Kenali Ancaman PISHING SITE !!
Dalam ruang lingkup computer security, phishing
adalah salah bentuk kejahatan elektronik dalam bentuk penipuan. Dimana
proses phishing ini bermaksud untuk menangkap informasi yang sangat
sensitive seperti username, password dan detil kartu kredit dalam bentuk
menyaru sebagai sebuah entitas yang dapat dipercaya/legitimate
organization dan biasanya berkomunikasi secara elektronik.
Komunikasi yang dipakai ini mulai dalam bentuk web site social yang
sangat popular di mata masyarakat, site-site auction/lelang, pengolah
transaksi online payment atau dalam bentuk lain yang biasanya user
menggunakan site tersebut untuk kepentingan administrasi, seperti email
site, site jejaring public, dan lainnya.
Bentuk
phishing yang lain adalah mengirimkan email official dan instant
messaging kepada user yang biasanya menggunakan site-site legitimate dan
site-site nama besar perusahaan yang dikenal masyarakat dilengkapi
dengan logo perusahaan, header email official sampai dengan cap dan
tanda tangan salah satu pimpinan perusahaan tersebut.
Cukup
fantastis untuk mempengaruhi user, tujuan dari phishing ini
bermacam-macam: Pertama, hanya untuk menangkap user account dan
password, bertujuan untuk exploitasi data user dan administrator.
Kedua, memberikan tawaran investasi palsu, bertujuan untuk menipu.
Tiga, bisa saja memberikan informasi sesat kepada user, yang bertujuan
untuk melakukan justifikasi buruk kepada perusahaan lain (black
campaign), teknik yang terakhir ini dapat dikatakan social engineering,
sebuah teknik yang jarang dilakukan oleh hacker tetapi sangat ampuh
untuk membuat opini buruk kepada perusahaan pesaingnya.
Teknik phishing pertama kali disampaikan dalam seminar TI di sebuah
forum internasional di US oleh International HP group Interex pada tahun
1987. Istilah phishing pertama kali dibukukan dan dicatat pada 2
Januari tahun 1996 oleh AOL Usenet newsgroup. Istilah lain dari phishing
adalah phreaking, istilah ini dipakai untuk menangkap
informasi-informasi yang berjenis financial, tetapi tidak begitu popular
dikalangan hacker.
Berbagai Teknik Phishing
1. Social
Engineering, masyarakat memiliki sebuah reaksi terhadap
kejadian-kejadian penting, teknik ini sangat ampuh digunakan oleh hacker
untuk menangkap informasi-informasi penting tanpa usaha yang rumit,
seperti mengirimkan header email “Bantulah Rakyat Aceh yang tertimpa
Tsunami, kirimkan informasi anda sebagai volunteer”, header email lain
yang menyentuh “Bantulah Korban Bencana Alam Situ Gintung, kirimkan
secuil harta anda kepada mereka”, dan lainnya.
2.
Manipulasi Link, teknik ini adalah menyesatkan user dengan mengklik
salah satu URL yang ada di email legimate yang dikirimkan oleh hacker,
seluruh email isinya asli dari perusahaan yang mengirimkannya, tetapi
ada salah satu link yang dibelokkan oleh hacker yang akan menuju ke
server lain yang bukan server sebenarnya (unlegitimate server). Nah,
informasi user akan tertangkap oleh server palsu tersebut.
3. Filter Evasion, seorang ahli phisher/hacker akan menggunakan teknik ini untuk menghindari jeratan/filter phishing, biasanya akan menempelkan image untuk phishing, sehingga filter phishing yang dibuat oleh developer tidak dapat mengetahui adanya phishing atau tidak.
4. Website
Forgery, seorang user sebagai korban yang mengunjungi website phishing
tidak dapat mengetahui secara pasti, apakah website tersebut asli atau
palsu, karena website akan dibuat sedemikian rupa sama dengan aslinya.
Mungkin Anda masih ingat kasus website palsu clickbca.com atau
kilkbca.com yang digunakan untuk menangkap username dan password user
yang salah ketik ke situs tersebut.
Sekarang sudah lebih aman karena dilengkapi token untuk filtering
transaksi e-banking. Teknik ini sangat ampuh dan sudah lama digunakan
oleh hacker untuk mengelabui user. Teknik ini terkenal dengan sebutan
Man-in-the middle.
5. Phone
Phishing, tidak semua serangan phishing menggunakan website palsu.
Seringkali hacker menggunakan media lain yang digunakan untuk phishing.
Model phone phishing digunakan para hacker untuk mengelabui para user,
biasanya mengirimkan email yang berlogo asli bank yang dipakai oleh
user.
Dengan menggunakan beberapa kalimat official, hacker berdalih
melakukan maintenance atau meningkatkan keamanan account bank user, si
user dipersilahkan memasukkan kembali username dan password internet
banking atau account banking, kemudian ditambahkan nomor telpon
administrator atau customer service sebagai heldesk problem ini. Tetapi
semua fasilitasi ini adalah palsu, dengan harapan user tidak sadar
tertipu dan semua informasi rahasia bahkan mentransfer sejumlah dana
kepada para phone phising tersebut.
6. Teknik
phone phishing yang lain adalah menempelkan script kecil ke situs-situs
banking yang legitimate. Bila user tidak teliti maka user akan terkena
jebakan yang akan menggiring user tersebut ke sebuah situs palsu tetapi
official. Situs ini bisa dikatakan aspal, karena user tidak menyadari
sedang mengakses situs palsu di dalam situs asli.
Teknik ini
digunakan hacker untuk menangkap semua informasi rahasia si user. Nah,
dengan bocornya semua informasi penting ini, akan dapat digunakan oleh
hacker untuk melakukan aksi phishing kepada user lain bahkan
memperjualbelikan informasi tersebut.
Show
0 Comments
next