Apa itu phishing?

Serangan phishing adalah bentuk rekayasa sosial. Tidak seperti serangan siber lainnya yang secara langsung menargetkan jaringan dan sumber daya, serangan rekayasa sosial mengeksploitasi kesalahan manusia, cerita palsu, dan taktik tekanan untuk memanipulasi korban agar secara tidak sengaja merugikan diri mereka sendiri atau organisasi mereka.

Dalam penipuan phishing yang umum, seorang peretas berpura-pura menjadi seseorang yang dipercaya korban, seperti kolega, bos, tokoh otoritas, atau perwakilan dari merek terkenal. Peretas mengirimkan pesan yang mengarahkan korban untuk membayar faktur, membuka lampiran, mengklik tautan, atau melakukan tindakan lain.

Karena mereka memercayai sumber pesan yang seharusnya, pengguna mengikuti instruksi dan jatuh ke dalam perangkap penipu. "Faktur" tersebut mungkin mengarah langsung ke akun peretas. Lampiran itu mungkin menginstal ransomware di perangkat pengguna. Tautan itu mungkin membawa pengguna ke situs web yang mencuri nomor kartu kredit, nomor rekening bank, kredensial login, atau data pribadi.

Phishing sangat populer di kalangan penjahat siber dan sangat efektif. Menurut laporan Biaya Pelanggaran Data IBM, phishing adalah vektor pelanggaran data yang paling umum, yang berkontribusi sekitar 15% dari semua pelanggaran. Pelanggaran yang disebabkan oleh phishing merugikan organisasi rata-rata sebesar 4,88 juta USD.

Phishing adalah ancaman yang signifikan karena mengeksploitasi orang dibandingkan kerentanan teknologi. Penyerang tidak perlu melanggar sistem secara langsung atau mengakali alat bantu keamanan siber. Mereka dapat mengelabui orang-orang yang memiliki akses resmi ke target mereka—baik itu uang, informasi sensitif atau apa pun yang lainnya—untuk melakukan pekerjaan yang buruk mereka.

Phisher bisa menjadi penipu tunggal atau geng kriminal canggih. Mereka dapat menggunakan phishing untuk berbagai tujuan kejahatan, termasuk pencurian identitas, penipuan kartu kredit, pencurian uang, pemerasan, pengambilalihan akun, spionase, dan lainnya.

Target phishing berkisar dari orang biasa hingga perusahaan besar dan lembaga pemerintah. Dalam salah satu serangan phishing yang paling terkenal, peretas Rusia menggunakan email atur ulang kata sandi palsu untuk mencuri ribuan email dari kampanye kepresidenan Amerika Serikat Hillary Clinton pada tahun 2016.¹

Karena penipuan phishing memanipulasi manusia, alat dan teknik pemantauan jaringan standar tidak selalu dapat menangkap serangan yang sedang berlangsung. Faktanya, dalam serangan kampanye Clinton, bahkan meja bantuan TI kampanye mengira bahwa email pengaturan ulang kata sandi palsu itu asli. 

Untuk memerangi phishing, organisasi harus menggabungkan alat deteksi ancaman tingkat lanjut dengan pendidikan karyawan yang kuat untuk memastikan bahwa pengguna dapat mengidentifikasi secara akurat dan merespons upaya penipuan dengan aman.

Kata "phishing" mengacu pada fakta bahwa penipu menggunakan "umpan" yang menarik untuk mengelabui korban mereka, sama seperti nelayan menggunakan umpan untuk mengaitkan ikan yang sebenarnya. Dalam phishing, umpan adalah pesan penipuan yang tampak kredibel dan membangkitkan emosi yang kuat seperti ketakutan, keserakahan, dan rasa ingin tahu. 

Jenis umpan yang digunakan penipu phishing bergantung pada siapa dan apa yang mereka cari. Beberapa contoh umum dari serangan phishing meliputi:

Dalam phishing email massal, penipu masih mengirim email spam ke banyak orang tanpa memilih tujuan, dengan harapan kecil bahwa sebagian dari targetnya akan jatuh ke serangan tersebut.

Penipu sering kali membuat email yang tampaknya berasal dari bisnis besar dan sah, seperti bank, peretail online, atau pembuat aplikasi populer. Dengan menyamar sebagai merek terkenal, penipu meningkatkan kemungkinan target mereka adalah pelanggan dari merek-merek tersebut. Jika sasaran secara teratur berinteraksi dengan merek tertentu, mereka lebih tinggi untuk membuka email phishing yang mengatasnamakan merek tersebut.

Penjahat siber berusaha keras untuk membuat email phishing tampak asli. Mereka mungkin menggunakan logo dan merek pengirim yang ditiru. Mereka mungkin memalsukan alamat email untuk membuatnya tampak seperti pesan yang berasal dari nama domain pengirim yang ditiru. Mereka mungkin akan menyalin email asli dari pengirim yang ditiru dan mengubahnya untuk tujuan buruk.

Penipu menulis baris subjek email untuk menarik emosi yang kuat atau menciptakan rasa urgensi. Penipu yang cerdas menggunakan subjek yang mungkin benar-benar ditangani oleh pengirim yang menyamar, seperti "Ada masalah dengan pesanan Anda" atau "Faktur Anda terlampir".

Isi email menginstruksikan penerima untuk melakukan tindakan yang tampaknya masuk akal yang berakibat membocorkan informasi sensitif atau mengunduh malware. Misalnya, tautan phishing mungkin berbunyi, "Klik di sini untuk memperbarui profil Anda." Ketika korban mengklik tautan berbahaya tersebut, itu membawa mereka ke situs web palsu yang mencuri kredensial login mereka. 

Beberapa penipu mengatur waktu kampanye phishing mereka agar selaras dengan hari libur dan acara lain di mana orang lebih rentan terhadap tekanan. Misalnya, serangan phishing terhadap pelanggan Amazon sering kali melonjak di sekitar Prime Day, acara penjualan tahunan pengecer online.² Penipu mengirim email tentang kesepakatan palsu dan masalah pembayaran untuk memanfaatkan kelengahan penerima.

Phishing tombak adalah serangan phishing yang ditargetkan pada individu tertentu. Targetnya biasanya seseorang yang memiliki akses terbatas ke data sensitif atau otoritas khusus yang dapat dieksploitasi oleh penipu, seperti manajer keuangan yang dapat mengalihkan dana dari rekening perusahaan.

Seorang phisher tombak mempelajari target mereka untuk mengumpulkan informasi yang mereka butuhkan untuk menyamar sebagai seseorang yang dipercaya oleh target, seperti teman, atasan, rekan kerja, vendor, atau lembaga keuangan. Media sosial dan situs jejaring profesional, di mana orang-orang secara terbuka memberi selamat kepada rekan kerja, mendukung vendor dan cenderung berbagi terlalu banyak, adalah sumber informasi yang kaya untuk penelitian phishing tombak.

Phisher tombak menggunakan penelitian mereka untuk membuat pesan yang berisi detail pribadi tertentu, membuatnya tampak sangat kredibel bagi target. Misalnya, phisher tombak mungkin menyamar sebagai bos target dan mengirim email yang berbunyi: "Saya tahu Anda akan pergi malam ini untuk liburan, tetapi bisakah Anda membayar faktur ini sebelum penutupan bisnis hari ini?"

Serangan phishing tombak yang ditujukan kepada eksekutif tingkat C, individu kaya atau target bernilai tinggi lainnya disebut serangan whale phishing atau whaling.

BEC adalah kelas serangan phishing tombak yang mencoba mencuri uang atau informasi berharga, seperti rahasia dagang, data pelanggan atau informasi keuangan—dari sebuah perusahaan atau organisasi lain.

Serangan BEC dapat berupa beberapa bentuk. Dua yang paling umum termasuk:

• Penipuan CEO: Penipu menyamar sebagai eksekutif tingkat C, sering kali dengan membajak akun email eksekutif tersebut. Penipu mengirimkan pesan kepada karyawan yang lebih rendah yang menginstruksikan mereka untuk mentransfer dana ke rekening palsu, melakukan pembelian dari vendor palsu, atau mengirim file ke pihak yang tidak berwenang.
  
  
• Penyusupan akun email (EAC): Penipu menyusup ke akun email karyawan tingkat bawah, seperti akun manajer di bidang keuangan, penjualan, atau penelitian dan pengembangan. Penipu menggunakan akun tersebut untuk mengirimkan faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran palsu, atau meminta akses ke data rahasia.

Serangan BEC dapat menjadi salah satu serangan siber yang paling mahal, dengan penipu yang sering kali mencuri jutaan dolar sekaligus. Dalam satu contoh penting, sekelompok penipu mencuri lebih dari USD 100 juta dari Facebook dan Google dengan menyamar sebagai vendor perangkat lunak yang sah.³

Beberapa penipu BEC beralih dari taktik profil tinggi ini dan memilih untuk meluncurkan serangan kecil terhadap lebih banyak target. Menurut Anti-Phishing Working Group (APWG), serangan BEC semakin sering terjadi pada tahun 2023, tetapi rata-rata penipu meminta lebih sedikit uang pada setiap serangan.⁴

SMS phishing, atau smishing, menggunakan pesan teks palsu untuk mengelabui target. Penipu biasanya menyamar sebagai penyedia layanan nirkabel korban, mengirimkan pesan yang menawarkan "hadiah gratis" atau meminta pengguna untuk memperbarui informasi kartu kredit mereka.

Beberapa smisher menyamar sebagai Layanan Pos AS atau perusahaan pengiriman lain. Mereka mengirim teks yang memberitahu korban bahwa mereka harus membayar biaya untuk menerima paket yang mereka pesan.

Voice phishing (phishing suara), atau vishing, adalah phishing melalui panggilan telepon. Insiden Vishing telah meledak dalam beberapa tahun terakhir, dengan peningkatan kasus sebesar 260% antara tahun 2022 dan 2023 menurut APWG.⁵ Munculnya vishing sebagian disebabkan oleh ketersediaan teknologi voice over IP (VoIP), yang dapat digunakan penipu untuk membuat jutaan panggilan vishing otomatis per hari. 

Penipu sering menggunakan spoofing ID penelepon untuk membuat panggilan mereka tampak berasal dari organisasi yang sah atau nomor telepon lokal. Panggilan vishing biasanya menakut-nakuti penerima dengan peringatan masalah pemrosesan kartu kredit, pembayaran yang terlambat, atau masalah dengan hukum. Penerima akhirnya memberikan data sensitif atau uang kepada penjahat siber untuk "menyelesaikan" masalah mereka.

Phishing media sosial menggunakan platform media sosial untuk menipu orang. Para penipu menggunakan kemampuan perpesanan bawaan platform—misalnya, Facebook Messenger, LinkedIn InMail dan DM X (sebelumnya Twitter)—dengan cara yang sama mereka menggunakan email dan pesan teks.

Penipu sering menyamar sebagai pengguna yang membutuhkan bantuan target untuk masuk ke akun mereka atau memenangkan kontes. Mereka menggunakan tipuan ini untuk mencuri kredensial login target dan mengambil alih akun mereka di platform. Serangan ini bisa sangat merugikan korban yang menggunakan kata sandi yang sama di beberapa akun, sebuah praktik yang sangat umum terjadi.

Penipu terus-menerus merancang teknik phishing baru untuk menghindari deteksi. Beberapa perkembangan terakhir meliputi:

Phishing AI menggunakan alat kecerdasan buatan (AI) generatif untuk membuat pesan phishing. Alat-alat ini dapat menghasilkan email dan pesan teks yang disesuaikan yang tidak memiliki kesalahan ejaan, inkonsistensi tata bahasa, dan tanda bahaya umum lainnya dari upaya phishing.

AI generatif juga dapat membantu penipu meningkatkan operasi mereka. Menurut X-Force Threat Intelligence Index IBM, penipu membutuhkan waktu 16 jam untuk membuat email phishing secara manual. Dengan AI, penipu dapat membuat pesan yang lebih meyakinkan hanya dalam lima menit.

Penipu juga menggunakan generator gambar dan penyintesis suara untuk menambah kredibilitas lebih lanjut ke skema mereka. Sebagai contoh, pada tahun 2019, para penyerang menggunakan AI untuk melakukan kloning suara seorang CEO perusahaan energi dan menipu seorang manajer bank sebesar USD 243.000.⁷

Quishing menggunakan kode QR palsu yang disematkan dalam email dan pesan teks atau diposting di dunia nyata. Quishing memungkinkan peretas menyembunyikan situs web dan perangkat lunak berbahaya di depan mata.

Sebagai contoh, Komisi Perdagangan Federal AS (FTC) tahun lalu memperingatkan tentang penipuan di mana para penjahat mengganti kode QR di meteran parkir umum dengan kode mereka sendiri yang mencuri data pembayaran.⁶

Serangan hybrid vishing menggabungkan phishing suara dengan metode lain untuk menghindari filter spam dan mendapatkan kepercayaan korban.

Misalnya, penipu mungkin mengirim email yang mengaku berasal dari IRS. Email ini memberi tahu target bahwa ada masalah dengan pengembalian pajak mereka. Untuk mengatasi masalah ini, target harus menghubungi nomor telepon yang disediakan dalam email, yang menghubungkan mereka langsung ke penipu.

Detailnya dapat bervariasi dari satu penipuan ke penipuan lainnya, tetapi ada beberapa tanda umum yang mengindikasikan bahwa pesan tersebut mungkin merupakan upaya phishing. Tanda-tanda ini meliputi:

Karena penipuan phishing menargetkan manusia, karyawan sering kali menjadi garis pertahanan pertama dan terakhir organisasi terhadap serangan ini. Organisasi dapat mengajari pengguna cara mengenali tanda-tanda upaya phishing dan menanggapi email dan pesan teks yang mencurigakan. Ini dapat mencakup memberi karyawan cara mudah untuk melaporkan upaya phishing ke tim TI atau keamanan.

Organisasi dapat menetapkan kebijakan dan praktik yang membuat phisher lebih sulit untuk berhasil.

Misalnya, organisasi dapat melarang karyawan mentransfer uang melalui email. Mereka dapat meminta karyawan untuk memverifikasi permintaan uang atau informasi dengan menghubungi pemohon melalui cara lain selain yang disediakan dalam pesan. Contohnya, karyawan dapat langsung mengetikkan URL ke browser mereka daripada mengklik tautan atau menelepon nomor telepon kantor rekan kerja daripada merespons teks dari nomor yang tidak dikenali.

Perusahaan dapat menambahkan latihan karyawan dan kebijakan perusahaan dengan alat keamanan yang membantu mendeteksi pesan phishing dan mencegah penyerang yang menggunakan phishing untuk memecahkan jaringan.

• Filter spam dan perangkat lunak keamanan email menggunakan data tentang penipuan phishing yang ada dan algoritme machine learning untuk mengidentifikasi email phishing dan pesan spam lainnya. Penipuan dan spam kemudian dipindahkan ke folder terpisah, di mana tautan dan kode berbahaya diberantas.
  
  
• Perangkat lunak antivirus dan antimalware dapat mendeteksi dan menetralisir file atau kode berbahaya yang dibawa oleh email phishing.
  
  
• Autentikasi multifaktor dapat mencegah peretas mengambil alih akun pengguna. Phisher dapat mencuri kata sandi, tetapi mereka lebih sulit mencuri faktor kedua seperti pemindaian sidik jari atau kode sandi sekali pakai.
  
  
• Alat keamanan titik akhir seperti solusi deteksi dan respons titik akhir (EDR) dan manajemen titik akhir terpadu (UEM) dapat menggunakan kecerdasan buatan (AI) dan analitik tingkat lanjut untuk mencegat upaya phishing dan memblokir malware.
  
  
• Filter web mencegah pengguna mengunjungi situs web yang diketahui berbahaya dan menampilkan peringatan setiap kali pengguna mengunjungi halaman yang mencurigakan. Alat-alat ini dapat membantu mengurangi kerugian jika pengguna mengklik tautan phishing.
  
  
• Solusi keamanan siber perusahaan, seperti platform orkestrasi keamanan, otomatisasi dan respons (SOAR), dan informasi keamanan dan manajemen acara (SIEM), menggunakan AI dan otomatisasi untuk mendeteksi dan merespons aktivitas anomali. Solusi ini dapat membantu menghentikan phisher yang mencoba menginstal malware atau mengambil alih akun.