Tek Analogi #7 — Pengelabuan (Phishing)
“The Spy Act prohibits keystroke logging, hijacking, and phishing” — Cliff Stearns (American Politician)
Halo pembaca 👋 Selamat datang di seri Teknologi Analogi jilid tujuh. Teknologi Analogi merupakan seri publikasi yang membahas teknologi dengan menggunakan analogi. Kamu bisa baca seri-seri sebelumnya di:
Belakangan saya sering melihat teman saya membuat posting di sosial media bahwa akun sosial media mereka telah ter-”hack”. Tanpa sadar bahwa ternyata mereka sendiri lah yang “mengijinkan” untuk di-hack. Rata-rata modus yang saya lihat adalah modus pengelabuan, yang bahasa populernya di dunia komputer adalah phishing. Maraknya modus tersebut membuat saya merasa ini adalah waktu yang tepat untuk memperkenalkan apa itu phishing kepada teman-teman semua. Saya bukan ahli atau pakar di bidang keamanan (security), tapi setidaknya tau lah sedikit mengenai modus serangan siber ini.
Seperti biasa, analogi yang saya pakai adalah hasil dari pemahaman saya sendiri. Sehingga jika kamu punya analogi lain yang dirasa lebih cocok, ya tidak apa-apa. So without further ado, let’s get started!
Cuma Properti
Pernahkah kamu melihat sebuah pertunjukan teater?
Untuk menghidupkan suasana dalam cerita yang mau dibawakan, seringkali sebuah pertunjukan teater membuat properti untuk menunjang pertunjukan tersebut. Seringkali properti yang dibuat adalah rumah. Namun apakah rumah tersebut benar-benar rumah? Dengan batu bata, jendela, dan atap lengkap? Tentu saja tidak. Properti rumah tersebut dibuat dengan usaha yang sekecil-kecilnya, yang penting penonton sadar bahwa itu adalah rumah. Sehingga dibuat lah properti rumah yang bagian depan terlihat seperti rumah, namun bagian belakang hanyalah kardus biasa — tidak ada apa-apa. Beginilah cara kerja phishing.
Phishing adalah suatu cara pengelabuan dengan mengaku bahwa dia adalah orang lain atau suatu institusi resmi tertentu sehingga membuat korban bisa secara sukarela memberikan informasi pribadinya. Seperti bisa dilihat pada postingan Instagram yang sempat viral disini.
.
.
.
Eit… apakah kamu baru saja mencoba login ke aplikasi Instagram? Jika iya, selamat! Kamu baru saja menjadi korban phishing. Ya benar… situs yang baru saja kamu buka adalah situs phishing yang saya buat hanya membutuhkan waktu 2 jam. Seperti halnya “seakan terlihat seperti rumah” pada properti sebuah pertunjukan, situs phishing juga dibuat seakan kamu benar sedang mengunjungi situs sebuah perusahaan resmi — padahal pada kenyataannya bukan. Dalam contoh saya, kamu dibuat seakan sedang berada pada halaman login Instagram.
Tidak ada apa-apa dibelakang sebuah situs phishing. Misal pada contoh situs phishing Instagram, tidak ada tuh foto-foto di feed kamu, histori pencarian, dan pengaturan-pengaturan lainnya yang kamu terapkan di aplikasi asli Instagram. Sama seperti rumah kardus diatas, tidak ada apa-apa dibelakangnya.
Tidak ada apa-apa di situs phishing, selain hanya sebuah database yang langsung menyimpan email dan password yang baru saja kamu berikan dengan sukarela. Tenang… situs saya tidak ada database nya kok, cuma tampilan saja.
Ada banyak sekali model phishing. Yang baru saya contohkan adalah model dengan menggunakan situs web. Ada yang menggunakan SMS, email, bahkan sosial media.
Mancing
Kenapa disebut phishing?
Berbeda dari serangan siber lainnya yang terkesan aktif atau sifatnya “menyerang”. Phishing lebih bersifat pasif, seperti “menunggu mangsa”. Analoginya adalah seperti aktivitas memancing. Saat memancing, kita memasang umpan kemudian berharap umpan kita akan dimakan oleh ikan. Ada ikan yang tau bahwa di umpan itu ada kailnya, namun ada juga si ikan malang yang tidak sadar umpan tersebut akan membawa maut padanya.
Sama halnya dengan para pelaku phishing. Mereka menyebar “umpan” di dunia digital dengan berbagai cara. Ada yang menyebar email palsu, ada yang menyebar SMS palsu, atau yang niat membuat sebuah halaman login palsu untuk beberapa situs ternama seperti Instagram, Facebook, atau Gmail.
Seringkali umpan-umpan ini juga dibarengi dengan informasi yang membangun urgensi pada korban, atau dengan kata lain “memancing” korban supaya tanpa pikir panjang memberikan kredensialnya.
Seperti “waktu tinggal 1 hari lagi” atau “kuota terbatas”. Korban-korban ini tidak tahu bahwa mereka selayaknya seperti si ikan malang yang tidak tahu bahwa ada “kail” yang siap menerjang dibelakang “umpan” yang manis tersebut.
Itulah kenapa modus ini disebut phishing oleh beberapa pakar keamanan digital di dunia. Berasal dari kata fishing yang kemudian diplesetkan dengan mengganti “f” menjadi “ph”.
Tips
Ingat bahwa modus ini bisa berhasil karena korban secara sukarela memberikan informasi pribadi mereka. Untuk itu sangatlah penting untuk kita semua bisa waspada dan mengenali tanda-tanda sebuah aktivitas phishing. Berikut beberapa tips yang bisa saya bagikan berdasarkan pandangan saya pribadi dan beberapa teman saya yang sudah membantu menjawab pada storyQUESTION saya di Instagram 😁
- Lihat ejaan dan tatabahasa yang digunakan: sebuah lembaga resmi pasti memiliki standar yang tinggi dalam mengirim sebuah pesan; satu dua kata typo sudah patut membuat kita curiga.
- Ada kesan urgensi berlebihan: bila pesan yang diterima tersebut terkesan sangat bernada “mendesak”, seperti “tinggal hari ini” atau “10 orang tersisa”.
- Verifikasi pengirim: sebelum melakukan tindakan apapun, lihat dulu siapa pengirimnya.
- Apakah sudah benar URL nya berasal dari domain perusahaan resmi. Domain dengan embel-embel blogspot atau wordpress patut dicugai. URL dengan top level domain yang tidak umum seperti .xyz, .to, .cc, dsb juga harus dicek kembali keasliannya.
- Apakah email pengirim bisa dipercaya. Rata-rata perusahan besar memiliki domain email sendiri seperti mail@[nama perusahaan]. Bila ada email yang mengaku sebuah institusi resmi tapi masih memakai domain default seperti gmail atau yahoo, maka perlu dicek kembali keasliannya.
- Apakah nomor pengirim SMS terdaftar sebagai badan resmi atau nomor pribadi. Badan resmi biasa sudah terdaftar namanya di data center sehingga yang ditampilkan biasanya langsung nama, bukan nomor lagi.
Akhirnya
Phishing tetap menjadi salah satu teknik pengelabuan yang paling sering dipakai oleh para penjahat. Selain mudah dilakukan, masih banyaknya orang awam yang minim pengetahuan soal ini juga menjadi faktor utama. Untuk itulah penting untuk kita yang bergerak di bidang informasi teknologi supaya membekali teman-teman kita soal ini. Karena berhasil atau tidaknya seseorang melakukan phishing, semua tergantung dari kita sendiri — apakah kita memberikan informasi kita secara cuma-cuma.
Semoga tulisan kali ini bermanfaat. Saya berharap sekarang kamu memiliki sedikit gambaran tentang apa itu yang disebut sebagai phishing.
Terima kasih sudah membaca 😃
See you in a bit 01 — Ferzos
