Apa itu phishing? Phishing adalah salah satu jenis serangan siber yang menipu korban agar mau melakukan tindakan yang menguntungkan penyerang atau peretas. Serangan ini memiliki tingkat kompleksitas yang bervariasi dan dapat dihindari jika Anda memiliki cyber awareness yang baik.
Keamanan siber menjadi semakin penting untuk diperhatikan. Seiring berkembangnya teknologi, para penjahat siber semakin canggih dalam melancarkan serangan. Salah satu serangan tersebut adalah phishing.
Perlu diketahui bahwa phishing adalah serangan siber yang merugikan karena dapat memberikan dampak serius bagi korbannya, baik secara finansial maupun non-finansial. Oleh karena itu, penting bagi kita untuk memahami apa itu phishing dan bagaimana cara menghindarinya.
Table of Contents
Apa Itu Phishing?
Serangan phishing adalah bentuk serangan siber di mana penyerang mencoba untuk mendapatkan data sensitif dengan cara menipu korban agar mau mengungkapkannya secara sukarela. Tujuan utama dari serangan phishing adalah untuk mendapatkan akses tidak sah ke akun korban atau untuk melakukan penipuan dan pencurian identitas.
Phising dapat dilakukan melalui berbagai media komunikasi baik itu email, pesan teks, telepon, atau yang lain. Melalui media komunikasi tersebut, penyerang akan mengelabui dan membuat korban percaya bahwa mereka berinteraksi dengan entitas resmi, seperti perusahaan, lembaga keuangan, atau layanan online terkenal. Selanjutnya, penyerang akan meminta target/korban untuk mengikuti tindakan yang diinginkannya seperti mengungkapkan informasi keuangan, kredensial login sistem, atau informasi sensitif lainnya.
Phishing adalah salah satu jenis serangan social engineering. Penyerang akan menggunakan teknik manipulasi psikologis, seperti menciptakan rasa urgensi atau ancaman, untuk memaksa korban agar memberikan informasi yang diminta. Penyerang mungkin juga menggunakan teknik social engineering untuk membuat korban merasa nyaman dan meyakini bahwa panggilan/pesan tersebut berasal dari sumber yang sah.
Perlu diketahui bahwa para peretas banyak yang memilih taktik ini karena lebih mudah dan lebih murah untuk memanipulasi manusia daripada harus meretas komputer atau jaringan secara langsung. Selain itu, penyerang sering menggunakan teknik social engineering termasuk phishing karena mereka menyadari bahwa manusia atau pengguna merupakan titik lemah dalam sistem keamanan jaringan. Meskipun Anda telah mengimplementasikan sistem keamanan yang kuat, namun jika dioperasikan oleh pengguna yang kurang berkompeten dan mudah ditipu maka sistem tersebut tetap rentan terhadap serangan peretas.
Baca Juga: 11 Contoh Kasus Cyber Crime di Indonesia yang Menggemparkan Warganet
Jenis Serangan Phishing Paling Umum
Setelah Anda memahami apa itu phishing, mari kita pelajari jenis-jenisnya. Perlu dipahami bahwa ada beragam jenis phishing, berikut ini adalah 5 jenis serangan yang paling umum dilakukan.
1. Email phishing
Email phishing adalah jenis serangan phishing yang dilakukan melalui email. Dalam serangan ini, penyerang mengirimkan email palsu yang dirancang sedemikian rupa sehingga terlihat seperti pesan resmi dari lembaga atau perusahaan tepercaya.
Saat melakukan teknik phishing ini, penyerang akan menggunakan domain palsu. Mereka akan menambahkan atau mengubah karakter email agar terlihat mirip dengan email entitas resmi untuk mengelabui korban.
Secara garis besar, tujuan utama dari email phishing adalah:
- Mendorong pengguna untuk mengklik link yang mengarah ke situs web berbahaya untuk menginstal malware di perangkat mereka.
- Mendorong pengguna untuk mengunduh file yang terinfeksi dan menggunakan file tersebut untuk menyebarkan malware.
- Menyebabkan pengguna untuk mengklik link yang mengarah ke web palsu dan mengungkapkan data pribadi mereka.
- Membuat pengguna membalas email dan memberikan data pribadi mereka.
2. Spear phishing
Spear phishing adalah bentuk serangan phishing yang ditargetkan secara spesifik kepada individu atau entitas tertentu. Dalam spear phishing, penyerang melakukan riset terhadap target mereka untuk mencari informasi pribadi atau sensitif, seperti nama, alamat email, atau hubungan dengan organisasi tertentu.
Dengan informasi yang diperoleh, penyerang kemudian mengirimkan email yang tampak meyakinkan dan dipersonalisasi secara khusus. Cara ini meningkatkan efektivitas email phishing dalam memanipulasi korban agar mereka mau melakukan tugas atau aktivitas yang diinginkan oleh penyerang.
3. Whaling
Whaling adalah bentuk serangan phishing yang ditujukan kepada individu-individu yang memiliki peran penting atau posisi tinggi dalam sebuah perusahaan, seperti direktur atau pemimpin departemen. Dalam serangan ini, penyerang melakukan riset secara mendalam seperti mempelajari gaya penulisan entitas asli, preferensi komunikasi, dan topik-topik yang sedang dibahas dalam percakapan bisnis. Mereka kemudian akan menggunakan informasi ini untuk membuat pesan yang terlihat asli dan meyakinkan.
Tujuan serangan whaling sama seperti phishing pada umumnya, yaitu mencuri informasi sensitif, seperti kredensial login, data keuangan perusahaan, atau rahasia bisnis. Namun, karena teknik ini menyerang “target besar”, maka potensi kerugian akibat serangan whaling bisa jauh lebih besar dibandingkan serangan phishing biasa.
4. Smishing dan vishing
Smishing atau SMS phishing adalah bentuk serangan phishing yang dilakukan melalui pesan teks (SMS) atau pesan singkat. Dalam serangan ini, penyerang mengirimkan pesan teks yang menipu target dengan tujuan untuk memperoleh informasi pribadi atau mengarahkan mereka ke situs web berbahaya.
Sedangkan vishing atau voice phishing artinya adalah serangan phishing yang dilakukan melalui panggilan telepon. Dengan bantuan teknologi voice over IP (VoIP), para penipu dapat melakukan jutaan panggilan vishing secara otomatis setiap harinya. Penyerang juga sering menggunakan teknik Caller ID Spoofing untuk membuat panggilan mereka terlihat berasal dari perusahaan yang sah. Dengan cara ini penyerang akan menyamar untuk meminta data-data sensitif.
5. Angler phishing
Angler phishing dilakukan dengan menggunakan media sosial palsu yang menyerupai akun asli. Penyerang memanfaatkan kebiasaan konsumen yang sering mengajukan pertanyaan, keluhan atau meminta bantuan melalui media sosial. Namun, alih-alih menghubungi akun resmi perusahaan, konsumen tanpa sadar menghubungi akun palsu milik penyerang. Saat kondisi tersebut terjadi, penyerang bisa memberikan link berbahaya untuk mencuri informasi sensitif pengguna.
Baca Juga: Apa Itu Spoofing? Bagaimana Cara Menghindari Serangan Ini ?
Karyawan Anda Merupakan Barisan Pertahanan Perusahaan
Demikian penjelasan yang bisa kami berikan mengenai apa itu phishing. Meskipun perusahaan dapat mengurangi risiko phishing melalui penggunaan teknologi seperti filter spam, namun teknologi tersebut tidak selalu dapat diandalkan. Email berbahaya masih dapat masuk ke dalam kotak masuk, terutama jika penyerang telah merancang pesan secara cermat untuk mengelabui filter spam. Dalam situasi seperti ini, satu-satunya barisan pertahanan yang dapat mencegah phishing dan pelanggaran keamanan adalah karyawan Anda sendiri.
Peran karyawan menjadi sangat penting dalam melawan ancaman phishing karena mereka yang akan pertama kali berinteraksi dengan pesan-pesan berbahaya tersebut. Oleh karena itu, karyawan harus dilatih untuk mengenali tanda-tanda phishing, seperti link yang mencurigakan, permintaan informasi sensitif secara tidak wajar, atau bahasa yang menekan untuk membuat mereka panik atau terburu-buru. Dengan meningkatkan kesadaran dan kewaspadaan karyawan, perusahaan dapat memperkuat pertahanan mereka terhadap serangan phishing.
LOGIQUE memahami bahwa phishing adalah ancaman serius bagi keamanan siber perusahaan. Oleh karena itu, kami menawarkan solusi komprehensif yang menggabungkan simulasi phishing dan pelatihan rutin untuk meningkatkan kesadaran keamanan siber karyawan Anda.
Dengan solusi LOGIQUE, Anda dapat:
- Meningkatkan kesadaran keamanan siber karyawan Anda secara signifikan.
- Mengurangi risiko serangan phishing dan pelanggaran data.
- Melindungi data sensitif perusahaan Anda.
Klik layanan Simulasi Phishing atau hubungi kami untuk penjelasan lebih lanjut. Kami juga menyediakan Jasa Pentest profesional untuk menguji keamanan infrastruktur jaringan, aplikasi, atau website perusahaan Anda.