Phishing adalah upaya mengelabui untuk mencuri data informasi menggunakan akun online seperti email, SMS, atau website yang terlihat serupa dengan akun asli yang biasa digunakan. Contohnya, email yang seperti berasal dari pihak bank Anda dan meminta informasi pribadi tentang rekening, namun secara resmi pihak bank tidak pernah meminta data seperti itu. Email tersebut dinamakan email phishing. Phishing berasal dari bahasa Inggris fishing yang berarti memancing.
Menurut laporan PANDI (Pengelola Nama Domain Internet Indonesia), terdapat 3.180 kasus phishing pada Januari-Maret 2022. 50% dari kasus tersebut menyasar lembaga keuangan, 27% e-commerce, dan 11% mengincar sektor pengelolaan aset kripto. Selain ketiga sektor tersebut, para pelaku kejahatan siber juga mengincar para pengguna media sosial dan gamer. Pada bulan Januari 2022, tercatat upaya phishing terbanyak yaitu 1.267 laporan yang terbagi atas 3 serangan siber mulai dari phishing pada website, organisasi atau brand terkenal, dan phishing yang memanfaatkan nama domain yang mirip. Meskipun jumlah laporan phishing sedikit menurun pada bulan Februari (1.059 laporan) dan Maret (1.037 laporan) namun setiap orang perlu mewaspadai tindakan phishing yang dapat merugikan secara finansial.
5 Contoh Email Phishing (disertai gambar)
96% serangan phishing dilakukan melalui email, 3% berasal dari website, dan 1% menggunakan telepon. Upaya phishing yang dilakukan melalui telepon disebut vishing (voice phishing) dan smishing (SMS phishing) jika dilakukan melalui SMS. Oleh karenanya, setiap perusahaan atau organisasi sebaiknya melakukan proteksi terhadap email phishing. Beberapa cara untuk mengetahui email phishing seperti:
1. Pesan dikirim dari domain email publik
Sumber: Pickr.com
Salah satu cara paling jelas untuk menentukan email scam adalah jika pengirim menggunakan domain email publik, seperti ‘@gmail.com’, ‘@yahoo.com’, ‘@outlook.com’, dll, karena sebagian besar perusahaan dan organisasi saat ini memiliki domain email dan akun perusahaan mereka sendiri. Dalam contoh ini, pengirim tampaknya berasal dari PayPal dengan nama “Account Support” tetapi jika Anda memeriksa alamat email penerima, pengirim menggunakan domain publik gratis dari ‘@gmail.com’.
Beberapa pendekatan canggih adalah dengan memasukkan nama organisasi sebagai bagian dari domain, misalnya ‘paypalsupport@gmail.com’. Sepintas, sepertinya alamat email yang sah karena memiliki kata ‘PayPal’, tetapi hampir tidak mungkin bagi perusahaan besar seperti PayPal untuk menggunakan email gratis dari Google.
2. Nama domain salah eja
Sumber: Goptg.com
Berbeda dengan cara mendeteksi email phishing sebelumnya, kali ini alamat email bukan dari akun gratisan seperti ‘@gmail.com’, tetapi memiliki nama domain yang “valid”. Saat ini, mudah untuk membeli nama domain dari registrar. Dalam contoh ini, scammer telah mendaftarkan domain ‘microsfrtonline.com’ yang sekilas dapat dilihat sebagai ‘microsoft online’. Oleh karena itu, kita perlu hati-hati memeriksa ejaan alamat email.
3. Kalimat di dalam email terasa aneh
Sumber: Knowb4.com
Mengapa begitu banyak email phishing yang ditulis dengan buruk atau terkesan janggal?
Itu karena kebanyakan scammers tidak pandai menulis dan banyak dari mereka berasal dari negara-negara yang tidak berbahasa Inggris. Jadi, ketika mereka membuat pesan phishing, para pelaku kejahatan siber ini akan sering menggunakan pemeriksa ejaan atau mesin terjemahan, yang akan memberi mereka semua kata yang tepat tetapi tidak memiliki konteks yang tepat.
Dari contoh di atas, ada rangkaian kata yang terlewat, seperti pada “a malicious user might be trying to access” (pengguna jahat mungkin mencoba mengakses) dan “Please contact Security Communication Centre” (Silakan hubungi Pusat Komunikasi Keamanan). Ini konsisten dengan jenis kesalahan yang dilakukan orang ketika belajar bahasa Inggris. Pesan resmi apa pun yang ditulis dengan cara ini hampir pasti penipuan.
Dengan mengingat hal ini, menjadi jauh lebih mudah untuk menemukan perbedaan antara kesalahan ketik yang dibuat oleh pengirim yang sah dan penipuan.
4. Terdapat lampiran email yang terinfeksi virus atau malware
Sumber: Mailguard.com
Pada contoh di atas, pengirim email mengirim faktur dengan lampiran dan tautan yang berbahaya. Ketika penerima membuka lampiran, mereka akan melihat bahwa faktur tersebut bukan untuk mereka. Setelah di klik, lampiran tersebut akan melepaskan malware di komputer korban yang dapat melakukan aktivitas jahat dan dapat membahayakan bisnis.
Oleh karena itu, jangan pernah membuka lampiran kecuali Anda yakin sepenuhnya bahwa pesan tersebut berasal dari pihak yang benar. Meskipun demikian, Anda harus melihat dan memeriksa dengan seksama untuk hal-hal yang mencurigakan dalam lampiran.
5. Isi pesan memberi kesan urgensi
Sumber: Mailguard.com
Penjahat siber tahu bahwa Anda akan lebih memperhatikan jika bos atau kolega senior yang mengirim email dengan permintaan penting. Oleh karena itu, dalam email phishing rasa urgensi dibuat karena scammers mengerti itu akan efektif di tempat kerja.
Itulah mengapa begitu banyak penipuan meminta Anda bertindak menggunakan kalimat sekarang atau akan terlambat. Ini telah terbukti dalam setiap contoh yang telah kita gunakan sejauh ini.
Bagaimana cara menjaga bisnis Anda dari bahaya email phishing?
Karena dampak serangan phishing sangat parah bagi bisnis, penting untuk mempelajari cara memerangi ancaman phishing. Beberapa tips untuk mencegah email phishing yaitu:
- Berikan pelatihan dan pengetahuan kepada staf reguler untuk mengidentifikasi dan mencegah penipuan email.
- Periksa dengan cermat alamat email, URL, dan ejaan yang digunakan dalam korespondensi apa pun.
- Hati-hati dengan apa yang Anda unduh. Jangan pernah membuka lampiran email dari seseorang yang tidak Anda kenal, dan berhati-hatilah dengan lampiran email yang diteruskan kepada Anda.
- Berhati-hatilah jika pemohon mendesak Anda untuk bertindak cepat. Ini adalah beberapa kata yang sering digunakan oleh scammers: Mendesak, Permintaan, Penting, Pembayaran, Perhatian.
- Gunakan solusi keamanan siber yang memberikan perlindungan email yang memanfaatkan konteks internal, artificial intelligence (AI), dan network terpercaya yang dapat mencegah serangan email phishing.
ArmourZero menyediakan Perlindungan Email sebagai Layanan yang didukung oleh Avanan, generasi terbaik dari Solusi Keamanan Email, cek armourzero untuk informasi lebih lanjut.
(Fanny Fajarianti/Performance Marketing ArmourZero)