Phishing
Phishing adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan. Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:
- Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan pengguna internet sehingga pengguna internet terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit
- Membuat situs palsu yang sama persis dengan situs resmi, atau pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
- Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
KASUS
KASUS MANDIRI
Salah satu contoh kasus phising di Indonesia dialami oleh pelanggan/pengguna situs internet banking milik Bank Mandiri yaitu melalui email yang disitu diharuskan kepada nasabah untuk men-update account pribadinya, dan apabila tidak diupdate maka akan diblock account milik nasabah tersebut.
Disitu nasabah diarahkan untuk masuk ke link alamat resmi milik Bank Mandiri yaitu http://www.bankmandiri.co.id, tetapi pada saat link tersebut diklik bukan masuk ke alamat resmi milik Bank Mandiri melainkan dibelokkan ke alamat palsu milik phiser. Akibatnya banyak pengguna internet banking Bank Mandiri memasukkan username, password dan nomor pin kedalam situs yang bukan seharusnya. Anda pasti tahu apa yang terjadi berikutnya, yaitu pemilik situs palsu dengan leluasa menggunakan identitas korban untuk masuk ke situs Bank Mandiri yang sebenarnya / asli dan mentransfer seluruh uang korban ke rekeining miliknya. Kunci utama keberhasilan kejadian ini adalah tampilan situs asli dan yang palsu persis sama, sehingga korban tidak akan sadar sama sekali.
PHISING WESTPAC BANKING
Contoh lain terjadi pada pelanggan internet banking milik Westpac Banking Corporation, sebuah bank senior di Australia. Modusnya adalah mengirimkan email spam yang berisi seakan-akan situs internet banking mereka akan melakukan upgrade software sistem, sehingga calon korban diminta meng-klik link yang tersedia dalam email tersebut dengan dalih mempermudah akses agar tidak perlu mengetik sendiri alamat yang harus dituju. User yang ceroboh tentunya akan langsung klik saja link yang disediakan, padahal secara tidak sadar link itu tidaklah menuju situs yang dibicarakan, melainkan ke situs jebakan milik penjebak, hanya saja tampilannya situs palsu itu sangat mirip dengan yang asli.
SPEAR PHISISNG GEDUNG PUTIH
Jakarta | Acehtraffic.com – Gedung Putih mengungkapkan adanya penyerang cyber yang diduga dilakukan Pemerintah Cina yang berusaha meretas ke dalam sistem komputer di Kantor Militer Gedung Putih. Kantor ini menjadi tempat perlindungan data sensitif seperti kode peluncuran nuklir.
“Ini adalah serangan ‘spear phishing’ terhadap jaringan yang tidak terklasifikasi. Jenis serangan ini sering terjadi dan kami memiliki langkah-langkah pencegahan,” kata seorang pejabat Gedung Putih yang tak disebutkan namanya, seperti dikutip detikcom dari dailymail.co.uk, Selasa 2 Oktober 2012.
Spear Phishing adalah bentuk umum peretasan dimana seorang hacker akan mengirim email ke suatu sasaran, dan berharap penerima mengklik link download lampiran di dalam email itu untuk memungkinkan perangkat lunak berbahaya menyusup ke komputer penerima.
“Dalam hal ini serangan itu dapat diidentifikasi, karena sistem diisolasi dan tidak ada indikasi apapun yang terjadi pada data (rahasia) secara berlangsung. Selain itu, tidak pernah ada dampak atau percobaan pelanggaran dari setiap sistem rahasia ini,” tuturnya.
Kasus serang hacker ini pertamakali dipublikasikan pada Minggu (30/9) oleh sebuah surat kabar yang kritis terhadap pemerintahan Obama, The Washington Free Beacon. Surat kabar itu menulis bahwa hacker itu terkait dengan Pemerintah Cina.
Serangan hacker serupa yang sebelumnya terjadi pada bulan September itu disebut sebagai contoh lain dari kegagalan pemerintahan Obama untuk menekan Cina atas serangan cyber terus-menerus terjadi.
Menanggapi artikel tersebut, seorang pejabat Gedung Putih yang tidak disebutkan namanya menjelaskan bahwa sementara percobaan peretas itu memang terjadi, tetapi tidak menyebabkan kerusakan apapun karena sistem yang ditargetkan tidak mengandung data sensitif.
Setelah langkah-langkah yang diambil –dan tidak jelas apakah dalam kasus ini–jaringan atau lampiran yang mereka siapkan memungkinkan mendownload perangkat lunak berbahaya yang juga dikenal sebagai malware.
Meskipun tendensi politik atas laporan surat kabar Free Beacon itu jelas, analisa ini dapat dibenarkan bahwa ini bukan pertama kalinya hacker Cina masuk ke dalam (sistem) komunikasi Gedung Putih.
The New York Times sebelumnya juga melaporkan bahwa pada bulan Juni 2011, pejabat Google dan FBI menegaskan bahwa jangkauan serangan ‘spear phishing’ telah terjadi setelah peretas mengarahkan malware terhadap akun Gmail pribadi sejumlah staf Gedung Putih yang tidak diketahui.
Sementara FBI tidak pernah merilis nama, atau bahkan jumlah jumlah staf yang diduga menjadi sasaran dalam serangan itu. Meski dalam hacking terbaru ini, bagaimanapun target itu jauh lebih jelas dan terfokus hanya pada Kantor Militer Gedung Putih.
Kantor Militer sendiri diketahui bertanggung jawab mengatur perjalanan Presiden, mengkoordinasikan panggilan konferensi antar kantor pejabat tinggi pemerintah, dan terutama keamanan yang disebut ‘sepakbola nuklir’, yaitu sebutan untuk perangkat yang berisi dan mengendalikan semua kode peluncuran nuklir.
Presiden Obama pernah menulis dalam Wall Street Journal tahun lalu untuk mendorong upaya lebih baik dalam keamanan digital.
“Sejauh ini, belum ada yang berhasil secara serius merusak atau mengganggu jaringan penting infrastruktur kami (Amerika). Tapi pemerintah asing, sindikat kriminal dan individu tunggal sedang menyelidiki keuangan, energi dan sistem keamanan publik setiap hari, “tulis Obama.
PENANGGULANGAN DAN PENCEGAHAN PHISING
Cara penanggulangan phising dengan memperhatikan dari subject dan content-nya,sebagian sebagai berikut:
VERIFY YOUR ACCOUNT.
jika verify nya meminta username, password dan data lainnya, jangan memberikan reaksi balik. Anda harus selalu ingat password jangan pernah diberikan kepada siapapun. Namun kalau anda mendaftarkan account di suatu situs dan harus memverifikasinya dengan mengklik suatu URL tertentu tanpa minta mengirimkan data macam-macam, lakukan saja, karena ini mekanisme umum.
IF YOU DON’T RESPOND WITHIN 48 HOURS, YOUR ACCOUNT WILL BE CLOSED
jika anda tidak merespon dalam waktu 48 jam, maka akun anda akan ditutup. Harap membaca baik-baik dan tidak perlu terburu-buru. Tulisan di atas wajib anda waspadai karena umumnya hanya “propaganda” agar pembaca semakin panik.
VALUED CUSTOMER
Karena e-mail phising biasanya targetnya menggunakan random, maka e-mail tersebut bisa menggunakan kata-kata ini. Tapi suatu saat mungkin akan menggunakan nama kita langsung, jadi anda harus waspada. Umumnya kebocoran nama karena kita aktif di milis atau forum komunitas tertentu.
CLICK THE LINK BELOW TO GAIN ACCESS TO YOUR ACCOUNT
Metode lain yang digunakan hacker yaitu dengan menampilkan URL Address atau alamat yang palsu. Walaupun wajah webnya bisa jadi sangat menyerupai atau sama, tapi kalau diminta registrasi ulang atau mengisi informasi sensitif, itu patut diwaspadai. misalnya halaman login yahoo mail. Disana Anda akan disuruh memasukkan username dan password email Anda untuk login. Ketika Anda mengklik tombol login maka informasi username dan password Anda akan terkirim ke alamat pengirim email. Jadi email tersebut merupakan jebakan dari pengirim email yang tujuannya untuk mendapatkan password email Anda. Yang lebih rumit lagi, sekarang sudah ada beberapa e-book yang berkeliaran di internet untuk menawarkan teknik menjebol password. Seperti diketahui Password merupakan serangkaian karakter, baik berupa huruf, string, angka atau kombinasinya untuk melindungi dokumen penting. Anda bisa bayangkan jika password email anda Jebol, yang terjadi adalah seluruh data-data akan dapat diketahui, termasuk password Account Internet Banking anda yang verifikasinya biasa masuk melalui email. Maka akan habis uang anda diaccount tersebut
Tidak ada komentar:
Posting Komentar