Cara Mengenali Upaya Phishing – Dengan Contoh Kehidupan Nyata

Phishing ada di dalam kotak peralatan setiap penipu. Berikut ini adalah contoh nyata upaya phishing untuk membantu Anda mendeteksi ancaman dengan lebih baik.

Nov 18, 2022
|

Opsi Serangan Phishing

Pendahuluan

Laporan Interpol baru-baru ini menunjukkan bahwa phishing sedang meningkat secara global. Di sini, kami menunjukkan contoh bagaimana para penipu biasanya mencoba melakukan phishing pada pengguna mata uang kripto dan bagaimana cara melindungi diri Anda.

Hal-hal penting yang dapat diambil:

  • Phishing adalah teknik ‘rekayasa sosial’ yang digunakan oleh para peretas dan penipu untuk memikat pengguna yang tidak menaruh curiga agar memberikan kredensial dan/atau informasi sensitif mereka.
  • Phishing dapat terjadi dalam beberapa bentuk, termasuk phishing email, phishing SMS, dan phishing panggilan suara.
  • Phishing dapat dikenali dari beberapa tanda, seperti ketidakakuratan, kesan mendesak, kurangnya fitur keamanan, serta permintaan informasi pribadi.
  • Melindungi diri Anda dari phishing membutuhkan sikap skeptis yang sehat dan pemeriksaan yang cermat terhadap semua pesan, email, dan tautan.

Apa itu Phishing?

Phishing adalah salah satu cara serangan yang digunakan para penipu untuk menargetkan pengguna yang tidak sadar untuk mencuri informasi sensitif mereka seperti informasi identitas pribadi(PII), yang meliputi tanggal lahir, alamat, nama pengguna dan kata sandi email, informasi perbankan online, dan akun perusahaan, dan – pada akhirnya – dana mereka.

Phishing adalah sebuah bentuk ‘rekayasa sosial’ yang lebih mengandalkan tipu daya terhadap pengguna yang tidak sadar untuk secara sukarela menyerahkan kredensial dan/atau dana mereka, daripada mencoba membobol perangkat atau akun mereka dengan menggunakan teknik peretasan.

Dalam serangan phishing, pengguna biasanya dibuat percaya bahwa mereka telah dihubungi oleh organisasi yang biasa mereka gunakan (misalnya, bank, perusahaan, atau penyedia layanan telekomunikasi) melalui replika situs web organisasi yang canggih, pemberitahuan SMS, email, atau panggilan telepon. Serangan ini dapat membuat pengguna memberikan informasi sensitif, seperti kredensial, kata sandi, atau frasa pemulihan.

Serangan phishing dapat dikoordinasikan, misalnya terhadap staf atau anggota organisasi tertentu, atau terhadap pengguna layanan tertentu. Biasanya, penyerang akan mendapatkan informasi pelanggan setelah insiden pelanggaran data, yang kemudian mereka gunakan untuk menargetkan pelanggan yang sama dengan serangan phishing. Dalam kasus lain, serangan dapat dilakukan secara acak dan didasarkan pada penargetan blok nomor telepon, alamat email yang dibuat secara otomatis, atau daftar alamat email yang diperoleh secara tidak sah dari pelanggan milis.

Tujuan dari serangan phishing bisa berupa jangka pendek atau jangka panjang. Tujuan jangka pendek termasuk menyebarkan ransomware ke perangkat korban dan meminta tebusan untuk mendekripsi data mereka atau mencuri dana dari rekening korban.

Tujuan jangka panjang termasuk mendapatkan akses ke jaringan/sistem perusahaan korban, menyebarkan malware ke sistem korban untuk mendapatkan keuntungan jangka panjang dan berkelanjutan, atau untuk pengawasan dan pemerasan.

Jenis-jenis Phishing

Phishing dapat terjadi melalui berbagai saluran, termasuk:

  • Email
  • SMS (juga dikenal sebagai ‘Smishing’)
  • Media sosial dan Pesan Instan
  • Panggilan telepon/panggilan suara (juga dikenal sebagai ‘Vishing’)

Dalam serangan phishing email, penyerang biasanya mengirimkan email yang terlihat seperti berasal dari sumber asli, dengan ‘ajakan bertindak’ yang mengharuskan calon korban untuk mengeklik sebuah tautan agar terhindar dari konsekuensinya.

Sebagai contoh, penyerang dapat mengirimkan email yang meniru bank Anda dan meminta Anda untuk masuk dan mengaktifkan kembali akun Anda atau berisiko penangguhan akun dan kehilangan akses ke dana. Dalam kasus lain, penyerang dapat mengirimkan faktur yang sudah jatuh tempo dari penyedia layanan yang membutuhkan tindakan segera, seperti membayar faktur untuk menghindari biaya keterlambatan dan biaya tambahan.

Pelaku phishing dapat menggunakan desain yang canggih, termasuk logo, skema warna, dan jenis huruf yang sama dengan organisasi target untuk membuat pesan terlihat semirip mungkin dengan pesan yang sah.

Cermati Lebih Dekat Pengirimnya

Selain itu, phisher dapat menggunakan metode yang rumit untuk membuat pesan tampak seperti berasal dari sumber yang sah, terutama dengan menambahkan alamat email asli (misalnya,[email protected] ) dan/atau dengan memanipulasi tautan yang harus diklik oleh pengguna dengan cara yang sama.

Dalam beberapa kasus lain, penyerang dapat menggunakan teknik lain yang dikenal sebagai ‘serangan homograf’, di mana mereka menggunakan nama domain paralel yang memiliki huruf yang terlihat mirip dari bahasa lain selain bahasa Inggris. Sebagai contoh, huruf a, c, e, o, p, dan x dalam huruf Inggris dan Sirilik adalah serupa. Ini disebut homograf.

Hal ini menyulitkan pengguna yang berpengalaman sekalipun untuk mengidentifikasi bahwa domain yang digunakan untuk tautan dan/atau alamat asal adalah palsu karena kemiripannya sedikit (misalnya, contact@ßitcoin.com; perhatikan huruf ‘B’ pada ‘ßitcoin’).

2. Pesan SMS Mudah Ditiru

Phishing SMS (atau ‘Smishing’) mirip dengan phishing email, meskipun membutuhkan kecanggihan yang jauh lebih rendah dari pihak penyerang karena pesan SMS biasanya tidak mengandung format atau grafik.

Dalam Smishing, penyerang menargetkan korban dengan mengirimi mereka pesan teks yang mungkin menyerupai pesan teks yang sah dari penyedia layanan. Ini umumnya bergantung pada FUD atau FOMO.

Contoh FUD adalah menginformasikan kepada target mengenai transaksi yang tidak sah pada kartu kredit mereka, dan mengharuskan mereka untuk segera mengklik sebuah tautan untuk menghentikan transaksi lebih lanjut. Untuk FOMO, contohnya dapat melibatkan penyerang yang menginformasikan target dalam waktu yang sangat singkat untuk memilih penawaran/diskon khusus. Dalam kedua situasi tersebut, target didorong untuk mengklik tautan yang disediakan dalam pesan SMS.

Dalam contoh-contoh ini, baik transaksi yang tidak sah maupun penawaran/diskon khusus adalah asli. Sebaliknya, skenario palsu ini menciptakan rasa urgensi untuk memanfaatkan FUD atau FOMO pada target yang dituju oleh para penyerang.

3. Phishing di Media Sosial

Di media sosial dan platform Pesan Instan, penyerang dapat menyamar sebagai penyedia layanan (staf dukungan pelanggan dari penyedia layanan, karyawan perusahaan yang menawarkan dukungan, dll.) dan mencoba mengelabui pengguna untuk mengklik tautan phishing, mirip dengan phishing email dan SMS. Carilah nama pengguna yang menipu seperti ‘_crypto com official_’.

Tujuan utama dari serangan ini biasanya untuk membuat pengguna mengklik tautan. Dalam beberapa kasus, tautan tersebut akan menyebarkan malware/spyware/ransomware ke perangkat korban; dalam kasus lain, tautan tersebut mengarahkan mereka ke situs web yang terlihat nyata/tiruan di mana mereka memasukkan kredensial mereka, sehingga peretas dapat mengakses akun asli pengguna di situs web yang sebenarnya.

4. Waspadai Panggilan Telepon yang Tidak Diharapkan

Phishing suara (atau ‘Vishing’) adalah varian phishing yang sedikit berbeda, di mana penyerang menelepon korban atau menggunakan teknologi untuk menelepon korban secara massal menggunakan pesan yang telah direkam sebelumnya. Mereka akan mencoba meyakinkan korban bahwa mereka menelepon dari organisasi yang sah (misalnya, entitas pemerintah seperti kantor pajak, atau penyedia layanan seperti bank, perusahaan telekomunikasi, dll.) untuk mendapatkan informasi pribadi korban yang tidak menaruh curiga untuk mengakses akun mereka, mencuri identitas mereka, atau memperoleh dana secara tidak sah.

Dalam beberapa kasus, para korban dapat dipaksa untuk memberikan pembayaran dengan metode pembayaran yang tidak dapat dilacak seperti hadiah dan kartu prabayar untuk menghindari konsekuensi yang dituduhkan kepada para penyerang (misalnya, penangkapan, deportasi, penyitaan rumah, dll.). Memang, kantor pajak atau bank yang meminta pembayaran dengan kartu hadiah prabayar harus selalu mengibarkan bendera merah.

Mengenali Phishing dan Melindungi Diri Anda

Garis pertahanan pertama terhadap phishing adalah selalu bersikap skeptis terhadap email, pesan, atau panggilan telepon yang tidak terduga dengan ajakan untuk bertindak.

Selain itu, ada beberapa tanda yang perlu diperhatikan dan dipertimbangkan saat Anda menilai apakah pesan yang masuk itu asli atau tidak:

  • Apakah alamat email asal berasal dari email kontak yang biasa digunakan oleh organisasi tersebut? Perhatikan alamat email dan domain lengkap – Apakah ada sesuatu setelah nama domain yang biasa? Sebagai contoh, domain email Crypto.com adalah @crypto.com; namun, jika domain email tersebut dipadatkan (@crypto.com.somethingelse.com, misalnya), maka itu bukanlah domain yang sama.
  • Apakah organisasi menawarkan fitur kode anti-phishing? Apakah akun Anda sudah diaktifkan? Jika jawaban dari kedua pertanyaan tersebut adalah ya, apakah kode yang benar muncul di email?

Gunakan kode anti-phishing Crypto.com untuk melindungi diri Anda. Cari tahu cara menyalakannya di Aplikasi Crypto.com, di Exchange, dan di Pasar NFT.

  • Periksa tautan yang harus Anda klik dengan mengarahkan kursor (dan BUKAN mengklik) di atasnya. Apakah tautan mengarah ke nama domain organisasi? Apakah domain dalam tautan diisi dengan tambahan seperti pengisian domain email yang disebutkan di atas?
  • Carilah kesalahan ejaan dan tata bahasa. Penyerang sering kali membuat kesalahan yang mencolok, sebuah tanda yang menunjukkan bahwa email tersebut bukan email yang sah.
  • Apakah Anda disapa dengan nama Anda atau istilah kolektif (misalnya, Yth.[ Nama Anda ] vs Pelanggan yang Terhormat)? Perhatikan bahwa ini tidak selalu merupakan indikator yang dapat diandalkan, karena penyerang mungkin memiliki nama dan email Anda dan dapat menggunakan perangkat lunak penggabungan surat untuk mengalamatkan korban satu per satu.
  • Apakah Anda tiba-tiba dihubungi melalui media sosial dan/atau platform Pesan Instan oleh seseorang yang diduga sebagai perwakilan perusahaan? Hal ini terutama terjadi setelah memposting keluhan atau pertanyaan tentang layanan perusahaan. Dalam kebanyakan kasus, perwakilan tidak akan memulai kontak kecuali Anda membuka akun/halaman terverifikasi mereka dan memulai kontak sendiri.
  • Jika terlalu bagus untuk menjadi kenyataan, hampir pasti itu benar. Apakah Anda ditawari peluang investasi atau pinjaman dengan persyaratan yang terdengar terlalu bagus untuk menjadi kenyataan? Ini adalah beberapa umpan yang umum digunakan dalam phishing.
  • Apakah Anda diancam dengan konsekuensi jika Anda tidak segera bertindak? Jangan panik. Ingat, Anda selalu dapat menutup telepon dan menghubungi kembali organisasi tersebut di nomor yang terdaftar secara publik atau menghubungi mereka melalui saluran layanan pelanggan yang sah dan resmi.

Aturan utamanya adalah, jika – setelah semua itu – Anda masih tidak yakin, lebih baik Anda TIDAK mengklik tautan apa pun atau mengikuti permintaan apa pun yang diberikan kepada Anda melalui email/SMS/IM/panggilan telepon. Sebagai gantinya, hubungi organisasi itu sendiri dengan menggunakan saluran kontak mereka yang aman (obrolan dukungan pelanggan, menelepon saluran dukungan pelanggan mereka, atau menavigasi ke situs web mereka dengan memasukkan URL sendiri di peramban dan masuk ke akun Anda).

Upaya Phishing pada Pengguna Kripto

Jadi, seperti apa hal ini dalam praktiknya? Berikut adalah lima contoh serangan phishing hipotetis. Anda akan segera mengetahui apa saja tanda-tandanya.

1. Perusahaan Tidak Memulai Percakapan DM – dan Dua Pengecualian

Dalam contoh ini, phisher menghubungi calon korban untuk memulai percakapan dengan mereka, meskipun penyedia layanan umumnya tidak mengirim pesan langsung (direct message/DM) kepada pengguna terlebih dahulu. Dengan kata lain, Anda biasanya harus memulai DM. Pengecualian adalah menghubungi pemenang kontes untuk pemenuhan hadiah dan meminta izin untuk menggunakan konten buatan pengguna. Untuk yang terakhir, Anda harus memiliki ingatan yang jelas tentang mengikuti kontes dan mencari semua tanda lain dari akun yang sah, seperti profil terverifikasi. Upaya untuk mengirim Anda ke tautan yang dipersingkat adalah tanda bahaya.

Gambar 17

2. Perusahaan yang Sah Tidak Menawarkan Peluang Cepat Kaya

Dalam skenario seperti ini, akun palsu yang menyamar sebagai anggota staf, seperti manajer komunitas regional, mengirim pesan kepada calon korban di media sosial, menawarkan peluang investasi.

Gambar 16

3. Perusahaan Tidak Menambahkan Pengguna ke Saluran Komunitas

Dalam contoh ini, phisher menduplikasi saluran komunitas dengan membuat Grup Telegram replika dan menambahkan calon korban. Para penipu mungkin menyamar sebagai staf asli, mencoba membuat korban mengungkapkan kredensial login mereka.

Mengenai kebijakan, penyedia layanan umumnya tidak menambahkan pengguna ke grup atau saluran komunitas. Sebagai gantinya, pengguna harus menemukan tautan ke grup dan saluran komunitas resmi.

Gambar 18

4. Hanya Gunakan Situs Web Resmi

Di sini, sebuah contoh hipotetis dari sebuah situs web peniru yang mencoba menyerupai situs web blockchain Cronos dengan menggunakan skema warna dan logo yang serupa. Para penipu mencoba membuat pengguna memberikan frasa seed wallet kripto mereka, yang pada gilirannya akan memberikan akses yang tidak dapat dibatalkan kepada para penipu ke dompet non-kustodian pengguna dan memungkinkan mereka untuk menguras semua aset.

Pengguna harus memperhatikan dan mewaspadai struktur situs yang sangat mendasar, logo yang hilang yang digantikan oleh segi enam sederhana, dan ajakan untuk bertindak.

Gambar 19

Sebaliknya, situs web Cronos yang sah di bawah ini memiliki beberapa fitur unik yang membedakannya dari situs web peniru di atas.

5. Periksa apakah Akun Media Sosial Sudah Terverifikasi

Dalam contoh lain, seorang phisher dapat membuat akun Twitter yang tampak seperti akun Twitter asli yang menyerupai, misalnya, akun resmi Loaded Lions untuk mencoba mencuri dana dengan menggunakan airdrop palsu sebagai umpan.

Pastikan bahwa akun yang Anda ikuti terverifikasi sebagai akun resmi, dan curigai akun-akun terkenal yang mengikuti Anda terlebih dahulu. Di bawah ini Anda dapat melihat tangkapan layar dari profil Twitter yang palsu dan yang asli.

Gambar 20
Gambar 21

6. Periksa URL dengan Hati-hati

Phisher dapat membuat halaman palsu untuk proyek nyata dan membayar iklan Google untuk membuatnya muncul pertama kali. Sebagai contoh, jika diperhatikan dengan seksama, URL pada iklan tersebut memiliki kesalahan ketik (tcetonic.finance), sementara situs web resmi Tectonic (tectonic.finance), protokol pasar uang algoritmik non-kustodian yang terdesentralisasi yang dibangun di atas Cronos Chain, muncul di bawah iklan tersebut sebagai hasil pencarian pertama.

Gambar 23

7. Berhati-hatilah dengan Kode Promo Pihak Ketiga

Pada contoh terakhir ini, pengguna mungkin mencari kode promo dan diarahkan ke situs web penipuan untuk mendapatkan kode promo palsu yang mungkin berisi tautan berbahaya.

Hanya gunakan kode promo langsung dari situs resmi dan saluran terverifikasi.

Gambar 24

Kesimpulan – Cara Melindungi Diri Anda Dari Phisher

Karena para peretas dan penipu terus berupaya mencari korban dan dana, serangan phishing diperkirakan akan terus meningkat. Baik karena pelanggaran data atau penargetan secara acak, serangan phishing merupakan risiko bagi privasi dan keuangan siapa pun. Tetap waspada, mengetahui seperti apa phishing itu, dan sikap skeptis yang sehat adalah beberapa alat yang diperlukan untuk melindungi diri Anda dari upaya phishing.

Uji Tuntas dan Lakukan Riset Anda Sendiri

Semua contoh yang tercantum dalam artikel ini hanya untuk tujuan informasi. Anda tidak boleh menafsirkan informasi atau materi lain tersebut sebagai nasihat hukum, pajak, investasi, keuangan, keamanan siber, atau nasihat lainnya. Tidak ada yang terkandung di sini yang merupakan ajakan, rekomendasi, dukungan, atau penawaran oleh Crypto.com untuk berinvestasi, membeli, atau menjual koin, token, atau aset kripto lainnya. Pengembalian dari pembelian dan penjualan aset kripto dapat dikenakan pajak, termasuk pajak keuntungan modal, di yurisdiksi Anda. Setiap deskripsi produk atau fitur Crypto.com hanya untuk tujuan ilustrasi dan bukan merupakan dukungan, undangan, atau ajakan.

Kinerja masa lalu bukan merupakan jaminan atau prediktor kinerja masa depan. Nilai aset kripto bisa naik atau turun, dan Anda bisa kehilangan semua atau sebagian besar harga pembelian Anda. Saat menilai aset kripto, penting bagi Anda untuk melakukan riset dan uji tuntas untuk membuat penilaian terbaik, karena pembelian apa pun menjadi tanggung jawab Anda sepenuhnya.

Bagikan dengan Teman

Siap untuk memulai perjalanan kripto Anda?

Dapatkan panduan langkah demi langkah untuk mengatur sebuah akun dengan Crypto.com

Dengan mengeklik tombol Memulai, Anda mengakui bahwa telah membaca Pemberitahuan Privasi Crypto.com yang menjelaskan cara kami menggunakan dan melindungi data pribadi Anda.
Mobile phone screen displaying total balance with Crypto.com App

Common Keywords: 

Ethereum / Dogecoin / Dapp / Tokens