Pengelabuan (Inggris: phishing) dalam istilah komputer adalah penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi yang sensitif, seperti kata sandi dan kartu kredit, dengan menyamar sebagai seseorang atau pebisnis tepercaya melalui komunikasi elektronik resmi, seperti surat elektronik atau pesan instan.[1][2][3] Istilah phishing dipublikasikan pertama kali oleh American Online Usernet Newgroup pada 2 Januari 1996 dan mulai dikenal tahun 2004.[4] Istilah tersebut dalam bahasa Inggris berasal dari kata fishing (memancing),[5][6] dalam hal ini berarti memancing informasi keuangan dan kata sandi pengguna. Salah satu penyebab utama aksi ini dapat terjadi adalah faktor kelalaian manusia berupa kurangnya ketelitian dan rendahnya pengetahuan mengenai teknologi keamanan.[7] Metode itu sering digunakan karena mudah dilakukan dan cenderung lebih berhasil memancing para pengguna akun untuk memberikan informasi pribadinya.[8] Dengan banyaknya kasus pengelabuan yang dilaporkan, metode tambahan atau perlindungan sangat dibutuhkan. Upaya-upaya itu termasuk pembuatan undang-undang, pelatihan pengguna, dan langkah-langkah teknis.
Jenis
Berdasarkan jenisnya, terdapat tiga macam phising, yaitu:
Whaling adalah upaya phising yang menargetkan pelaku bisnis.
Contoh skema Kejadian Whaling di Situs Ensiklopedia Online
Target: CEO atau eksekutif senior dari sebuah perusahaan besar.
Pelaku: Seorang hacker atau kelompok hacker yang ahli dalam teknik sosial dan rekayasa sosial.[9]
Alur Kejadian:
Riset Mendalam:
Pelaku melakukan riset mendalam tentang target, termasuk informasi publik seperti:
Posisi di perusahaan
Proyek terbaru perusahaan
Aktivitas online (media sosial, situs perusahaan)
Informasi kontak yang bisa diakses publik (email perusahaan)
Situs ensiklopedia yang sering diakses oleh target atau perusahaan
Membuat Akun Palsu:
Pelaku membuat akun palsu di situs ensiklopedia, menyamar sebagai seorang ahli atau karyawan dari perusahaan yang relevan dengan kepentingan bisnis target.
Akun palsu ini didesain untuk terlihat sangat kredibel dengan riwayat edit yang panjang dan berkualitas.
Mengirim Pesan Pribadi:
Pelaku mengirimkan pesan pribadi kepada target melalui fitur pesan internal situs ensiklopedia.
Isi pesan dibuat sedemikian rupa agar terlihat sangat relevan dan menarik perhatian target, misalnya:
Menawarkan informasi penting tentang industri atau pesaing
Mengundang target untuk berkolaborasi dalam proyek penelitian
Meminta masukan terkait suatu topik yang sedang dibahas di situs
Memancing Informasi Sensitif:
Dalam percakapan, pelaku secara perlahan mulai memancing target untuk memberikan informasi sensitif, seperti:
Detail proyek rahasia perusahaan
Informasi kontak internal perusahaan
Kata sandi yang sering digunakan
Mengalihkan ke Platform Lain:
Setelah mendapatkan kepercayaan target, pelaku mengajak target untuk melanjutkan percakapan ke platform komunikasi lain yang lebih pribadi, seperti email pribadi atau layanan pesan instan.
Melakukan Serangan:
Di platform komunikasi yang baru, pelaku melakukan serangan phishing dengan mengirimkan tautan berbahaya yang mengarah ke situs palsu yang dirancang untuk mencuri kredensial login target.
Setelah mendapatkan kredensial login, pelaku dapat mengakses email perusahaan target, mencuri data sensitif, atau bahkan melakukan serangan ransomware.
Pharming adalah upaya phising yang menggunakan malware yang dipasang di komputer korban untuk megalihkan mereka ke situs perangkap.
Voice phising atau vishing adalah upaya phishing dengan menggunakan video call atau telekonferensi.[10]
Ciri-ciri
Ada beberapa ciri-ciri aksi ini, yaitu:
Pelaku akan berpura-pura menjadi seseorang, perusahaan, atau layanan yang dipercaya.[11]
Meminta target untuk membalas dengan nama pengguna atau surel yang disertai kata sandi.
Email yang mengandung tautan untuk melihat atau mengunduh file dari seseorang yang tidak dikenal.
Membujuk dengan diskon atau hadiah.
Tautan dalam kolom komentar media sosial yang mengarah ke halaman masuk palsu atau halaman setel ulang kata sandi.[12]
Menggunakan tautan nama domain yang mirip atau menyerupai nama domain situs resminya. (Semisal: paypai.com, dimana seharusnya menggunakan huruf L dan bukan i sebagai nama domain paypal)
Ciri-Ciri yang Menunjukkan Potensi Penipuan:
Akun Palsu yang Terlalu Sempurna: Akun pelaku terlihat sangat kredibel dan memiliki riwayat edit yang panjang dalam waktu singkat.
Pesan yang Terlalu Spesifik: Pesan yang dikirimkan oleh pelaku sangat relevan dengan kepentingan bisnis target dan terlihat sangat personal.
Tekanan untuk Bertindak Cepat: Pelaku seringkali menciptakan rasa urgensi agar target segera merespons pesan dan memberikan informasi yang diminta.
Permintaan Informasi Sensitif: Pelaku secara perlahan mulai meminta informasi sensitif yang seharusnya tidak diungkapkan melalui platform publik.
Peralihan ke Platform Komunikasi Pribadi: Pelaku selalu berusaha untuk memindahkan percakapan ke platform komunikasi yang lebih pribadi dan kurang aman.
Pencegahan
Verifikasi Identitas: Selalu verifikasi identitas pengguna lain sebelum memberikan informasi sensitif.
Waspada Terhadap Pesan yang Tidak Terduga: Jangan mudah percaya dengan pesan yang tidak terduga, terutama jika pesan tersebut meminta informasi pribadi.
Gunakan Kata Sandi yang Kuat: Gunakan kata sandi yang unik dan kuat untuk setiap akun online.
Aktifkan Autentikasi Dua Faktor: Tambahkan lapisan keamanan ekstra pada akun Anda dengan mengaktifkan autentikasi dua faktor.
Latih Karyawan: Latih karyawan tentang risiko phishing dan cara mengenali serangan serupa.[13]
Dengan memahami skema ini, Anda dapat lebih waspada terhadap upaya phishing dan melindungi diri Anda serta perusahaan dari serangan siber.
^Anwari, Husnul (2013). Website Hantu. Jakarta: Elex Media Komputindo. hlm. 167. ISBN9786020004167.Parameter |url-status= yang tidak diketahui akan diabaikan (bantuan)