Apa Itu Smishing dan Cara Menjaga Diri Darinya

Arti dan definisi smishing

Smishing adalah jenis serangan siber phishing yang dilakukan melalui pesan teks, atau disebut juga phishing SMS.

Sebagai varian dari phishing, korban diperdaya untuk memberikan informasi sensitif kepada penyerang yang menyamar. Phishing SMS sering kali dibantu oleh malware atau situs web palsu. Ini dapat terjadi di berbagai platform pesan teks seluler, termasuk aplikasi pesan berbasis data non-SMS.

Apa itu Smishing?

Sebagaimana tertera dalam definisinya, istilah "smishing" menggabungkan "SMS" (short message services/layanan pesan singkat atau teks) dan "phishing." Lebih jauh lagi, smishing dikategorikan sebagai jenis serangan rekayasa sosial yang memanfaatkan rasa percaya manusia daripada celah teknis.

Saat melakukan "phishing," penjahat siber mengirim email palsu untuk menipu penerima agar mengklik tautan berbahaya. Smishing bekerja dengan cara serupa, namun melalui pesan teks.

Tujuannya adalah untuk mencuri data pribadi Anda, yang bisa mereka gunakan untuk melakukan penipuan atau kejahatan siber lainnya. Biasanya, targetnya adalah pencurian uang — umumnya uang Anda, namun terkadang juga uang perusahaan Anda.

Penjahat siber sering menggunakan dua metode utama untuk mencuri data ini:

1. Malware: Tautan URL smishing dapat menipu Anda untuk mengunduh malware— perangkat lunak berbahaya — yang akan terinstal secara otomatis di ponsel. Malware SMS ini bisa menyamar sebagai aplikasi asli dan menipu Anda agar memasukkan informasi rahasia yang kemudian dikirimkan ke penjahat siber.
2. Situs web berbahaya: Tautan dalam pesan smishing bisa membawa Anda ke situs palsu yang meminta informasi pribadi sensitif. Penjahat siber menggunakan situs-situs palsu kustom yang dirancang untuk meniru situs tepercaya agar lebih mudah mencuri informasi Anda.

Pesan smishing sering kali berpura-pura berasal dari bank Anda dan meminta informasi pribadi atau keuangan seperti nomor rekening atau ATM. Memberikan informasi ini sama saja dengan menyerahkan akses saldo bank Anda kepada pencuri.

Makin banyak orang menggunakan smartphone pribadi untuk bekerja (tren BYOD, atau "bring your own device"), sehingga smishing menjadi ancaman bagi bisnis dan konsumen. Tidak heran jika smishing menjadi salah satu bentuk pesan teks berbahaya yang paling umum.

Kejahatan siber yang menargetkan perangkat seluler makin meningkat seiring meningkatnya penggunaan perangkat seluler. Selain karena pesan teks adalah salah satu penggunaan utama smartphone, ada beberapa faktor lain yang membuat ancaman ini makin sulit dideteksi. Untuk menjelaskan lebih jauh, mari kita lihat cara kerja serangan smishing.

Bagaimana cara kerja Smishing?

Penipuan dan kebohongan adalah inti dari serangan phishing SMS. Saat penyerang menyamar sebagai seseorang atau lembaga yang Anda percaya, Anda lebih mungkin mengikuti permintaannya.

Dengan prinsip-prinsip rekayasa sosial, penyerang smishing dapat memanipulasi keputusan korban. Ada tiga faktor utama yang mendukung penipuan ini:

1. Kepercayaan: Dengan menyamar sebagai individu atau organisasi ASLI, penjahat siber menurunkan rasa skeptis korban. Teks SMS sebagai saluran komunikasi yang lebih pribadi juga menurunkan pertahanan seseorang terhadap ancaman.
2. Konteks: Menggunakan situasi yang relevan dengan target membuat penyamaran penyerang lebih meyakinkan. Pesan yang terkesan pribadi membantu mengurangi kecurigaan bahwa itu mungkin adalah spam.
3. Emosi: Dengan memicu emosi target, penyerang bisa menurunkan pemikiran kritis target dan mendorong mereka untuk segera bertindak.

Penyerang menggunakan metode ini untuk menulis pesan yang mendorong penerima untuk segera bertindak.

Biasanya, penyerang ingin penerima membuka tautan URL dalam pesan teks, yang mengarah pada alat phishing yang meminta informasi pribadi. Alat phishing ini sering berupa situs web atau aplikasi yang juga menyamar dengan identitas palsu.

Target biasanya dipilih melalui banyak cara, namun biasanya berdasarkan afiliasi mereka dengan organisasi atau lokasi regional tertentu. Karyawan atau pelanggan dari lembaga tertentu, pengguna jaringan seluler, mahasiswa, dan penduduk suatu daerah dapat menjadi target.

Penyamaran penyerang seringkali disesuaikan dengan lembaga yang ingin mereka akses. Namun, penyerang juga bisa menyamar sebagai pihak lain yang memudahkan mereka untuk mencuri identitas atau informasi keuangan.

Melalui spoofing, penyerang bisa menyembunyikan nomor asli mereka di balik nomor palsu. Penyerang smishing juga sering menggunakan "burner phones" — ponsel prabayar murah sekali pakai — untuk lebih menyembunyikan asal serangan. Penyerang juga kadang menggunakan layanan email-ke-teks untuk menyamarkan nomor mereka.

Dalam tahap demi tahap, penyerang akan menjalankan serangannya dalam beberapa fase utama:

• Penyebaran pesan "umpan" ke target.
• Pembobolan informasi korban melalui penipuan.
• Eksekusi pencurian dengan menggunakan informasi korban yang sudah dibobol.

Skema smishing berhasil saat penyerang menggunakan informasi pribadi Anda untuk melakukan pencurian yang mereka inginkan. Tujuan ini termasuk namun tidak terbatas pada pencurian langsung dari rekening bank, penipuan identitas untuk membuka kartu kredit secara ilegal, atau kebocoran data perusahaan privat.

Bagaimana cara Smishing SMS menyebar?

Sebagaimana disebutkan, serangan smishing dikirim melalui pesan teks tradisional dan aplikasi pesan non-SMS. Namun, penyebaran serangan phishing SMS umumnya tidak terdeteksi karena sifatnya yang menipu.

Penipuan smishing makin berbahaya karena pengguna memiliki rasa aman palsu terhadap keamanan pesan teks.

Pertama, kebanyakan orang sudah mengetahui risiko penipuan melalui email. Anda mungkin telah belajar untuk curiga terhadap email umum yang berisi "Hai—cek tautan ini." Ketiadaan pesan pribadi yang autentik sering menjadi tanda bahaya yang besar dari penipuan spam email.

Saat orang menggunakan ponsel, mereka sering lebih tidak waspada. Banyak yang menganggap smartphone lebih aman daripada komputer. Namun, keamanan smartphone memiliki batasan dan tidak selalu dapat melindungi dari smishing.

Terlepas dari cara yang digunakan, skema ini hanya membutuhkan sedikit kepercayaan dan kelengahan Anda untuk berhasil. Karena itu, smishing dapat menyerang perangkat seluler apa pun yang mendukung pesan teks.

Meski perangkat Android adalah platform mayoritas pasar dan merupakan target ideal untuk pesan berisi malware, perangkat iOS juga berpotensi menjadi target. Sistem iOS Apple memang dikenal aman, namun tidak ada sistem operasi seluler yang sepenuhnya bisa melindungi Anda dari serangan model phishing. Rasa aman palsu bisa membuat pengguna rentan, terlepas dari platform yang digunakan.

Risiko lain adalah bahwa Anda sering menggunakan smartphone saat bepergian, seringkali dalam situasi tidak fokus atau tergesa-gesa. Ini berarti Anda akan lebih mudah lengah dan menanggapi tanpa berpikir panjang saat menerima pesan yang meminta informasi bank atau menebus kupon.

Jenis serangan Smishing

Meskipun metode untuk setiap serangan smishing serupa, presentasinya bisa sangat beragam. Penyerang dapat menyamar dalam berbagai identitas dan skenario agar serangan SMS ini tetap relevan.

Sayangnya, daftar lengkap jenis smishing hampir tidak mungkin dibuat karena adaptasi cara serangan yang terus berkembang. Dengan menggunakan beberapa skenario penipuan yang sudah ada, kita dapat menyoroti karakteristik untuk membantu Anda mengidentifikasi serangan smishing sebelum menjadi korban.

Berikut adalah beberapa skenario umum dari serangan smishing:

Smishing COVID-19

Penipuan smishing COVID-19 memanfaatkan program bantuan sah yang diadakan oleh pemerintah, layanan kesehatan, dan lembaga keuangan untuk mendukung pemulihan akibat pandemi COVID-19.

Penyerang memanfaatkan kekhawatiran korban terhadap kesehatan dan keuangan untuk menjalankan aksi penipuan ini. Tanda-tanda peringatannya dapat meliputi:

• Permintaan informasi sensitif (seperti nomor jaminan sosial atau nomor kartu kredit) yang mengatasnamakan pelacakan kontak.
• Tawaran bantuan keuangan terkait pajak, seperti cek stimulus.
• Informasi terkini tentang keamanan kesehatan publik.
• Permintaan untuk berpartisipasi dalam Sensus AS.

Smishing Layanan Keuangan

Serangan smishing di bidang layanan keuangan biasanya disamarkan sebagai notifikasi palsu dari lembaga keuangan. Karena hampir semua orang menggunakan layanan perbankan dan kartu kredit, mereka rentan terhadap pesan-pesan umum maupun pesan spesifik dari lembaga tertentu. Skenario lain yang sering dipakai dalam penipuan ini termasuk pinjaman dan investasi.

Penyerang berpura-pura menjadi bank atau lembaga keuangan lainnya untuk melakukan penipuan keuangan. Ciri-ciri penipuan smishing layanan keuangan bisa berupa permintaan segera untuk membuka akun, atau permintaan untuk memverifikasi aktivitas mencurigakan di akun, dan banyak lagi.

Smishing Hadiah

Smishing hadiah biasanya menawarkan produk atau layanan gratis yang tampak berasal dari peritel atau perusahaan ternama. Penipuan ini bisa berupa kontes giveaway, reward belanja, atau berbagai penawaran gratis lainnya. Ketika penyerang memancing antusiasme Anda dengan menawarkan sesuatu yang "gratis," ini dapat mengaburkan penilaian logis Anda, dan mendorong Anda untuk bertindak lebih cepat. Tanda-tanda serangan ini bisa berupa penawaran berbatas waktu atau pemilihan eksklusif untuk menerima kartu hadiah gratis.

Smishing Konfirmasi Faktur atau Pesanan

Smishing konfirmasi melibatkan konfirmasi palsu atas pembelian atau faktur penagihan untuk suatu layanan. Penipu mungkin memberikan tautan untuk memanipulasi rasa ingin tahu Anda atau mendorong reaksi cepat karena takut ada biaya tak diinginkan. Tanda-tanda penipuan ini dapat berupa serangkaian teks konfirmasi pesanan atau ketiadaan nama bisnis yang sah.

Smishing Dukungan Pelanggan

Penyerang smishing dukungan pelanggan berpura-pura menjadi perwakilan dukungan dari perusahaan tepercaya untuk membantu menyelesaikan masalah. Perusahaan teknologi dan e-commerce yang sering digunakan seperti Apple, Google, dan Amazon menjadi samaran yang efektif bagi penyerang dalam skenario ini.

Biasanya, penyerang akan mengeklaim bahwa ada kesalahan pada akun Anda dan memberikan langkah-langkah untuk memperbaikinya. Permintaan ini dapat berupa halaman login palsu yang sederhana, sementara skema yang lebih kompleks mungkin meminta Anda memberikan kode pemulihan akun yang sebenarnya untuk mencoba mereset kata sandi. Tanda-tanda adanya skema smishing berbasis dukungan meliputi masalah terkait tagihan, akses akun, aktivitas tidak biasa, atau penyelesaian keluhan pelanggan terbaru Anda.

Contoh Smishing

Karena SMS tersedia bagi hampir semua orang yang memiliki ponsel, serangan smishing diketahui terjadi secara global. Berikut adalah beberapa contoh serangan smishing yang perlu diwaspadai.

Penipuan Apple iPhone 12 Early Access — Konfirmasi Pesanan & Smishing Hadiah

Pada September 2020, kampanye smishing muncul untuk memancing orang agar memberikan informasi kartu kredit guna mendapatkan iPhone 12 secara gratis.

Skema ini menggunakan skenario konfirmasi pesanan, di mana pesan teks mengeklaim bahwa pengiriman paket telah dikirim ke alamat yang salah. Tautan URL dalam pesan tersebut mengarahkan target ke alat phishing yang menyamar sebagai chatbot Apple. Alat ini mengarahkan korban melalui langkah-langkah untuk mengeklaim iPhone 12 secara gratis sebagai bagian dari program uji coba early access, tetapi pada akhirnya meminta informasi kartu kredit untuk membayar biaya pengiriman kecil.

Penipuan USPS dan FedEx — Konfirmasi Pesanan & Smishing Hadiah

Pada September 2020, laporan tentang penipuan SMS pengiriman paket palsu dari USPS dan FedEx mulai beredar. Serangan smishing ini mungkin mencoba mencuri kredensial akun Anda untuk berbagai layanan atau informasi kartu kredit Anda.

Pesan-pesan tersebut mengeklaim adanya pengiriman paket yang terlewat atau salah alamat dan menyertakan tautan ke situs web phishing yang menyamar sebagai survei giveaway dari FedEx atau USPS. Meskipun skenario dari situs phishing ini bisa berbeda-beda, banyak yang telah diidentifikasi mencoba mengumpulkan login akun untuk layanan seperti Google.

Penipuan Tes COVID-19 Online Wajib — Smishing COVID-19

Pada April 2020, Better Business Bureau menerima lonjakan laporan mengenai penipu yang mengaku sebagai perwakilan pemerintah AS dan mengirim pesan teks yang meminta orang untuk menjalani tes COVID-19 wajib melalui tautan situs web.

Tentu saja, banyak yang langsung mengenali penipuan ini karena tidak ada tes COVID-19 yang dilakukan secara online. Namun, skenario dari serangan smishing ini mungkin mudah berkembang karena ketakutan pandemi menjadi metode efektif untuk menjadikan publik sebagai korban.

Cara mencegah Smishing

Kabar baiknya adalah Anda dapat melindungi diri dengan mudah dari potensi dampak serangan ini. Anda bisa tetap aman dengan tidak melakukan apa pun sama sekali. Pada dasarnya, serangan ini hanya bisa merugikan jika Anda terpancing.

Meskipun demikian, perlu diingat bahwa pesan teks adalah cara yang sah bagi banyak peritel dan lembaga untuk menjangkau Anda. Tidak semua pesan harus diabaikan, namun tetaplah bertindak dengan aman.

Ada beberapa hal yang perlu diingat untuk membantu melindungi diri dari serangan ini.

• Jangan membalas. Bahkan permintaan balasan seperti teks “STOP” untuk berhenti berlangganan bisa menjadi trik untuk mengidentifikasi nomor telepon yang aktif. Penyerang mengandalkan rasa ingin tahu atau kecemasan Anda terhadap situasi yang diberikan, tetapi Anda bisa memilih untuk tidak terlibat.
• Bertindak dengan pelan-pelan jika pesan terasa mendesak. Anda sebaiknya memperlakukan pembaruan akun mendesak dan penawaran terbatas sebagai tanda peringatan kemungkinan smishing. Tetap skeptis dan berhati-hati.
• Hubungi bank atau pedagang Anda secara langsung jika ragu. Lembaga yang sah tidak akan meminta pembaruan akun atau informasi login melalui teks. Selain itu, pemberitahuan mendesak dapat diverifikasi langsung pada akun online Anda atau melalui saluran telepon resmi.
• Hindari menggunakan tautan atau informasi kontak dalam pesan. Hindari menggunakan tautan atau informasi kontak dalam pesan yang membuat Anda tidak nyaman. Gunakan saluran kontak resmi langsung jika memungkinkan.
• Periksa nomor telepon. Nomor telepon yang tampak aneh, seperti nomor 4 digit, bisa menjadi bukti layanan email-ke-teks. Ini adalah salah satu dari banyak taktik yang dapat digunakan penipu untuk menyembunyikan nomor telepon mereka yang sebenarnya.
• Pilih untuk tidak menyimpan nomor kartu kredit di ponsel Anda. Cara terbaik untuk menjaga informasi keuangan dari pencurian di dompet digital adalah dengan tidak menaruhnya di sana.
• Gunakan autentikasi multi-faktor (MFA). Kata sandi yang bocor mungkin tetap tidak berguna bagi penyerang smishing jika akun yang disusupi membutuhkan “kunci” kedua untuk verifikasi. Varian MFA yang paling umum adalah autentikasi dua faktor (2FA), yang sering menggunakan kode verifikasi pesan teks. Varian yang lebih kuat termasuk penggunaan aplikasi khusus untuk verifikasi (seperti Google Authenticator).
• Jangan memberikan kata sandi atau kode pemulihan akun melalui teks. Baik kata sandi maupun kode pemulihan autentikasi dua faktor (2FA) melalui pesan teks dapat membahayakan akun Anda jika jatuh ke tangan yang salah. Jangan memberikan informasi ini kepada siapa pun, dan gunakan hanya di situs resmi.
• Laporkan semua percobaan phishing SMS ke otoritas terkait.

Ingatlah bahwa, seperti phishing email, smishing adalah kejahatan tipu daya — yang mengandalkan penipuan korban untuk bekerja sama dengan mengklik tautan atau memberikan informasi. Perlindungan paling sederhana terhadap serangan ini adalah dengan tidak melakukan apa pun. Jika Anda tidak menanggapi, pesan berbahaya tidak dapat berbuat apa-apa.

Hal-hal yang perlu dilakukan jika Anda menjadi korban Smishing

Serangan smishing sangat licik dan mungkin telah berhasil membuat Anda menjadi korban, jadi Anda harus memiliki rencana pemulihan.

Lakukan tindakan penting ini untuk membatasi dampak dari serangan smishing yang berhasil:

1. Laporkan serangan yang dicurigai ke lembaga yang mungkin dapat membantu.
2. Bekukan kredit Anda untuk mencegah penipuan identitas di masa depan atau yang sedang berlangsung.
3. Ganti semua kata sandi dan PIN akun jika memungkinkan.
4. Pantau lokasi login yang mencurigakan dan aktivitas lainnya di akun keuangan, kredit, dan berbagai akun online.

Setiap langkah ini memiliki bobot besar untuk perlindungan Anda setelah serangan smishing terjadi. Namun, melaporkan serangan tidak hanya membantu Anda pulih, tetapi juga mencegah orang lain menjadi korban.