Email phishing adalah salah satu bentuk penipuan online yang paling umum, dan sering kali tampak meyakinkan. Pesan-pesan ini dirancang untuk memancing Anda agar membagikan informasi atau mengunduh file dengan menyamar sebagai sumber yang tepercaya.
Yang perlu Anda ketahui:
- Email phishing adalah pesan berbahaya yang dirancang untuk mencuri data pribadi, uang, atau akses ke akun.
- Mereka sering menyamar sebagai perusahaan atau orang tepercaya dan menciptakan rasa mendesak agar korban bereaksi cepat.
- Anda bisa mengenali sebagian besar email phishing dengan memeriksa pengirim, tautan, dan permintaan yang diajukan.
- Membuka email phishing tidak selalu langsung merusak, tetapi tindakan cepat dapat mengurangi risiko.
- Melaporkan email phishing meningkatkan perlindungan untuk semua orang dan membantu menghentikan serangan di masa depan.
- Layanan email sementara tersedia untuk kemudahan, tetapi tidak melindungi dari phishing.
Apa itu email phishing?
Sebuah email phishing adalah pesan penipuan yang menyamar sebagai orang atau perusahaan sah untuk menipu penerima. Tujuannya adalah agar orang membagikan informasi atau mengunduh sesuatu yang berbahaya, biasanya melalui tautan.
Tidak semua email palsu atau spam adalah phishing. Banyak spam email hanyalah iklan yang tidak diinginkan. Email phishing berbeda: mereka dirancang untuk menyebabkan kerugian nyata dan sering menargetkan pencurian kata sandi dan pengambilalihan akun. Bahkan rekening bank pun berisiko. Mereka kerap meniru tampilan dan nada email asli sehingga terlihat aman untuk dibuka (dan tekniknya semakin canggih).
Tujuan email phishing adalah memicu tindakan. Jika berhasil membuat Anda mengklik atau memasukkan informasi identitas pribadi (PII), penyerang dapat beralih dari sekadar pesan menjadi pengambilalihan akun atau pencurian data dengan sangat cepat.
Bagaimana email phishing bekerja?
Email phishing bekerja dengan menyamar sebagai pengirim tepercaya dan mendorong Anda melakukan tindakan yang sudah direncanakan penyerang. Ini bisa berupa pengisian data untuk mengklaim “reset” kata sandi atau memverifikasi sesuatu di akun Anda.
Pesan biasanya menciptakan rasa mendesak atau tekanan emosional, misalnya peringatan tentang keamanan akun atau masalah tak terduga. Tekanan ini dimaksudkan agar penerima tidak berpikir kritis atau memeriksa kebenaran permintaan tersebut.
Email phishing sering menyertakan tautan atau lampiran. Tautan dapat mengarah ke halaman masuk palsu yang tampak asli tetapi berfungsi untuk menangkap data Anda. Lampiran bisa memasang malware atau membuka celah untuk serangan lebih lanjut. Setelah Anda bertindak, penyerang dapat memanfaatkan informasi atau akses yang diperoleh untuk melakukan kerusakan tambahan.
Bagaimana cara mengenali email phishing?
Penipu sering sangat pandai membuat email yang terlihat berasal dari perusahaan atau individu sah. Mereka menggunakan logo dan tata letak yang sama seperti pesan resmi. Mengetahui cara memeriksa apakah sebuah email phishing adalah keterampilan penting.
Berguna untuk mengetahui apa yang harus diperiksa sebelum Anda mengklik apa pun.
Ciri-ciri email phishing
Email phishing dirancang untuk membuat Anda melakukan sesuatu. Penyerang biasanya mengincar detail login atau informasi kartu kredit. Mereka mungkin mencoba membuat Anda membuka tautan atau file yang memberi mereka akses.
Untuk mencapai itu, email phishing memadukan unsur kepercayaan dan rasa mendesak. Mereka sering menyamar sebagai perusahaan atau layanan yang Anda kenal, lalu menekan agar Anda segera bertindak. Misalnya, email phishing yang meniru Amazon mungkin menggunakan identitas visual Amazon untuk terlihat asli dan mendorong pengguna memasukkan kata sandi atau detail pembayaran tanpa berpikir panjang.
Dalam banyak kasus, satu interaksi saja sudah cukup. Satu klik atau upaya masuk bisa menyerahkan informasi yang dibutuhkan penyerang untuk bergerak lebih jauh.
Tanda peringatan umum pada email phishing
Beberapa email phishing tampak meyakinkan, tetapi detail kecil sering mengungkapnya. Alamat pengirim atau nama domain mungkin terlihat mirip dengan yang asli tetapi mengandung karakter tambahan atau perubahan halus — misalnya angka nol menggantikan huruf 'o'.
Permintaan tak terduga atau instruksi yang tidak sesuai dengan cara komunikasi resmi perusahaan juga umum terjadi. Pesan yang meminta Anda mengonfirmasi data, memasukkan kata sandi, atau melakukan pembayaran tanpa konteks harus menimbulkan kecurigaan.
Taktik menimbulkan kepanikan adalah sinyal kuat lainnya. Email yang mengancam penutupan akun atau konsekuensi langsung yang berat dirancang untuk membuat Anda bertindak sebelum memverifikasi kebenaran pesan.
Cara memeriksa tautan dan lampiran dengan aman
Tautan dalam email phishing sering menyembunyikan tujuan sebenarnya. Teksnya mungkin terlihat seperti alamat situs resmi, tetapi tautan sebenarnya dapat mengarah ke halaman masuk palsu atau situs berbahaya.
Lampiran yang tidak diharapkan sangat berisiko. Bahkan jenis file yang umum pun dapat digunakan untuk memasang malware atau memicu tindakan tak aman setelah dibuka. Jarang sekali perusahaan sah meminta Anda mengunduh sesuatu tanpa pemberitahuan sebelumnya. Pikirkan dari mana permintaan itu berasal sebelum Anda bertindak.
Langkah paling aman adalah menghindari mengklik tautan atau membuka file langsung dari email. Sebagai gantinya, buka situs resmi atau aplikasi yang biasa Anda gunakan dan periksa pesan atau pemberitahuan di sana.
Apa yang perlu diperhatikan pada perangkat seluler?
Email phishing sering lebih sulit dikenali di ponsel. Aplikasi email sering menyembunyikan alamat pengirim secara penuh, dan URLs yang panjang bisa terpotong sehingga sengaja menyulitkan pemeriksaan.
Karena itu, lebih aman memverifikasi pesan melalui aplikasi resmi atau situs resmi yang sudah Anda simpan daripada berinteraksi langsung di layar kecil. Jika terasa janggal, beralih perangkat atau memeriksa nanti dapat mencegah klik tidak sengaja.
Lindungi dari Email Phishing
Kaspersky Premium dapat membantu dengan menandai perilaku mencurigakan dan melindungi akun dari waktu ke waktu.
Coba Kaspersky Premium GratisJenis email phishing yang paling umum?
Kebanyakan email phishing mengikuti beberapa pola umum. Mengetahui pola ini memudahkan mengenali penipuan dengan cepat, bahkan ketika pesan tampak profesional.
Email phishing yang menargetkan akun dan login
Email ini menyamar sebagai peringatan keamanan atau pemberitahuan reset kata sandi. Mereka mengklaim ada masalah pada akun Anda dan mendorong Anda mengklik tautan untuk “memperbaikinya”, yang mengarah ke halaman masuk palsu.
Email phishing terkait pembayaran, faktur, dan pengiriman
Pesan semacam ini melibatkan uang atau paket. Mereka mungkin menyertakan faktur palsu atau permintaan pembayaran. Beberapa menampilkan pemberitahuan pengembalian dana atau pembaruan pengiriman yang meminta pembayaran atau data pribadi untuk menyelesaikan masalah yang sebenarnya tidak ada. Ini bisa digunakan untuk pencurian identitas atau pencurian langsung dana.
Phishing terarah dan peniruan identitas
Salah satu jenis phishing terarah yang disebut spear phishing memanfaatkan data pribadi agar terdengar meyakinkan. Penipuan yang meniru eksekutif meniru nada manajer atau rekan kerja untuk menekan penerima agar segera bertindak sambil terlihat lebih sah.
Contoh email phishing
Melihat bagaimana email phishing biasanya disusun membuat tanda bahaya lebih mudah dikenali. Meskipun kata-kata dan merek berubah, banyak penipuan mengikuti pola dasar yang sama.
Seperti apa tampilan email phishing?
Email ini sering terdiri dari:
- Logo perusahaan atau unsur identitas visual lain
- Pesan singkat yang menjelaskan masalah palsu (masalah keamanan, pengiriman tertunda)
- Aksi yang jelas seperti tombol atau tautan
Seperti disebutkan, bahasanya biasanya mendesak dan langsung, dirancang untuk mendorong Anda segera mengklik atau membalas.
Setelah Anda memahami strukturnya, email phishing menjadi lebih mudah dikenali.
Contoh email phishing di dunia nyata
Sayangnya, banyak contoh pesan semacam ini beredar. Banyak kampanye phishing menggunakan nama merek terkenal karena orang sudah mempercayainya.
- Email phishing DocuSign: Penipuan umum yang mengatasnamakan DocuSign mengklaim Anda menerima dokumen yang perlu ditinjau segera. Tautan mengarah ke halaman masuk palsu yang dirancang untuk mencuri kredensial.
- Email phishing PayPal: Email phishing yang meniru PayPal sering memperingatkan aktivitas mencurigakan atau pembayaran yang tidak sah, mendorong Anda untuk “mengamankan” akun dengan cepat.
- Penipuan pengiriman FedEx: Skema phishing FedEx populer pada 2025 biasanya mengklaim paket tertunda atau memerlukan biaya, menggunakan bahasa pelacakan agar terasa sah dan berasal dari domain yang sedikit dimodifikasi dari situs FedEx.
- Peniruan Apple dan iCloud: Email phishing yang meniru Apple mungkin memperingatkan masalah penyimpanan atau penangguhan akun untuk mendorong tindakan cepat.
- Penipuan perpanjangan langganan: Dilaporkan luas tahun lalu, email-email ini mengklaim langganan McAfee Anda akan berakhir atau diperpanjang secara otomatis, sering menyertakan faktur dan nomor telepon palsu. Ada juga popup berlabel McAfee yang memperingatkan infeksi. Semuanya menimbulkan rasa mendesak.
- Upaya phishing Geek Squad: Geek Squad adalah layanan dukungan teknis Best Buy dan email dari penipu yang menyamar sebagai mereka mungkin memperingatkan metode pembayaran yang akan kedaluwarsa atau tindakan yang diperlukan agar perlindungan tetap berlaku.
- Peringatan keamanan akun Microsoft: Email phishing semacam ini mengklaim ada aktivitas masuk yang tidak biasa atau masalah keamanan pada akun Microsoft, mendorong penerima untuk “memverifikasi” identitas atau mengamankan akun melalui tautan yang mengarah ke halaman masuk palsu.
Email phishing juga sering menyamar sebagai bank, lembaga pemerintah, dan pengecer besar seperti Amazon. Mereka memanfaatkan otoritas dan rasa familiar untuk menghindari kecurigaan. Memiliki pemahaman tentang sensitivitas informasi penting untuk menjaga data tetap aman.
Apa yang terjadi jika Anda membuka email phishing?
Membuka email phishing dapat mengekspos Anda pada pelacakan dan penargetan lebih lanjut, tetapi tidak selalu berarti akun Anda langsung dikompromikan.
Beberapa email menyertakan pixel pelacak yang mengonfirmasi alamat Anda aktif, yang bisa memicu lebih banyak percobaan phishing. Lainnya dirancang untuk mendorong pesan tindak lanjut atau panggilan setelah mengetahui seseorang telah membuka email. Risiko nyata biasanya dimulai ketika Anda mengklik tautan, mengunduh file, atau membagikan informasi.
Apa yang harus dilakukan jika Anda membuka email phishing
Jika Anda hanya membuka email dan tidak berinteraksi, tutup dan hindari mengklik apa pun. Tandai sebagai phishing atau spam agar penyedia email Anda dapat memblokir pesan serupa di masa depan.
Jika Anda mengklik tautan atau melakukan tindakan yang diinginkan penipu, seperti mengunduh sesuatu, bertindak cepat. Ganti kata sandi untuk akun yang mungkin terpengaruh, dimulai dari email. Jalankan pemindaian keamanan pada perangkat Anda dan pantau aktivitas yang tidak biasa.
Hubungi bank atau penyedia layanan jika detail pembayaran dibagikan atau jika email terkait akun keuangan.
Cara melaporkan email sebagai phishing
Melaporkan email phishing membantu melindungi Anda dan orang lain dengan memblokir penipuan serupa sebelum menyebar lebih luas. Dalam banyak kasus, melaporkan lebih berguna daripada sekadar menghapus karena pelaporan meningkatkan filter dan memperingatkan perusahaan yang namanya disalahgunakan tentang kampanye aktif.
Jika sebuah email tampak meyakinkan atau menyamar sebagai layanan nyata, melaporkannya dapat mencegah serangan selanjutnya dan mengurangi kemungkinan Anda menjadi target ulang.
Cara melaporkan email phishing ke layanan besar:
Outlook / Microsoft
Bagaimana melaporkan email phishing di Outlook? Pertama, pilih pesan, pilih Laporkan, lalu Phishing. Anda juga dapat meneruskannya ke phish@office365.microsoft.com. Ini berlaku untuk email phishing Microsoft apa pun yang Anda terima.
Amazon
Teruskan pesan tersebut ke reportascam@amazon.com tanpa mengklik tautan apa pun. Amazon akan menyelidiki dan memblokir penipuan serupa.
PayPal
Teruskan pesan mencurigakan ke phishing@paypal.com. Email phishing yang meniru PayPal sering mengklaim ada masalah pada akun atau pembayaran.
Apple / iCloud
Teruskan email phishing ke reportphishing@apple.com atau abuse@icloud.com. Anda juga dapat menyertakan tangkapan layar atau bukti lain.
Netflix
Teruskan setiap email phishing yang mengatasnamakan Netflix ke phishing@netflix.com. Penipuan Netflix sering menyebut kegagalan pembayaran atau penangguhan akun.
Pelaporan hanya memakan beberapa detik dan membantu menghentikan kampanye phishing agar tidak menjangkau lebih banyak orang.
Bagaimana melindungi diri dari email phishing dalam jangka panjang?
Perlindungan jangka panjang berasal dari kesadaran ditambah beberapa kebiasaan sederhana yang mengurangi risiko sebelum email phishing bisa menyebabkan kerugian.
Saat menerima email mencurigakan, berhenti sejenak dan hindari mengklik tautan atau membuka lampiran. Verifikasi pesan melalui aplikasi resmi atau situs resmi yang sudah Anda simpan daripada menggunakan email itu sendiri. Anggap permintaan tak terduga sebagai alasan untuk memeriksa keasliannya. Berpikir curiga sebenarnya bisa sangat membantu!
Kata sandi yang kuat dan unik serta otentikasi multi-faktor menambah lapisan perlindungan. Bahkan jika kata sandi bocor, MFA dapat mencegah penyerang mengakses akun Anda. Memperbarui perangkat dan perangkat lunak juga penting, karena pembaruan menutup celah keamanan yang sering dimanfaatkan kampanye phishing.
Perangkat lunak keamanan juga memberi Anda lapisan perlindungan tambahan yang tangguh dengan memblokir malware dan melindungi identitas Anda secara online. Fitur seperti perlindungan identitas dan pemantauan kebocoran data waktu nyata memberi ketenangan lebih.
Artikel terkait:
- Bagaimana cara mengidentifikasi penipuan phishing secara efektif?
- Apa perbedaan antara spam dan phishing?
- Apa yang perlu Anda ketahui tentang serangan spear phishing?
- Apa tanda utama serangan smishing?
Produk yang direkomendasikan:
Pertanyaan yang Sering Diajukan
Dapatkah email saya diretas hanya dengan membuka email?
Biasanya tidak. Hanya membuka email tidak memberi akses kepada penyerang, tetapi berinteraksi dengan tautan atau file bisa menimbulkan risiko.
Bagaimana jika saya membuka email phishing tetapi tidak mengklik apa pun?
Kemungkinan Anda aman. Tutup email tersebut, jangan berinteraksi, dan tandai sebagai phishing agar pesan serupa diblokir.
Apakah sebaiknya Anda hanya menghapus email phishing?
Hapus setelah melapor. Pelaporan membantu melindungi orang lain dan meningkatkan filter email; menghapus saja tidak cukup.
