Phishing adalah salah satu bentuk serangan siber yang dirancang untuk menipu korban agar secara sukarela memberikan informasi sensitif. Dampaknya cukup besar, bisa menimbulkan kerugian hingga ratusan juta rupiah, tergantung pada jumlah uang di tabungan Anda.
Dalam praktiknya, phishing paling sering dilakukan melalui email, meski tidak terbatas pada kanal tersebut. Polanya juga terbaca, yaitu pelaku menyamar sebagai pihak yang dikenal atau dipercaya, seperti bank, rekan kerja, atau institusi resmi. Pesan yang dikirim dibuat sangat meyakinkan, bahkan sering kali sulit dibedakan dari komunikasi asli.
Perkembangan teknologi, terutama AI, membuat serangan ini semakin canggih. Pelaku kini mampu meniru gaya bahasa, nada komunikasi, hingga situasi yang terasa relevan dengan aktivitas sehari-hari. Akibatnya, banyak korban tidak menyadari bahwa mereka sedang menjadi target.
Salah satu contoh yang paling umum adalah email yang mengatasnamakan bank. Dalam pesan tersebut, korban diminta memverifikasi data akun karena terdeteksi aktivitas mencurigakan. Begitu tautan diklik, Anda bisa mengalami masalahi pencurian data pribadi hingga infeksi malware pada perangkat yang Anda gunakan.
Bagaimana cara kerja phishing attack?
Ilustrasi pelaku pishing
Foto oleh Sora Shimazaki di Pexels
Penting untuk memahami sejak awal bahwa tidak semua serangan phishing memiliki pola yang sama. Namun, ada sejumlah kerangka dan kemiripan yang kerap muncul. Meski teknologi seperti AI terus berkembang, kewaspadaan manusia tetap menjadi garis pertahanan paling efektif.
Berikut gambaran umum bagaimana phishing bekerja, agar Anda dapat lebih jeli mengenali tanda-tandanya.
Langkah 1: Pelaku menciptakan identitas palsu
Phishing mungkin terdengar seperti istilah sederhana, tetapi praktiknya sangat serius. Serangan ini dirancang dengan tujuan jelas, yaitu mengeksploitasi kelemahan target.
Prosesnya dimulai dari riset. Pelaku mengidentifikasi celah, lalu membangun identitas palsu yang meyakinkan. Mereka membuat website tiruan atau aplikasi tiruan yang tampilannya hampir identik dengan versi asli.
Semua itu didukung oleh domain palsu, alamat email yang dimanipulasi, serta tautan yang disamarkan agar terlihat sah.
Langkah 2: Korban menerima pesan phishing
Setelah infrastruktur siap, pesan mulai disebarkan. Istilahnya bisa berbeda tergantung media yang digunakan. Jika dikirim lewat email, itu disebut phishing. Lewat SMS atau pesan WhatsApp dikenal sebagai smishing. Melalui panggilan suara disebut vishing. Bahkan ada varian lain seperti quishing, yang memanfaatkan QR code.
Serangan yang dirancang dengan baik biasanya sangat meyakinkan. Pesan bisa menyertakan nama asli, jabatan, atau peristiwa yang relevan dengan lingkungan kerja korban.
Tujuan utamanya hampir selalu sama, yaitu menciptakan rasa urgensi. Korban dibuat merasa ada masalah mendesak yang harus segera diselesaikan. Solusinya tampak sederhana, yaitu cukup klik tautan atau kunjungi website tertentu.
Langkah 3: Korban mengklik tautan
Pada tahap ini, banyak orang mengira bahwa calon korban yang terjebak akan langsung menyadari bahwa sesuatu tidak beres. Namun, kenyataannya tidak sesederhana itu.
Website phishing biasanya dibuat sangat mirip dengan platform yang sering digunakan, seperti layanan perbankan atau sistem internal perusahaan. Perbedaan visualnya sangat tipis, sehingga sulit dikenali dalam waktu singkat.
Begitu korban masuk ke halaman tersebut, seluruh elemen sudah dirancang untuk satu tujuan, yaitu untuk mengumpulkan data.
Langkah 4: Data sensitif dikumpulkan
Target akhir dari phishing adalah informasi berharga, mulai dari username, password, nomor kartu kredit, hingga data pribadi lainnya.
Data ini kemudian digunakan untuk berbagai aksi lanjutan, seperti penipuan finansial, pengambilalihan akun, atau serangan lanjutan yang lebih luas. Halaman login palsu sering kali dibuat sangat meyakinkan, sehingga korban merasa aman saat memasukkan data.
Nah, begitu informasi tersebut diberikan, kendali berpindah tangan. Dalam banyak kasus, kerugian baru terasa setelah semuanya terlambat, misalnya ketika dana tiba-tiba hilang dari rekening.
Apa itu phishing email?
Ilustrasi pelaku pishing
Foto oleh Julio Lopez di Pexels
Bagian yang paling mengkhawatirkan dari phishing adalah skalanya. Modus ini tersebar luas, tingkat keberhasilannya tinggi, dan sering kali sulit dikenali pada pandangan pertama. Istilah “phishing” sendiri diambil dari kata “fishing” karena pelaku menebar umpan ke sebanyak mungkin orang, berharap ada yang terpancing.
Meski begitu, phishing email sebenarnya memiliki pola yang bisa dikenali jika Anda tahu apa yang harus diperhatikan, di antaranya:
1. Alamat pengirim palsu
Nama pengirim bisa terlihat meyakinkan, misalnya “PayPal Support”. Namun, jika diperiksa lebih detail, alamat email aslinya seringkali berbeda, misalnya menggunakan domain yang dimodifikasi seperti huruf “l” diganti angka “1”. Karena itu, penting untuk selalu memeriksa alamat lengkap pengirim, bukan hanya nama tampilannya.
2. Bahasa yang mendesak
Pesan seperti “Akun Anda akan ditangguhkan dalam 24 jam” adalah pertanda bahaya. Perusahaan resmi umumnya tidak memaksa pengguna mengambil tindakan dalam waktu sangat singkat, apalagi hanya melalui satu email. Rasa panik memang sengaja diciptakan agar korban segera mengklik link alias tautan tanpa berpikir panjang.
3. Lampiran mencurigakan
File asing dari pengirim yang tidak dikenal patut diwaspadai, terutama dengan format seperti .zip, .exe, .docm, atau bahkan .pdf tertentu. Lampiran ini bisa saja mengandung malware yang langsung aktif saat dibuka.
4. Tautan/Link berbahaya
Teks tautan sering dibuat terlihat aman, misalnya “Klik di sini untuk verifikasi akun”. Namun, ketika diarahkan ke URL sebenarnya, alamat tersebut bisa berbeda jauh dan mengarah ke situs mencurigakan. Ini adalah salah satu teknik paling umum dalam phishing.
Apa itu phishing link?
Contoh file pishing mencurigakan di Windows
Foto oleh Ed Hardie di Unsplash
Inti dari sebuah phishing email hampir selalu terletak pada tautan yang disisipkan di dalamnya. Seluruh skenario dirancang untuk mengarahkan korban secara halus menuju satu tindakan, yaitu untuk mengklik link tersebut.
Masalahnya, tautan tersebut tidak membawa ke halaman resmi. Sebaliknya, korban diarahkan ke website palsu yang dirancang menyerupai layanan asli, mulai dari tampilan hingga struktur halaman. Tujuannya jelas, yaitu untuk mencuri data atau menyisipkan malware ke perangkat pengguna.
Meski terlihat meyakinkan, ada sejumlah tanda yang bisa membantu mengenali phishing link.
Domain yang dimodifikasi (typosquatting)
Pelaku sering mengganti karakter domain website dengan bentuk yang mirip secara visual. Huruf “l” bisa diganti angka “1”, “o” menjadi “0”, atau “m” terlihat seperti “rn”. Hasilnya, domain seperti “arnazon.com” sekilas tampak sah. Cara paling aman adalah membaca alamat domain secara perlahan, huruf demi huruf.
Penambahan karakter yang tidak wajar
Perhatikan URL secara keseluruhan sebelum mengklik. Penipu kerap menambahkan tanda hubung, angka, atau kata tambahan untuk meniru brand asli. Contohnya, “paypal-secure-login.com” bukanlah domain resmi PayPal, dan “amazon-account-verify.net” bukan milik Amazon. Nama brand memang terlihat benar, tetapi domainnya berbeda.
Subdomain yang mencurigakan
Phishing juga sering memanfaatkan struktur URL untuk menyesatkan. Kata-kata seperti “secure” atau “login” disisipkan di sekitar nama brand. Sekilas terlihat meyakinkan, tetapi sebenarnya bukan domain resmi. Misalnya, “apple-id-verify.com” bukan milik Apple, meskipun namanya terlihat familiar.
Jenis-jenis phishing attack
Ilustrasi coding serangan pishing
Foto oleh Jakub Zerdzicki di Pexels
Phishing bukan satu metode tunggal. Ia berkembang menjadi berbagai teknik yang dirancang untuk mengeksploitasi kebiasaan pengguna di berbagai platform. Setiap jenis memiliki pendekatan berbeda, tetapi tujuannya tetap sama, yaitu untuk mendapatkan akses ke informasi sensitif. Berikut penjelasan masing-masing jenis phishing yang paling umum digunakan saat ini:
Email phishing
Phishing melalui email sudah ada sejak lama, bahkan sejak era internet dial-up pada 1990-an. Saat itu, pengguna layanan seperti AOL sering dimanfaatkan oleh pelaku yang menyamar sebagai administrator untuk mencuri informasi data login.
Memasuki tahun 2000, metode ini berkembang menjadi lebih agresif. Salah satu contoh terkenal adalah serangan ILOVEYOU worm yang menyebar ke puluhan juta komputer Windows hanya dalam hitungan hari, dipicu oleh rasa penasaran terhadap email dengan judul menarik.
Kini, tekniknya semakin canggih. Email phishing banyak ditulis dengan bantuan AI, sehingga sulit dibedakan dari pesan asli dari perusahaan resmi. Skala serangannya pun masif, jutaan email phishing dikirim setiap hari. Metode ini tetap menjadi bentuk kejahatan siber paling umum karena menargetkan manusia, bukan celah teknis pada sistem.
Spear phishing
Berbeda dengan email phishing yang menyasar banyak orang sekaligus, spear phishing lebih terarah. Pelaku biasanya sudah mengetahui nama, posisi, hingga perusahaan target.
Informasi ini sering diperoleh dari platform publik seperti LinkedIn, Facebook, atau Twitter. Dari sana, pelaku dapat memetakan struktur organisasi dan merancang serangan yang terasa personal.
Semakin detail informasi yang digunakan, semakin kecil kemungkinan korban mencurigai pesan tersebut.
Smishing
Smishing adalah phishing yang dilakukan melalui SMS atau di era sekarang pesan WhatsApp. Berbeda dengan email, pesan teks sering dianggap lebih personal dan mendesak, sehingga pengguna cenderung bereaksi lebih cepat tanpa verifikasi.
Ada dua faktor utama yang mendorong peningkatan smishing. Pertama, sistem filter spam membuat email phishing semakin sulit menembus inbox email. Kedua, tren kerja di negara seperti Indonesia yang umum menggunakan perangkat pribadi untuk urusan kerja.
Vishing
Vishing adalah phishing melalui panggilan telepon. Pelaku biasanya menyamar sebagai pihak resmi, seperti bank atau layanan pelanggan.
Dalam beberapa kasus, serangan dimulai dari email yang meminta korban menghubungi nomor tertentu. Setelah percakapan terjadi, pelaku akan terus membangun kepercayaan hingga korban tanpa sadar memberikan informasi penting.
Teknik ini mengandalkan interaksi langsung, sehingga tekanan psikologis yang diberikan sering kali lebih kuat dibandingkan metode lainnya.
Cara melindungi diri dari phishing attack
Ilustrasi perlindungan keamanan dari pishing
Foto oleh FlyD di Unsplash
Dalam beberapa tahun terakhir, pendekatan terhadap phishing dalam dunia cybersecurity mengalami perubahan signifikan. Perusahaan atau organisasi tidak lagi hanya mengandalkan satu lapisan perlindungan, melainkan kombinasi berbagai metode. Bagi pengguna individu, ada beberapa langkah dasar yang bisa diterapkan untuk mengurangi risiko, di antaranya:
Gunakan 2-Factor Authentication (2FA)
Lapisan keamanan tambahan ini menjadi salah satu pertahanan paling efektif. Meskipun password Anda berhasil dicuri melalui phishing, pelaku tetap membutuhkan verifikasi kedua, misalnya kode OTP atau autentikasi dari perangkat lain, untuk bisa mengakses akun.
Periksa alamat pengirim secara detail
Nama pengirim bisa menipu, tetapi alamat email sebenarnya sering mengungkap kejanggalan. Domain seperti “g00gle.com” jelas berbeda dari Google. Karena itu, selalu periksa alamat lengkap sebelum mengambil tindakan apa pun.
Pahami bahwa serangan bergantung pada klik Anda
Sebagian besar phishing hanya berhasil jika korban mengklik tautan yang diberikan. Link tersebut biasanya mengarah ke website palsu yang dirancang untuk mencuri data login. Jika ragu, arahkan kursor (hover) untuk melihat URL asli, atau ketik alamat website secara manual di browser.
Manfaatkan spam filter
Layanan email modern umumnya sudah dilengkapi sistem penyaring yang dapat mendeteksi dan memisahkan pesan mencurigakan. Meski tidak sempurna, spam filter mampu menahan sebagian besar serangan sebelum mencapai inbox utama.
Laporkan jika menemukan kejanggalan
Melaporkan email phishing bukan hanya melindungi diri sendiri, tetapi juga pengguna lain. Semakin banyak laporan yang masuk, sistem akan semakin baik dalam mengenali pola serangan, sehingga jumlah email berbahaya yang lolos bisa ditekan.
