Home TipsBlog Maraknya Kejahatan Phising di Negara Kita

Senin, 13 Mei 2019

Maraknya Kejahatan Phising di Negara Kita


Apa itu Phising?...

Secara sederhana, phishing didefinisikan sebagai penipuan yang memanfaatkan email untuk menguak informasi sensitif korban. Email phishing dirancang sedemikian rupa agar mirip dengan lembaga atau institusi tertentu yang dipercaya si korban. Tak ketinggalan, mereka menggunakan alamat email yang mirip-mirip dengan lembaga atau perusahaan tertentu. Email phishing yang dikirimkan, memiliki dua teknik untuk memperdaya korban agar “menyerahkan” informasi mereka. Pertama dengan menautkan virus atau malware di email phishing yang dikirimkan. Pada tahun 2016, email phishing yang menyasar korban-korbannya, 8,89 persennya melampirkan Trojan-Downloader.JS.Agent. Sebuah program jahat yang mengancam sistem komputer siapa pun. Teknik kedua, email phishing akan berisi tautan menuju situsweb asli tapi palsu sebuah lembaga atau perusahaan.

Situsweb asli tapi palsu inilah yang diharapkan si pengirim email phishing, untuk dikunjungi si korban. Statista mencatat, di Q4 tahun 2013, terdapat 111.773 situsweb phishing yang terdeteksi. Pada Q4 tahun 2016, jumlah situsweb phishing meningkat menjadi 277.693 buah.

Lembaga atau perusahaan finansial tercatat sebagai pihak yang paling banyak didompleng penjahat phishing. Sebanyak 47,48 persen phishing, mengtasnamakan lembaga atau perusahaan finansial. Rinciannya, terdapat 24,76 persen phishing yang mengatasnamakan bank, 11,55 persen phishing yang mengatasnamakan sistem pembayaran elektronik atau fintech, dan 10,17 persen phishing yang mengatasnamakan lembaga atau perusahaan toko online.

Penjahat phishing, akan membuat situsweb lembaga atau perusahaan yang dijadikan langganan si korban dengan sangat baik. Dan apabila korban masuk perangkat, lenyaplah informasi miliknya dan kemudian digunakan secara tidak bertanggungjawab oleh si penjahat.

Rachna Dhamija dalam jurnalnya berjudul “Why Phishing Works” mengungkapkan bahwa di tahun 2003, terdapat 2 miliar korban yang memberikan informasi sensitif mereka pada situsweb palsu atas aksi phishing. Umumnya, informasi sensitif yang “diberikan” para korban tersebut berhubungan dengan informasi seputar bank dan kartu kredit. Diperkirakan, akibat informasi sensitif yang dijarah pelaku, ada kerugian hingga $1,2 miliar.

Umumnya, email yang diduga phishing akan secara otomatis dianggap SPAM oleh sistem. Pada tahun 2016, pada bulan Januari SPAM mengambil proporsi sebesar 59,62 persen atas lalu-lintas email. Pada akhir tahun, lalu-lintas SPAM mengambil proporsi sebesar 61,33 persen dari keseluruhan email.

Kasus-kasus phishing cukup banyak terjadi. Misalnya, seorang figur publik yang tiba-tiba merana gara-gara akun Instagram atau Twitter yang menghasilkan uang baginya tersebut, tiba-tiba raib digondol orang lain atau istilahnya “dibajak” orang. Padahal, jika diselidiki lebih lanjut, hilangnya kendali atas akun Instagram atau Twitter yang dialami si figur publik tersebut karena beberapa hari sebelumnya terperdaya atas email yang masuk ke inbox pribadinya. Link yang dilampirkan di email yang memperdayanya di-klik, menuju situsweb asli tapi palsu, dan pada akhirnya, segala informasi penting perihal akun Instagram atau Twitternya dapat diambil oleh si pelaku. Tentu, kehilangan akun Instagram atau Twitter, masih jauh lebih baik jika dibandingkan kehilangan informasi yang terkait dengan akun bank.

Metode dan Teknik Serangan Phising yang paling Populler diDunia


  1. Email SPAM / Fake Email
    Fake email atau email palsu adalah cara yang paling sering digunakan untuk menipu banyak orang. Para pelaku akan mengirimkan email dengan alamat yang seolah-olah mirip dengan alamat email resmi sebuah perusahaan.

  2. Web-based Delivery / Fake Website
    Website ini tentunya makin meyakinkan, apalagi bagi orang awam. Sebagian besar orang mungkin berpikir, asal tidak .blogspot.com maka itu bukan penipuan. Padahal, untuk mendapatkan website dengan nama domain tertentu itu sangat amat mudah sekarang. Dengan mudah mereka bisa mendapatkan url yang mirip dengan nama perusahaan asli.

  3. IRC / Instant Messaging
    Media chatting yang banyak digunakan juga menjadi sebagai pelaku phising untuk mengirimkan alamat-alamat yang menjebak kepada korbannya. Biasanya pelaku mengirimkan link ini secara acak namun ada juga yang melakukan pendekatan terlebih dahulu sebelum mengirimkan informasi situs palsu ini.

  4. Trojan / Virus
    Pelaku phising , terkadang juga menipu korbannya agar meng install trojan dan memanfaatkan trojan tersebut untuk mengelabui korbannya. Trojan memungkinkan pengontrolan secara penuh komputer korban sehingga korban bisa dialihkan ke situs yang telah disediakan jebakan.

Kasus - kasus phising terkait hilangnya akun


  1. KASUS BCA

    Dunia perbankan nasional pernah digegerkan dengan kasus phishing pada tahun 2001. Seseorang berinisial SH membeli domain ‘plesetan’ yang mirip dengan domain resmi BCA http://www.klikbca.com/ seperti kilkbca.com, clikbca.com, klickbca.com dan klikbac.com.

  2. KASUS MANDIRI

    Salah satu contoh kasus phising di Indonesia dialami oleh pelanggan/pengguna situs internet banking milik Bank Mandiri yaitu melalui email yang disitu diharuskan kepada nasabah untuk men-update account pribadinya, dan apabila tidak diupdate maka akan diblock account milik nasabah tersebut. Disitu nasabah diarahkan untuk masuk ke link alamat resmi milik Bank Mandiri yaitu http://www.bankmandiri.co.id, tetapi pada saat link tersebut diklik bukan masuk ke alamat resmi milik Bank Mandiri melainkan dibelokkan ke alamat palsu milik phiser.

Pasal Peraturan CyberCrime dalam bentuk Phising

pelanggaran hak cipta yang ada dalam perbuatan cyber crime dalam bentuk phising yang mana perbuatannya adalah membuat tampilan yang mirip dengan aslinya juga diatur dalam Undang - Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dalam Pasal 35 sebagai berikut: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan agar informasi elektronik dan/atau dokumen elektronik tersebut dianggap seolah-olah data yang otentik”.

Unsur sengaja dalam Pasal tersebut menurut keterangan Menkominfo dan Menhukham pada persidangan Mahkamah Konstitusi adalah pelaku harus menghendaki perbuatannya memanipulasi data agar seakan-akan data tersebut otentik. Sedangkan yang dimaksud “dokumen elektronik tersebut dianggap seolah-olah data yang otentik” adalah data tersebut akurat dan relevan.

Dan perbuatan tersebut diancam dengan sanksi pidana dalam Pasal 51 ayat (1) yang menentukan: “setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 dipidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp.12.000.000.000,00 (dua belas miliar)”.

Juga diancam dengan sanksi pidana dalam Pasal 52 ayat (2) dan (3) sebagai berikut:
  1. Pasal 52 Ayat (2) yaitu “dalam hal perbuatan sebagaimana dimaksud dalam Pasal 30 sampai dengan Pasal 37 ditujukan terhadap komputer dan/atau sistem elektronik serta informasi elektronik dan/atau dokumen elektronik milik pemerintah dan/atau yang digunakan untuk layanan publik dipidana dengan pidana pokok ditambah sepertiga”

  2. Pasal 52 ayat (3) yaitu "Dalam hal perbuatan sebagaimana dimaksud dalam Pasal 30 sampai dengan Pasal 37 ditujukan terhadap komputer dan/atau sistem elektronik serta informasi elektronik dan/atau dokumen elektronik milik pemerintah dan/atau badan strategis termasuk dan tidak terbatas pada lembaga pertahanan, bank sentral, perbankan, keuangan, lembaga internasional, otoritas penerbangan diancam dengan pidana maksimal ancaman pidana pokok masing-masing Pasal ditambah dua pertiga.

Anti-Phishing Working Grup mengungkapkan bahwa terdapat 100.000 serangan phishing baru setiap bulannya. Dari sekian banyak serangan, grup tersebut mengklaim terdapat ribuan orang yang telah menjadi korban. Dalam sebuah artikel di Wired, diyakini, 91 persen peretasan dimulai dengan phishing.

Aaron Higbee, Chief Technology Officer dari PhishMe, sebuah firma riset pertahanan siber mengungkapkan, orang yang mengirimkan email phishing memiliki kepintaran pemasaran untuk memperoleh perhatian pengguna (target korban). “Saya telah mengingatkan bertahun-tahun (untuk) tidak meng-klik email dari seseorang yang tidak dikenal. […] Tapi, penyerang akan memulai (mengirimkan) email phishing dari orang yang kamu kenal. Kenapa saya tidak meng-klik email dari seseorang yang saya kenal? Penyerang memanfaatkan teknik propaganda tersebut untuk sesuatu seperti malware dan ransonware (di-klik si korban),” jelasnya.

Phishing memang cukup sukar dibendung. Terkadang, email phishing yang masuk, menggunakan nama teman kita sendiri sebagai identitas si pengirim. Umumnya, hal demikian terjadi manakala email teman kita tersebut, telah lebih dahulu menjadi korban. Alamat-alamat email yang ada dalam daftar kontak email teman kita yang telah direbut, dimanfaatkan sebagai daftar korban-korban berikutnya.

Selain itu, alamat situsweb yang dilampirkan dalam email phishing, seringkali mengecoh bahkan sangat meyakinkan untuk tidak disepelekan si korban. Dalam generasi awal phishing, alamat situsweb yang dilampirkan dibuat dengan cara mengecoh ketelitian si korban. Misalnya tautan instagram.com sebagai tautan resmi aplikasi Instagram milik Facebook, coba dimanipulasi si pengirim dengan nama tautan 1nstagram.com. Jika korban mengklik tautan tersebut, alih-alih masuk ke situsweb resmi Instagram, korban akan terjerumus di situsweb antah-berantah yang sangat mungkin berniat mengambil informasi tentang akun Instagram si korban, seperti kasus yang ada di bca dan mandiri diatas.

Teknik phishing kini juga semakin canggih. Sebagaimana diwartakan Wired, terdapat teknik baru dalam email phishing. Teknik baru tersebut memanfaatkan Punycode untuk me-render karakter-karakter yang menyusun kata dalam tautan instagram.com. Umumnya, sebuah teks dalam dunia digital, akan di-render oleh standar Unicode. Unicode mengandung 128.000 macam karakter yang kita kenal hari ini, misalnya alfabet. Sementara Punycode merupakan alternatif selain Unicode. Serangan teknik baru akan menukar alamat domain dengan kata yang identik atau mirip, namun dengan memanfaatkan huruf non-alfabet. Saat domain sebuah situsweb tertulis apple.com dalam email phishing, sesungguhnya alamat sebenarnya adalah “xn—80ak6aa92e.com”. Address bar dari suatu perambah, akan terkecoh dengan teknik baru tersebut.

Serangan demikian, dalam dunia komputer, disebut dengan “serangan homograph”. Dalam definisi umum, homograph diartikan sebagai kata yang tertulis sama, namun mengandung makna yang berbeda. Saat email phishing yang menyertakan tautan instagram.com masuk ke inbox kita, sesungguhnya link tersebut bukanlah link yang sesungguhnya.

Phishing, merupakan salah satu sisi negatif dari dunia digital kita. Tak seperti begal atau perampok tradisional yang langsung meminta materi dari korbannya, phishing “hanya” meminta informasi sensitif milik kita untuk mereka gunakan secara tidak bertanggung jawab. Untuk menghindarinya, selalu periksa tautan yang dikirimkan terutama terkait akun-akun pribadi kita. Jangan sembarang meng-klik sebuah tautan, karena satu klik bisa berakibat fatal hilangnya data-data pribadi kita.
Waspada Pishing di dalam kehidupan kalian!!...


Source

- www.radarcirebon.com
- www.liputan6.com
- appletechnos.com
- inet.detik.com
- idcloudhost.com
- idwebhost.com
- uinsby.ac.id

Share this

Recommended

Disqus Comments