Waspada Phishing : Metode, Cara Melakukan dan Contoh Kode Phishing

By
JogjaTech
-
0
120

Phishing adalah salah satu ancaman dunia maya yang paling umum dan merusak yang sangat sering dihadapi oleh individu dan organisasi saat ini. Teknik ini melibatkan penggunaan rekayasa sosial untuk menipu korban agar memberikan informasi pribadi atau melakukan tindakan yang merugikan.

Phishing dapat menyebabkan kerugian finansial, pencurian identitas, dan kerusakan reputasi. Dalam artikel ini, kita akan membahas tentang berbagai metode phishing, cara untuk melakukan serangan phishing, dan memberikan contoh kode phishing untuk memberikan pemahaman komprehensif.

Metode Phishing

Phishing memiliki berbagai metode yang bisa digunakan oleh penjahat dunia maya untuk mencapai tujuan mereka dengan lancar. Berikut adalah beberapa metode phishing yang paling umum saat ini:

Email Phishing

Email phishing adalah salah satu jenis metode yang paling umum dan dikenal luas oleh masyarakat. Dalam serangan yang satu ini, maka penjahat dunia maya mengirim email yang tampaknya berasal dari sumber yang sah, seperti bank, perusahaan, atau layanan online terkenal, dengan tujuan menipu penerima untuk mengklik tautan berbahaya atau memberikan informasi pribadi mereka.

  • Contoh Kasus: Seorang pengguna menerima email dari apa yang tampaknya adalah bank mereka, yang mengklaim bahwa ada aktivitas mencurigakan di akun mereka dan mereka perlu memverifikasi informasi akun mereka dengan mengklik tautan di email tersebut.

Spear Phishing

Spear phishing ditargetkan pada individu atau organisasi tertentu. Penjahat dunia maya melakukan riset tentang target mereka dan mulai membuat pesan yang sangat dipersonalisasi dan meyakinkan.

  • Contoh Kasus: Seorang eksekutif menerima email yang tampaknya berasal dari kolega mereka, meminta mereka untuk mengklik tautan dan memasukkan kredensial mereka untuk mengakses dokumen penting.

Whaling

Whaling ini menargetkan seseorang dengan profil tinggi, seperti eksekutif perusahaan atau pejabat. Serangan ini sering kali jauh lebih canggih dan juga membutuhkan lebih banyak riset tentang target.

  • Contoh Kasus: CEO sebuah perusahaan menerima email yang tampaknya berasal dari badan pemerintah, meminta informasi sensitif terkait perusahaan.

Smishing (SMS Phishing)

Smishing adalah salah  satu serangan phishing yang dilakukan melalui pesan teks atau SMS. Pesan ini sering kali mengandung tautan yang mengarah ke situs web palsu untuk mencuri informasi korban.

  • Contoh Kasus: Seorang pengguna menerima pesan teks yang mengklaim bahwa mereka telah memenangkan hadiah dan harus mengklik tautan untuk mengklaimnya.

Vishing (Voice Phishing)

Vishing ini sendiri adalah salah satu jenis serangan phishing yang sangat sering dilakukan melalui sebuah panggilan telepon. Penjahat dunia maya akan segera berpura-pura menjadi perwakilan dari pihak perusahaan atau institusi yang sah untuk memperoleh beberapa informasi sensitif dari korban.

  • Contoh Kasus: Seorang pengguna menerima panggilan dari seseorang yang mengklaim sebagai perwakilan bank, meminta informasi kartu kredit untuk memverifikasi akun.

Website Phishing

Penjahat dunia maya membuat situs web palsu yang tampak seperti situs web resmi dari sebuah perusahaan atau layanan terkenal. Ketika korban telah memasukkan beberapa informasi pribadi mereka di situs web palsu ini, maka data tersebut telah berhasil dicuri oleh penjahat dunia maya.

  • Contoh Kasus: Seorang pengguna diarahkan ke situs web palsu yang menyerupai situs login bank dan memasukkan kredensial mereka, yang kemudian dicuri oleh penjahat dunia maya.

Clone Phishing

Clone phishing adalah salah satu teknik phising di mana penjahat dunia maya akan membuat salinan email yang sah yang pernah dikirim sebelumnya, lalu menggantikan tautan atau lampiran dengan yang berbahaya, dan mengirimkannya kembali kepada penerima asli untuk mencuri data pribadi.

  • Contoh Kasus: Seorang pengguna menerima email yang tampaknya berasal dari kolega mereka dengan lampiran dokumen, tetapi lampiran tersebut sebenarnya berisi malware.

Pharming

Pharming adalah teknik yang lebih canggih yang melibatkan pengalihan lalu lintas dari situs web yang sah ke situs web palsu. Ini dilakukan dengan meretas server DNS atau menggunakan malware.

  • Contoh Kasus: Seorang pengguna mencoba mengakses situs web bank mereka tetapi diarahkan ke situs web palsu yang terlihat identik dengan yang asli.

Angler Phishing

Angler phishing adalah sebuah teknik yang melibatkan penggunaan media sosial untuk menipu para pengguna agar memberikan beberapa informasi pribadi mereka atau mengklik tautan berbahaya ini.

  • Contoh Kasus: Seorang pengguna menerima pesan dari akun media sosial yang tampaknya berasal dari layanan pelanggan suatu perusahaan, meminta mereka untuk memberikan informasi login untuk memverifikasi akun mereka.

Cara Melakukan Serangan Phishing

Melakukan serangan phishing ini akan melibatkan beberapa langkah utama, mulai dari riset hingga pelaksanaan serangan. Berikut adalah langkah-langkah umum dalam melakukan serangan phishing:

Riset dan Identifikasi Target

Penjahat dunia maya memulai dengan melakukan riset tentang target. Ini bisa melibatkan mencari informasi pribadi, email, dan kebiasaan online target untuk membuat serangan lebih meyakinkan.

Teknik Riset:

  • Pengumpulan Data melalui Media Sosial: Penjahat dunia maya dapat mengumpulkan informasi dari profil media sosial target, seperti nama, pekerjaan, teman, dan minat.
  • Pengumpulan Data melalui Data Publik: Informasi dari sumber-sumber publik seperti direktori perusahaan, berita, dan forum dapat digunakan untuk memahami lebih baik target.

Membuat Email atau Pesan Palsu

Setelah target diidentifikasi, langkah berikutnya adalah membuat email atau pesan yang tampak sah. Pesan ini juga sering kali mengandung tautan berbahaya atau lampiran yang mengandung malware.

Teknik Membuat Pesan:

  • Meniru Gaya Komunikasi yang Sah: Penjahat dunia maya menggunakan gaya bahasa dan tata letak yang mirip dengan komunikasi asli dari sumber yang ditiru.
  • Menggunakan Logo dan Branding yang Sah: Logo, warna, dan branding perusahaan yang ditiru digunakan untuk membuat pesan lebih meyakinkan.

Menyebarkan Email atau Pesan Palsu

Email atau pesan palsu kemudian dikirimkan kepada target. Penjahat dunia maya ini menggunakan berbagai teknik untuk memastikan pesan mencapai kotak masuk target dan tidak terdeteksi spam.

Teknik Penyebaran:

  • Menggunakan Server Email yang Tidak Terblokir: Penjahat dunia maya dapat menggunakan server email yang tidak terblokir atau layanan email palsu untuk mengirim pesan.
  • Menghindari Kata-Kata yang Menyebabkan Spam: Menghindari penggunaan kata-kata yang sering menyebabkan email masuk ke folder spam, seperti “gratis”, “uang”, dan “hadiah”.

Mengelabui Target

Pesan yang dikirim biasanya akan berisi pesan mendesak atau ancaman untuk mendorong seorang target agar segera mengambil beberapa tindakan, seperti mengklik tautan atau membuka lampiran.

Teknik Mengelabui:

  • Pesan Mendesak: Menggunakan pesan yang menimbulkan rasa urgensi, seperti “Akun Anda telah diblokir” atau “Anda perlu memperbarui informasi segera”.
  • Menggunakan Ancaman: Mengancam dengan konsekuensi negatif jika target tidak segera mengambil tindakan, seperti “Akun Anda akan ditutup” atau “Anda akan kehilangan akses”.

Mengumpulkan Informasi

Jika target ini telah tertipu dan mengklik tautan atau membuka lampiran, mereka akan diarahkan ke situs web palsu atau bahkan file berbahaya yang dirancang untuk mencuri informasi pribadi mereka.

Teknik Pengumpulan Informasi:

  • Situs Web Palsu: Membuat situs web yang terlihat identik dengan situs web asli, dengan formulir untuk memasukkan informasi sensitif.
  • Lampiran Berbahaya: Mengirim lampiran yang mengandung malware yang dapat mencuri informasi dari komputer target.

Menggunakan Informasi yang Dicuri

Informasi yang telah dicuri ini kemudian digunakan oleh penjahat dunia maya untuk berbagai tujuan, termasuk pencurian identitas, akses yang tidak sah ke akun, atau penjualan informasi di pasar gelap.

Penggunaan Informasi yang Dicuri:

  • Pencurian Identitas: Menggunakan informasi pribadi untuk membuka akun baru atau melakukan transaksi atas nama korban.
  • Akses Tidak Sah ke Akun: Menggunakan kredensial yang dicuri untuk mengakses akun email, media sosial, atau layanan online korban.
  • Penjualan Informasi di Pasar Gelap: Menjual informasi yang dicuri di pasar gelap kepada penjahat dunia maya lainnya.

Contoh Kode Phishing

Untuk memberikan gambaran tentang bagaimana serangan phishing dilakukan, berikut contoh kode phishing yang digunakan dalam serangan email phishing. Harap dicatat bahwa contoh kode ini hanya untuk tujuan edukasi dan tidak boleh digunakan untuk tujuan ilegal ataupun merugikan orang lain.

Contoh Email Phishing

Waspada Phishing : Metode, Cara Melakukan dan Contoh Kode Phishing

Penjelasan Kode

  • Tag HTML Dasar: Kode menggunakan tag HTML dasar untuk membuat struktur email.
  • Elemen <title>: Menetapkan judul email yang tampaknya berasal dari bank.
  • Elemen <body>: Menyertakan pesan yang mendesak korban untuk mengambil tindakan.
  • Elemen <a> (Anchor): Mengandung tautan berbahaya yang mengarahkan korban ke situs web palsu.

Contoh Kode Phishing dengan Formulir

Waspada Phishing : Metode, Cara Melakukan dan Contoh Kode Phishing

Penjelasan Kode

  • Tag HTML Dasar: Kode menggunakan tag HTML dasar untuk membuat struktur email.
  • Elemen <form>: Membuat formulir yang mengarahkan data yang dimasukkan ke situs web berbahaya.
  • Elemen <label> dan <input>: Menyediakan input untuk nama pengguna dan kata sandi.
  • Elemen <submit>: Tombol yang digunakan untuk mengirim formulir.

Menghindari dan Mengatasi Phishing

Menghindari phishing memerlukan kewaspadaan dan pengetahuan tentang tanda-tanda serangan phishing. Berikut ini adalah langkah yang dapat diambil untuk menghindari dan mengatasi phishing:

  • Periksa Sumber Email : Selalu periksa alamat email pengirim untuk memastikan bahwa itu benar-benar berasal dari sumber yang sah. Banyak serangan phishing menggunakan alamat email yang mirip dengan sumber asli tetapi memiliki perbedaan kecil.
  • Jangan Klik Tautan atau Buka Lampiran Secara Sembarangan : Hindari mengklik tautan atau membuka lampiran dalam email dari pengirim yang tidak dikenal atau mencurigakan. Jika ragu, lebih baik mengunjungi situs web resmi secara langsung daripada mengklik tautan dalam email.
  • Periksa URL Situs Web : Saat memasukkan informasi sensitif di situs web, periksa URL untuk memastikan bahwa Anda berada di situs web resmi. Situs web phishing sering kali menggunakan URL yang mirip dengan situs web asli tetapi memiliki perbedaan kecil.
  • Gunakan Autentikasi Dua Faktor (2FA) : Autentikasi dua faktor (2FA) dapat menambah lapisan keamanan ekstra untuk akun online Anda, sehingga sulit bagi penjahat dunia maya untuk mengakses akun Anda meskipun mereka memiliki kata sandi Anda.
  • Perbarui Perangkat Lunak dan Antivirus : Selalu perbarui perangkat lunak dan antivirus Anda untuk melindungi dari malware dan ancaman lainnya. Banyak serangan phishing menggunakan malware untuk mencuri informasi dari komputer korban.
  • Laporkan Email Phishing : Jika Anda menerima email phishing, laporkan email tersebut ke penyedia layanan email Anda atau ke perusahaan yang emailnya dipalsukan. Ini dapat membantu mencegah serangan lebih lanjut.

RELATED ARTICLESMORE FROM AUTHOR