sebagai bentuk kewaspadaan, penulis membuka halaman website itu dari ponsel penulis dan ternyata halaman website itu berubah linknya, dan terlihat halaman login palsu dari website Buk*lapak (lihat gambar 2). Hal ini makin menguatkan dugaan penulis bahwa benar ini adalah aksi phishing.
Penulis langsung memberitahu teman penulis agar tidak membuka link itu dan menyarankannya untuk melapor ke toko online yang bersangkutan.
Penulis langsung memberitahu teman penulis agar tidak membuka link itu dan menyarankannya untuk melapor ke toko online yang bersangkutan.
Lalu teman penulis langsung melaporkan akun dan pesan itu ke Bukapalak. Akhirnya dalam beberapa jam, akun itu diblokir oleh Buk*lapak dan Buk*lapak mengirimkan email respon ke teman penulis.
Keesokan harinya, saat penulis akan menelusuri halaman website palsu (gambar 2) itu, website itu telah tidak aktif, namun penulis tetap mencari tahu tentang si penyerang, penulis mendapati bahwa si penyerang menggunakan jasa hosting gratis Hostinger untuk menempatkan website login palsu dari Bukalapak, lalu si penyerang membuat website dengan akhiran .CO.NF dengan nama yang mirip dengan Bukalapak untuk menipu pengguna. Website CO.NF ini menjadi jembatan untuk mengalihkan ke website sebenarnya. Pengguna yang tidak sadar dan panik karena tulisan pada gambar yang dikirimkan oleh si penyerang, mengakses website itu, saat mengakses, pengguna tidak sadar bahwa link .CO.NF dialihkan ke halaman website lain yang menampilkan halaman login palsu. Pengguna yang panik akan langsung mengetikkan username dan passwordnya, tapi secara diam-diam username dan password dikirimkan ke penyerang dan penyerang itu dengan mudah akan mengakses akun bukalapak si pengguna yang menjadi korban.
Penulis menduga motif si penyerang adalah finansial. Karena dengan mendapat username dan password, si penyerang bisa mengakses isi BukaDompet korban dan mencairkan saldonya ke rekening si penyerang atau untuk membeli pulsa ke nomor penyerang seperti yang banyak terjadi pada kasus GoPay pada G*Jek.
Tips agar selalu aman terhindar dari Phishing seperti kasus yang di atas:
1.Jangan percaya bahwa akun anda disalahgunakan jika pemberitahuan itu bukan dari admin resmi/official toko online anda, apalagi disuruh membuka link diluar toko online itu.
2.Jangan akses link tidak dikenal.
3.Ubah password/kata sandi secara rutin minimal 1 tahun sekali. Gunakan kombinasi angka, huruf dan tanda baca, serta minimal 8 digit agar sulit untuk dibobol.
4.Jangan beritahukan password kepada siapapun.
5.Gunakan Otentifikasi 2 Langkah yang tersedia di masing-masing toko online. Dengan otentifikasi 2 langkah ini, setiap kali anda login ke akun anda, toko online akan mengirimkan SMS berisi kode ke nomor ponsel terdaftar anda terlebih dahulu, setelah menerima kode, kode itu akan anda isikan pada kolom permintaan kode di halaman toko online itu, setelah diisikan ke sana, maka anda baru benar-benar login ke akun anda. Ini untuk memastikan bahwa hanya anda yang dapat login ke akun anda.
6.Laporkan akun yang tidak dikenal atau palsu ke toko online yang bersangkutan. Agar tidak jatuh korban lebih banyak.
7.Laporkan ke Google SafeBrowsing tentang link login palsu agar tidak ada korban lain.
8.Gunakan antivirus yang selalu diperbarui setiap hari untuk memblokir link-link berbahaya.
9.Selalu perbarui sistem operasi anda dengan pembaruan dari vendor yang keluar setiap bulan. Jika anda pengguna Windows, perbarui Windows anda dengan pembaruan resmi dari Microsoft yang keluar setiap bulan untuk meminimalisir celah masuk dari hacker.
Demikian penjelasan mengenai Phishing dan contoh kasus Phishing yang teman penulis alami di atas. Semoga bermanfaat dan Stay safe. Jika ada pertanyaan bisa ditanyakan di kolom komentar.
Catatan: Jika anda ingin menyalin/melakukan copy-paste artikel di atas harap sertakan link halaman website ini.
Catatan: Jika anda ingin menyalin/melakukan copy-paste artikel di atas harap sertakan link halaman website ini.
Tidak ada komentar:
Posting Komentar