Phishing adalah contoh ancaman keamanan informasi digital yang melibatkan rekayasa sosial (social engineering).
Berikut penjelasan lengkapnya:
- Rekayasa sosial: Ini adalah teknik manipulasi psikologis yang digunakan penjahat siber untuk menipu korban agar melakukan kesalahan keamanan atau memberikan informasi rahasia. Penyerang akan memanfaatkan kepercayaan dan kurangnya kewaspadaan manusia, bukan mengeksploitasi celah teknis pada sistem.
- Komunikasi palsu: Dalam serangan phishing, pelaku akan mengirimkan pesan melalui email, SMS, telepon, atau media sosial yang tampak seolah-olah berasal dari entitas tepercaya, seperti bank, perusahaan e-commerce, atau penyedia layanan terkenal.
- Tujuan utama: Tujuannya adalah memancing korban untuk memberikan data sensitif, seperti kredensial login (nama pengguna dan kata sandi), informasi kartu kredit, detail rekening bank, atau informasi pribadi lainnya.
- Tindakan yang berbahaya: Pelaku phishing biasanya akan menyertakan tautan ke situs web palsu yang menyerupai aslinya, atau meminta korban mengunduh malware. Setelah korban memasukkan informasi atau mengklik tautan, data mereka akan dicuri.
Cara Kerja Phising
Elemen dasar serangan phishing adalah pesan yang dikirim melalui email, media sosial, atau sarana komunikasi elektronik lainnya.
Seorang pelaku phishing dapat menggunakan sumber daya publik, terutama jejaring sosial, untuk mengumpulkan informasi latar belakang tentang pengalaman pribadi dan pekerjaan korbannya. Sumber-sumber ini digunakan untuk mengumpulkan informasi seperti nama, jabatan, dan alamat email calon korban, serta minat dan aktivitasnya. Pelaku phishing kemudian dapat menggunakan informasi ini untuk membuat pesan palsu yang andal.
Biasanya, email yang diterima korban tampak berasal dari kontak atau organisasi yang dikenal. Serangan dilakukan melalui lampiran berbahaya atau tautan ke situs web berbahaya. Penyerang sering kali membuat situs web palsu yang seolah-olah dimiliki oleh entitas tepercaya seperti bank, tempat kerja, atau universitas korban. Melalui situs web ini, penyerang mencoba mengumpulkan informasi pribadi seperti nama pengguna dan kata sandi atau informasi pembayaran.
Beberapa email phishing dapat diidentifikasi karena penulisan naskah yang buruk dan penggunaan font, logo, serta tata letak yang tidak tepat. Namun, banyak penjahat siber semakin canggih dalam menciptakan pesan yang tampak autentik dan menggunakan teknik pemasaran profesional untuk menguji dan meningkatkan efektivitas email mereka.
Teknik Phising Umum
Penipuan Email
Pelaku phishing menggunakan berbagai teknik untuk membuat serangan mereka terlihat lebih meyakinkan bagi target dan mencapai tujuan mereka. Beberapa teknik phishing yang umum antara lain:
- Rekayasa Sosial: Rekayasa sosial menggunakan psikologi untuk memanipulasi target serangan phishing. Pelaku phishing dapat menggunakan penipuan, paksaan, suap, atau teknik lainnya untuk mencapai tujuannya.
- Typosquatting: Phisher mungkin menggunakan domain dan URL yang terlihat sangat mirip dengan domain yang sah dan tepercaya. Jika target kurang memperhatikan, mereka mungkin mengira tautan tersebut sah.
- Pemalsuan Email: Email palsu dirancang sedemikian rupa sehingga nama tampilan email tersebut milik seseorang yang dipercaya oleh penerima email. Kolom "pengirim" dalam email hanyalah data dan berada di bawah kendali pengirim. Pelaku phishing memanfaatkan fakta ini untuk membuat email tampak berasal dari akun email tepercaya.
- Pemendekan URL: Pemendek tautan seperti bit.ly menyembunyikan tujuan URL. Phisher menggunakan ini untuk mengelabui target agar mengklik tautan ke halaman phishing.
- Pengalihan Berbahaya: Pengalihan dirancang untuk mengarahkan peramban ke halaman lain jika URL asli tidak tersedia, salah, atau kedaluwarsa. Pengalihan berbahaya dapat digunakan untuk mengarahkan pengguna ke halaman phishing, alih-alih halaman yang sah.
- Tautan Tersembunyi: Tautan dapat disembunyikan dalam teks atau gambar yang tampak tidak berbahaya. Jika pengguna secara tidak sengaja mengeklik tautan tersembunyi tersebut, mereka akan diarahkan ke halaman phishing.
Sumber : https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/