
Phishing adalah salah satu cara paling umum yang digunakan penjahat siber untuk mendapatkan akses ke akun dan data pribadi. Taktik ini mengandalkan teknik penipuan, bukan keterampilan teknis atau peretasan.
Penyerang berpura-pura menjadi organisasi atau orang tepercaya dan menekan korban agar mengeklik tautan, mengunduh file berbahaya, atau memasukkan informasi sensitif.
Mempelajari cara kerja phishing (dan cara mengenali penipuan phishing) dapat mencegah pengambilalihan akun atau pencurian identitas yang berdampak pada kehidupan dan keuangan Anda.
Yang perlu Anda ketahui:
- Phishing adalah kategori penipuan yang meniru sumber tepercaya untuk menipu orang agar membagikan informasi sensitif atau memasang malware
- Email, pesan teks, panggilan telepon, dan media sosial adalah metode umum penyampaian serangan phishing
- Sebagian besar serangan siber dimulai dari phishing. Ini merupakan titik masuk utama bagi kebocoran data dan pengambilalihan akun
- Rasa urgensi dan ketakutan adalah taktik utama, misalnya peringatan tentang penangguhan akun atau tagihan yang belum dibayar
- Kebiasaan sederhana seperti memverifikasi tautan dan mengaktifkan autentikasi multi-faktor (MFA) dapat secara signifikan mengurangi risiko
Apa itu phishing?
Phishing adalah jenis serangan siber ketika penjahat menyamar sebagai orang atau organisasi tepercaya untuk menipu pengguna agar mengungkapkan informasi sensitif atau memasang perangkat lunak berbahaya.
Tujuannya biasanya mencuri kredensial login atau data pribadi, tetapi phishing juga dapat digunakan untuk menyebarkan malware atau mendapatkan akses ke akun. Serangan ini sering datang dalam bentuk email atau pesan yang tampak sah sekilas tetapi dirancang untuk menipu penerimanya.
Karena phishing menargetkan perilaku manusia, ini tetap menjadi salah satu cara paling umum bagi penyerang untuk mendapatkan akses awal ke akun, perangkat, atau sistem. Penyerang mencoba mendapatkan akses melalui satu pesan phishing lalu bergerak lebih dalam ke akun atau sistem untuk mencuri data atau melakukan penipuan.
Phishing secara luas dianggap sebagai jenis kejahatan siber yang paling umum. Laporan Kejahatan Internet FBI menunjukkan jumlah laporan phishing dan serangan spoofing dua kali lebih banyak dibandingkan bentuk penipuan lainnya.
Bagaimana cara kerja phishing?
Phishing bekerja dengan membuat permintaan palsu terlihat nyata, lalu mengarahkan korban untuk melakukan tindakan yang memberikan akses kepada penyerang ke uang atau informasi pribadi berharga.
Serangan phishing khas mengikuti pola ini:
- Penyamaran. Penyerang berpura-pura menjadi sumber tepercaya. Ini bisa berupa bank atau pemberi kerja.
- Kontak. Pesan datang melalui email atau saluran lain dan sering menggunakan branding yang familier atau detail pengirim yang disamarkan.
- Interaksi. Korban diminta mengeklik tautan, membuka lampiran, membalas dengan informasi, atau login melalui situs palsu.
- Pengambilan data. Halaman atau file palsu dapat mengumpulkan kata sandi dan informasi sensitif lainnya.
- Penyalahgunaan. Penyerang menggunakan informasi tersebut untuk melakukan serangan. Ini bisa berupa pengambilalihan akun atau pencurian identitas.
Bahaya utamanya adalah phishing sering terlihat sah. Halaman login palsu bisa terlihat hampir identik dengan yang asli. Email yang disamarkan dapat menggunakan logo dan nada yang sama seperti merek yang Anda kenal. Karena itu, tampilan visual saja tidak cukup untuk menentukan apakah sebuah pesan aman.
Mengapa serangan phishing berhasil?
Phishing berhasil karena menargetkan perilaku manusia. Penyerang tahu apa yang membuat orang bertindak. Mereka mengandalkan tekanan atau membangun kepercayaan yang kemudian disalahgunakan.
Peringatan mendesak tentang penutupan akun, tagihan belum dibayar, login mencurigakan, atau kiriman yang tertunda dirancang untuk mengurangi kehati-hatian. Faktor otoritas juga berperan. Pesan yang tampak berasal dari bank atau lembaga pemerintah terasa lebih sulit untuk dipertanyakan.
Bahkan orang yang melek teknologi pun bisa terdampak. Ini terutama benar saat mereka sedang terdistraksi atau menghadapi pesan yang terasa pribadi. Phishing bekerja ketika menciptakan momen di mana bereaksi terasa lebih mudah daripada memverifikasi atau meluangkan waktu untuk memeriksa.
Jenis serangan phishing apa saja yang ada?
Serangan phishing dapat dikelompokkan berdasarkan bagaimana pesan dikirimkan dan seberapa spesifik target dipilih. Beberapa serangan adalah kampanye luas yang dikirim ke ribuan orang sekaligus, sementara yang lain disesuaikan dengan cermat untuk individu atau organisasi tertentu.
Memahami kategori ini membantu pengguna mengenali ancaman dengan cepat dan merespons dengan tepat, apa pun saluran yang digunakan.
Apa saja serangan phishing yang paling umum?
Serangan ini mengandalkan saluran komunikasi yang banyak digunakan dan biasanya didistribusikan dalam jumlah besar.
- Email phishing menggunakan pesan massal yang menyamar sebagai merek atau layanan tepercaya untuk mengumpulkan kredensial login atau data pribadi
- Smishing menggunakan pesan teks (SMS) untuk mendorong penerima mengeklik tautan, menelepon nomor tertentu, atau membagikan informasi sensitif
- Vishing menggunakan panggilan telepon atau pesan suara di mana penyerang menyamar sebagai staf dukungan, bank, atau lembaga pemerintah
- Quishing menggunakan kode QR berbahaya yang mengarahkan pengguna ke situs web palsu atau memicu unduhan tidak aman
Metode-metode ini umum karena mudah diskalakan dan dapat menjangkau banyak audiens dengan cepat.
Apa itu serangan phishing tingkat lanjut?
Serangan phishing tingkat lanjut berfokus pada target spesifik atau menggunakan teknik yang lebih canggih untuk meningkatkan kredibilitas dan melewati pertahanan dasar.
- Spear phishing menargetkan individu atau kelompok tertentu dengan menggunakan informasi yang dipersonalisasi
- Whaling menargetkan eksekutif senior atau pengambil keputusan yang memiliki akses ke data sensitif atau kewenangan finansial
- Business Email Compromise (BEC) melibatkan penyamaran sebagai kontak bisnis tepercaya untuk meminta pembayaran atau informasi sensitif
- Clone phishing menyalin pesan yang sah dan mengganti tautan atau lampiran dengan versi berbahaya
- Pharming mengarahkan pengguna ke situs web palsu dengan memanipulasi pengaturan teknis seperti konfigurasi domain atau jaringan
Seperti apa tampilan pesan phishing?
Pesan phishing sering terlihat seperti email, pesan teks, permintaan tempat kerja, atau peringatan akun yang sah, yang dirancang untuk meyakinkan penerima bahwa komunikasinya asli.
Banyak pesan phishing meniru merek tepercaya dengan sangat mirip, tetapi permintaan yang tidak biasa, lampiran tak terduga, atau tautan ke domain yang tidak dikenal tetap dapat menandakan penipuan.
Berikut skenario dunia nyata yang umum dihadapi pengguna:
- Pemberitahuan pengiriman mengklaim paket tidak dapat dikirim dan meminta Anda mengeklik tautan untuk mengonfirmasi alamat.
- Peringatan bank memperingatkan aktivitas mencurigakan dan mengarahkan Anda untuk segera login guna mengamankan akun.
- Pesan tempat kerja tampak berasal dari manajer yang meminta pembayaran atau dokumen mendesak.
- Email reset kata sandi datang tiba-tiba, meminta Anda memverifikasi akun melalui tautan yang disediakan.
- Pesan teks dari penyedia layanan mengatakan akun Anda akan ditangguhkan kecuali Anda mengonfirmasi detail penagihan.
- Sebuah kode QR pada poster atau email meminta Anda memindainya untuk mengklaim diskon atau memperbarui informasi akun.
Pesan-pesan ini sering terlihat normal karena menyalin pola komunikasi nyata yang dilihat orang setiap hari.
Bagaimana cara mengenali upaya phishing?
Anda dapat mengenali upaya phishing dengan mencari permintaan yang tidak biasa, urgensi yang tak terduga, tautan mencurigakan, atau pesan yang tidak sesuai dengan perilaku normal pengirim.
Gunakan kerangka keputusan ini:
- Apakah pesan ini diharapkan? Permintaan tak terduga untuk kata sandi atau verifikasi adalah tanda peringatan umum.
- Apakah ada tekanan untuk segera bertindak? Tenggat mendesak, ancaman, atau peringatan sering digunakan untuk mengurangi kehati-hatian.
- Apakah permintaan melibatkan informasi sensitif? Organisasi resmi jarang meminta kata sandi atau detail keuangan melalui email atau pesan teks.
- Apakah pesan meminta verifikasi, pembayaran, kredensial login, atau informasi sensitif? Permintaan tak terduga yang melibatkan tindakan sensitif adalah taktik phishing yang umum.
- Apakah pengirim sesuai dengan konteks? Periksa apakah pesan masuk akal untuk situasinya, bukan hanya apakah nama atau logo terlihat benar.
- Dapatkah Anda memverifikasi permintaan melalui saluran lain? Hubungi organisasi secara langsung menggunakan detail kontak resmi jika ada yang terasa tidak biasa.
Respons paling aman adalah berhenti sejenak dan memverifikasi sebelum mengambil tindakan.
Apa yang perlu Anda cek sebelum berinteraksi dengan sebuah pesan?
Sebelum berinteraksi sama sekali, jalankan daftar periksa verifikasi singkat.
- Konfirmasikan identitas pengirim. Periksa apakah alamat email, nomor telepon, atau domain cocok dengan detail kontak resmi organisasi. Perubahan ejaan kecil atau domain yang tidak biasa adalah tanda peringatan umum.
- Periksa apakah URL sesuai dengan domain resmi organisasi. Koneksi HTTPS yang aman dan sertifikat SSL mengenkripsi komunikasi, tetapi tidak menjamin bahwa sebuah situs web adalah sah.
- Pertanyakan urgensi yang tak terduga. Pesan yang menuntut tindakan segera, mengancam konsekuensi, atau menciptakan tekanan untuk cepat merespons harus diperlakukan dengan hati-hati.
- Jika salah satu pemeriksaan ini menimbulkan keraguan, berhenti sejenak dan verifikasi permintaan melalui saluran resmi sebelum melanjutkan.
Apa yang tidak akan pernah diminta oleh perusahaan resmi?
Organisasi resmi harus mengikuti praktik keamanan yang ketat dan tidak meminta tindakan sensitif melalui saluran informal atau tidak aman.
- Mereka tidak akan pernah meminta detail sensitif (kata sandi, PIN, atau kode keamanan lengkap) melalui email atau telepon.
- Mereka tidak akan pernah menuntut pembayaran atau transfer mendesak tanpa verifikasi yang tepat dan prosedur yang sudah ditetapkan.
- Mereka tidak akan pernah meminta Anda melewati kontrol keamanan seperti menonaktifkan perlindungan atau membagikan kode satu kali.
Anggap tindakan-tindakan ini mencurigakan dan verifikasi permintaan secara mandiri sebelum merespons.
Bagaimana phishing berkembang?
Phishing bergeser ke kampanye yang ditargetkan dan berbasis data yang menggunakan informasi nyata tentang korban. Penyerang kini menggabungkan kredensial yang bocor dan alat otomatis untuk membuat pesan yang terasa lebih meyakinkan dan lebih sulit dideteksi.
Teknologi juga mengubah cara phishing dikirimkan. Penyerang semakin sering menggunakan beberapa saluran sekaligus: pesan teks, aplikasi perpesanan, panggilan telepon, media sosial... dan seterusnya. Pendekatan ini meningkatkan peluang korban akan merespons.
Otomasi memainkan peran besar dalam evolusi ini. Operasi phishing modern dapat mengirim ribuan pesan yang disesuaikan dalam hitungan menit. Mereka dapat menguji versi mana yang berhasil dan cepat menyesuaikan taktik. Inti penipuannya tetap sama, tetapi alat yang digunakan untuk membuat dan mengirimkan serangan phishing menjadi semakin canggih.
Bagaimana AI digunakan dalam serangan phishing?
AI memungkinkan penyerang membuat pesan yang lebih meyakinkan dengan usaha lebih sedikit. Alat AI dapat menghasilkan bahasa yang realistis dan menyesuaikan pesan untuk individu tertentu menggunakan informasi yang tersedia untuk publik.
AI juga menghilangkan banyak tanda peringatan tradisional yang dulu membantu pengguna melihat penipuan. Ini termasuk hal-hal seperti tata bahasa yang buruk atau pilihan kata yang tidak biasa. Teknologi AI juga memungkinkan penyerang untuk dengan cepat memperluas skala kampanye. Mereka dapat mengirim volume besar pesan yang dipersonalisasi di berbagai platform.
Teknik phishing baru apa yang muncul?
Phishing meluas melampaui email tradisional menjadi serangan terkoordinasi multi-saluran yang mengikuti korban di berbagai perangkat dan metode komunikasi.
- Phishing multisaluran menggabungkan email, SMS, panggilan suara, dan aplikasi perpesanan untuk meningkatkan kredibilitas dan kegigihan
- Peniruan deepfake menggunakan suara atau video sintetis untuk meniru individu tepercaya, seperti manajer, rekan kerja, atau anggota keluarga.
- Phishing kode QR (quishing) menggunakan kode berbahaya untuk mengarahkan pengguna ke situs web palsu atau memicu unduhan tidak aman
Teknik-teknik ini mencerminkan tren yang lebih luas: phishing menjadi lebih adaptif dan lebih sulit dikenali hanya dengan petunjuk visual sederhana.
Phishing modern memerlukan perlindungan berlapis, menggabungkan perilaku yang berhati-hati dengan alat keamanan yang dapat mendeteksi tautan, file, dan situs web berbahaya.
Lindungi privasi Anda
Kaspersky Premium menawarkan berbagai alat yang dirancang untuk melindungi perangkat Anda dari serangan Phishing, memantau kebocoran data, dan menjaga aktivitas Anda tetap privat.
Coba Premium GratisApa yang terjadi jika Anda terjebak penipuan phishing?
Dampak penipuan phishing bergantung pada informasi apa yang dibagikan dan seberapa cepat penyerang bertindak.
Hasil yang umum adalah pengambilalihan akun. Penyerang menggunakan kredensial curian untuk mengakses akun Anda. Ini termasuk email dan media sosial, akun belanja, atau perbankan. Setelah masuk, mereka dapat mengganti kata sandi, mengirim pesan dari akun, atau menggunakannya untuk mereset akses ke layanan lain.
Kerugian finansial adalah hasil umum lainnya. Penyerang dapat melakukan pembelian tidak sah atau membuka akun baru menggunakan detail yang dicuri. Bahkan potongan kecil informasi dapat digabungkan untuk melakukan pencurian identitas atau penipuan di kemudian hari.
Dampak jangka panjang dapat mencakup paparan privasi yang berkelanjutan, skor kredit yang terdampak, dan upaya penipuan berulang. Data yang dicuri sering kali digunakan kembali, dibagikan, atau dijual, sehingga korban dapat menghadapi risiko berbulan-bulan atau bahkan bertahun-tahun setelah insiden awal.
Apa yang harus Anda lakukan jika menerima pesan phishing?
Respons paling aman terhadap pesan phishing adalah berhenti sejenak dan menanganinya dengan hati-hati. Bertindak cepat tanpa berinteraksi dengan pesan membantu mengurangi risiko kompromi.
- Jangan mengeklik tautan, membuka lampiran, atau membalas pesan
- Jika pesan tampak menargetkan organisasi nyata, hubungi perusahaan tersebut langsung melalui situs web resmi atau saluran dukungan resminya.
- Simpan pesan jika Anda perlu melaporkannya, tetapi hindari berinteraksi dengan tautan atau lampirannya.
- Hapus pesan atau tandai sebagai spam setelah Anda memastikan bahwa pesan tersebut palsu
- Laporkan pesan ke penyedia email Anda atau tim keamanan di tempat kerja jika relevan
- Blokir pengirim
Proses ini membantu mencegah interaksi yang tidak disengaja dan mengurangi kemungkinan penipuan serupa menjangkau orang lain.
Apa yang harus dilakukan jika Anda mengeklik tautan phishing?
Mengeklik tautan phishing tidak selalu berarti perangkat atau akun Anda telah dikompromikan, tetapi memang meningkatkan risiko. Prioritasnya adalah bertindak cepat untuk membatasi potensi kerusakan dan mengamankan informasi Anda.
Respons Anda harus berfokus pada penguncian akun dan memeriksa aktivitas yang tidak sah. Setelah itu, Anda dapat fokus mengurangi kemungkinan penyalahgunaan lebih lanjut. Tindakan dini dapat mencegah penyerang mengambil alih akun dan informasi Anda.
Apa yang harus Anda lakukan segera?
Lakukan langkah-langkah ini sesegera mungkin, dimulai dari akun yang paling mungkin terdampak.
- Ubah kata sandi untuk akun yang terdampak dan akun lain mana pun yang menggunakan kredensial yang sama atau serupa
- Aktifkan autentikasi multi-faktor (MFA) untuk memblokir login tidak sah, bahkan jika kata sandi terekspos
- Hubungi bank atau penyedia layanan Anda jika detail finansial atau akun sensitif mungkin telah dimasukkan
Tindakan ini membantu mengamankan akses dengan cepat dan membatasi kemampuan penyerang menggunakan informasi yang dicuri.
Bagaimana cara mengurangi risiko yang berkelanjutan?
Respons awal hanyalah satu bagian dari persamaan. Anda perlu terus memantau dan mengamankan perangkat serta akun untuk mendeteksi aktivitas yang tertunda atau tersembunyi.
- Jalankan pemindaian keamanan pada perangkat untuk memeriksa malware atau perangkat lunak yang tidak sah
- Pantau akun dan laporan transaksi untuk login atau perubahan yang tidak dikenal
- Laporkan insiden ke otoritas atau organisasi terkait jika data pribadi atau finansial mungkin telah dikompromikan
Kewaspadaan berkelanjutan penting karena data yang dicuri dapat digunakan beberapa hari atau minggu setelah upaya phishing awal.
Bagaimana cara mencegah serangan phishing?
Pencegahan phishing memerlukan kombinasi kebiasaan sehari-hari dan teknologi perlindungan. Sebagian besar serangan yang berhasil bergantung pada keputusan yang terburu-buru atau keamanan akun yang lemah, sehingga rutinitas yang konsisten dan pengaman membuat perbedaan besar.
Kebiasaan apa yang mengurangi risiko phishing?
Kebiasaan sederhana dapat mengurangi paparan terhadap upaya phishing dan membuat pesan mencurigakan lebih mudah diidentifikasi. Mengenali bagaimana tautan phishing disamarkan membantu pengguna menghindari salah satu jalur paling umum menuju pencurian kredensial.
- Jadikan verifikasi mandiri sebagai kebiasaan rutin untuk permintaan yang tidak terduga
- Hindari bertindak di bawah tekanan. Persentase besar pesan phishing menciptakan urgensi atau menuntut tindakan segera
- Perlakukan komunikasi yang tidak terduga sebagai sesuatu yang mencurigakan, terutama jika meminta informasi sensitif atau tindakan yang tidak biasa
Kebiasaan ini membantu pengguna berhenti sejenak dan mengevaluasi risiko sebelum berinteraksi.
Langkah keamanan apa yang memberikan perlindungan kuat?
Perlindungan teknis menambahkan lapisan pertahanan tambahan dan membantu memblokir serangan bahkan ketika pesan phishing terlihat meyakinkan.
- Gunakan autentikasi multi-faktor (MFA) untuk mencegah akses akun yang tidak sah
- Aktifkan perlindungan bawaan dari penyedia seperti Google, Apple, dan Microsoft, termasuk peringatan keamanan dan verifikasi login
- Gunakan perangkat lunak keamanan siber tepercaya untuk mendeteksi tautan berbahaya, lampiran, dan aktivitas mencurigakan
Langkah-langkah ini mengurangi kemungkinan satu kesalahan berujung pada pengambilalihan akun.
Apa aturan terpenting untuk menghindari phishing?
Verifikasi sebelum bertindak.
Jika sebuah pesan meminta informasi atau tindakan mendesak (atau lebih buruk lagi, uang), konfirmasikan permintaan tersebut melalui sumber tepercaya sebelum merespons. Langkah verifikasi singkat sering kali cukup untuk menghentikan serangan phishing sebelum berhasil.
Artikel terkait:
- Bagaimana Anda sebaiknya menangani serangan phishing secara efektif?
- Apa saja bahaya utama serangan spear phishing?
- Apa bahaya serangan spam phishing?
- Bagaimana Anda dapat mengidentifikasi email phishing secara efektif?
Produk yang direkomendasikan:
FAQ
Mengapa email phishing terlihat begitu nyata?
Email phishing tampak meyakinkan karena penyerang menyalin logo dan bahasa asli yang biasa Anda lihat dari perusahaan tepercaya. Mereka juga dapat menggunakan data curian atau alat AI untuk mempersonalisasi pesan dan menghilangkan kesalahan yang mencolok.
Apakah Anda bisa menerima pesan phishing di media sosial?
Ya. Phishing dapat terjadi di media sosial melalui pesan langsung, profil palsu, atau postingan yang berisi tautan berbahaya. Penyerang sering menyamar sebagai teman atau merek populer untuk mendapatkan kepercayaan.
Mengapa saya tiba-tiba menerima banyak email phishing?
Peningkatan mendadak email phishing dapat terjadi jika alamat Anda terekspos dalam kebocoran data atau ditambahkan ke daftar spam. Penyerang juga dapat mengirim kampanye besar-besaran ke banyak orang sekaligus.
Bisakah perangkat diretas hanya dengan membuka email phishing?
Dalam kebanyakan kasus, hanya membuka email tidak cukup untuk mengompromikan perangkat. Risiko biasanya dimulai saat pengguna mengeklik tautan berbahaya, mengunduh file, atau memasukkan informasi sensitif.
