Yups, heloo...

Kembali dengan RTech pada pembahasan kali ini saya akan sedikit menjelaskan tentang Phising, yuk langsung aja....

Pernah mendapat SMS "selamat dapat hadiah", email aneh dari "Bank", atau menemukan link yang mirip dengan website resmi tapi waktu diklik, malah minta login? Nah, itu namanya phishing, yaitu teknik klasik tapi masih jadi andalan para penjahat cyber untuk mencuri data.


1. Jenis-Jenis Phishing yang Harus Diketahui 

Berikut ini contoh metode phising, cara penyebaran dan ciri berdasarkan metode yg dikunakan, Harap berhati-hati jika mengalami hal hal dibawah ini.


A. Email Phishing

Ini yang paling sering. Pelaku mengirim email seolah dari institusi resmi (ex. bank, Google, dsb). Isinya biasanya mengancam: “Akun akan diblokir jika anda tidak verifikasi dalam 24 jam!”

Tujuan: Membuat spekulasi informasi penting dan memanfaatkan rasa panik agat klik link jebakan.


B. Spear Phishing

Lebih terarah dari sebelumnya. Biasanya target spesifik (ex. karyawan perusahaan). Hacker sudah riset terlebih dulu, jadi emailnya terlihat lebih personal dan meyakinkan.

Contoh: Email dari “HRD” minta tolong download file gaji bulanan.


C. Smishing (SMS Phishing)

Mirip bahkan sama dengan email phishing, tapi melalui SMS/WA.

Contoh: “Klik link ini buat ambil hadiah undian Shopee!”

Padahal... hadiah halu, wkwkwkek.


D. Vishing (Voice Phishing)

Adalah jenis phising melalui telepon, mulanya akan ditelpon oleh seseorang yang mengakunya dari bank, kepolisian, atau instansi resmi lainnya, lalu diminta menyebutkan OTP, PIN, atau password.

Ingat: Tidak ada instansi resmi yg meminta data sensitif via telepon!


E. Website Phishing

Link yg diberikan biasanya memang mirip dengan situs resmi. Tapi sebenarnya palsu dan niatnya untuk mencuri data username, email, nomer tlpn dan password.

Contoh:

Asli: https://facebook.com/login

Palsu: https://faceb00k-login.com


Seperti contoh di atas yg mana website palsu menggunakan contoh kombinasi angka untuk membentuk kemiripan, jika di perhatikan pada website resmi login tidak melalui domain utama, tetapi ada parameter yg menghandle proses login



2. Cara Membedakan Web Asli vs Palsu

Selanjutkan, berikut ini adalah ringkasan mengenai Cara Membedakan mana website resmi dan mana website Phising (fyi: web phising merupakan metode paling populer dan masih sangat banyak digunakan hingga sekarang)


A. Cek URL dengan Teliti

Perhatikan domain utama.

https://secure-login.paypal.com (asli)

vs

https://paypal.secure-login.com (palsu)

Yang asli domain utamanya adalah paypal.com, yang palsu punya subdomain yg aneh, subdomain sendiri bisa di lihat pada contoh di bagian "paypal", sedangkan website resmi biasanya akan menggunakan paramaters untuk handlingnya.


B. Lihat Sertifikat SSL/TLS

Cek icon gembok di samping URL (di browser). Tapi jangan 100% percaya, karena sekarang web palsu juga bisa punya SSL atau TLS nya sendiri tergantung pihak hosting yg di gunakan.

Sedangkan SSL sendiri adalah Secure Sockets Layer, yg fungsinya meng enskripsi dan memverifikasi jaringan antara browser dengan server. Namun SSL sudah di anggap jadul, jadi sekarang kebanyakan memakai TLS yaitu Transport Layer Security, yg fungsinya sama dengan SSL tapi TLS adalah versi upgrade nya.

SSL/TLS = Web aman koneksinya, bukan berarti terpercaya!, ingat itu...


C. Tampilan Aneh / Salah Ketik

Biasanya web phishing mempunyai tampilan yang sedikit off, typo, atau lambat dimuat. Maksudnya web phising tampilannya biasanya berat atau lambat di render tapi itu tergantung kapasitas hosting, adapun dari ciri lain biasanya banyak typo dan tampilan yg seakan meyakinkan tapi ingat itu semua adalah palsu!. Jadi kalau dirasa tampilan website nya aneh, janggal, banyak kata persuasif dan makna makna tersirat jangan lanjutkan, langsung tutup saja.


D. Hindari Langsung Login dari Link

Jika mendapat link via email/SMS, jangan langsung login. Buka manual melalui browser.

Contoh: Jangan klik link "Gmail",  tetapi buka langsung https://mail.google.com melalui browser.


E. Gunakan 2FA (Two Factor Auth)

Bilamana kondisi terburuk adalah sudah terlanjur tertipu dan password bocor, 2FA bisa menjadi benteng terakhir pada akses akun. Bisa gunakam 2FA seperti biometrik, code sekali pakai, atau Software yg di sediakan google "Google Autentikator" juga bisa menjadi proteksi yg berguna.


Kesimpulan

Phising itu tidak akan punah, akan tetapi akan terus berkembang, jadi dengan Melek Teknologi, setidaknya bisa membuat lebih was-was terhadap logika penipuan serupa.
Dan tetap ingat, Dunia Internet itu Luas!


Mungkin itu dulu yg bisa saya sampaikan, jika ada pertanyaan atau ingin berdiskusi lebih dalam bisa langsung di kolom komentar atau ke Telegram saya. 

Mungkin di post selanjutnya akan saya bagikan sebuah tools untuk membantai phising, tunggu saja...

See U.... Adios.....