Phising?
Membohongi pengguna agar memberikan kata sandi atau informasi pribadi . Phising memiliki tradisi panjang di komunitas cybercrime. Pada awal 90-an, dengan semakin populernya Internet, telah lahir jenis cybercrime baru; yaitu phising. Pada tahun 1987, deskripsi rinci tentang phising diperkenalkan, dan serangan pertama yang dicatat adalah pada tahun 1995 (James 2005).
Saat ini, phisher memperluas serangan mereka untuk mencakup pengguna dan bisnis di seluruh dunia (Sullins 2006). Pada awalnya, phisher bertindak secara individu atau dalam kelompok kecil dan sederhana. Biasanya, phising dilakukan melalui praktik rekayasa sosial. Seorang penyerang dapat memperkenalkan dirinya sebagai orang yang rendah hati dan terhormat yang mengaku baru di pekerjaan itu, orang yang membantu atau peneliti. Contoh menggunakan rekayasa atau sejenis penipuan dengan meminta pengguna untuk mengirimkan informasinya sesegera mungkin. Risiko hasil yang mengerikan jika pengguna menolak makan muncul taktik lain yang digunakan untuk memulai phising, misalnya memperingatkan pengguna bahwa akunnya akan ditutup atau layanan akan dihentikan jika ia tidak merespons. Namun, beberapa taktik rekayasa sosial menjanjikan hadiah besar dengan menunjukkan pesan yang menyatakan bahwa pengguna telah memenangkan hadiah besar dan untuk menerimanya ia harus menyerahkan informasinya.
Phising adalah alternatif dari kata “fishing” (Oxford Dictionaries 1990) dan mengacu pada umpan yang digunakan oleh phisher yang menunggu korban digigit (James 2005). Survei biasanya menggambarkan phisher awal sebagai pembuat kenakalan yang bertujuan mengumpulkan informasi untuk melakukan panggilan telepon jarak jauh (Watson, Holz dan Mueller 2005); serangan seperti itu disebut “Phone Phreaking”. Nama ini berada di belakang asal “ph” penggantian karakter ‘f’ dalam kata “fishing” (Kamus Oxford 1990).
Situs web phising dirancang untuk memberi kesan bahwa situs tersebut berasal dari pihak yang sah dengan tujuan untuk menipu pengguna agar membocorkan informasi pribadi mereka denagn fokus phisher pada pelanggan individu, organisasi yang ditiru phisher juga menjadi korban karena merek dan reputasi mereka.
Karena situs web phising meminta korban untuk mengirimkan kredensial mereka melalui halaman web, perlu meyakinkan para korban ini bahwa mereka berurusan dengan entitas yang jujur. Situs web phising memenuhi kriteria berikut:
- Menampilkan kesamaan visual yang tinggi.
- Berisi setidaknya satu formulir login.
Situs web phising adalah praktik membuat salinan situs web yang sah dan menggunakan keterampilan sosial untuk membodohi korban agar mengirimkan informasi pribadinya.
Kata phising berawal pada tahun 1996, kebanyakan orang percaya kata ini berasal sebagai ejaan alternatif dari fishing (memancing) seperti halnya “memancing informasi”. phising dikenal juga sebagai Brand spoofing atau Carding adalah sebuah bentuk layanan yang menipu anda dengan menjanjikan keabsahan dan keamanan transfer data yang anda lakukan. Spoofing dapat didefinisikan sebagai teknik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer atau informasi, dimana penyerang berhubungan dengan pengguna dengan berpura-pura memalsukan bahwa mereka adalah host yang dapat dipercaya.
phising adalah singkatan dari Password Harvesting, phising yang artinya adalah tindakan memancing dengan tujuan untuk mengumpulkan password. Bentuk penipuan melalui phising, baik untuk mendapatkan informasi yang sensitif seperti password, nomor kartu kredit dan lain-lain atau menggiring orang untuk melakukan download file palsu yang berisi virus dengan menyamar sebagai orang atau lembaga bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti email atau pesan singkat lainnya.
Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti–phising Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phising. Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian.
Komunikasi yang dipakai ini mulai dalam bentuk web site social yang sangat popular di mata masyarakat, site-site auction/ lelang, pengolah transaksi online payment atau dalam bentuk lain yang biasanya user menggunakan site tersebut untuk kepentingan administrasi, seperti email site, site jejaring public, dan lainnya. Bentuk phising yang lain adalah mengirimkan email official dan instant messaging kepada user yang biasanya menggunakan site-site legitimate dan situs-situs dengan nama besar perusahaan yang dikenal masyarakat dilengkapi dengan logo perusahaan, header email official sampai dengan cap dan tanda tangan salah satu pimpinan perusahaan tersebut.
Tujuan dari phising ini bermacam-macam:
- Pertama, hanya untuk menangkap user account dan password, bertujuan untuk eksploitasi data user dan administrator.
- Kedua, memberikan tawaran investasi palsu, bertujuan untuk menipu.
- Tiga, bisa saja memberikan informasi sesat kepada user, yang bertujuan untuk melakukan justifikasi buruk kepada perusahaan lain (black campaign). Teknik yang terakhir ini dapat dikatakan social engineering, sebuah teknik yang jarang dilakukan oleh hacker tetapi sangat ampuh untuk membuat opini buruk kepada perusahaan pesaingnya.
Taksonomi Serangan phising
Gambar: Klasifikasi berbagai serangan phising
Penyerang melakukan serangan phising dengan memanfaatkan teknik akal dan teknik sosial. Dalam teknik rekayasa sosial, penyerang melakukan serangan ini dengan mengirim email palsu. Penyerang sering meyakinkan penerima untuk merespons menggunakan nama bank, perusahaan kartu kredit dan sebagainya. Strategi akal-akalan teknis menginstal malware ke dalam sistem pengguna untuk mencuri kredensial secara langsung menggunakan Trojan dan spyware keylogger. Malware ini juga menyesatkan pengguna ke situs web palsu atau server proxy. Penyerang memasang malware atau tautan jahat yang tertanam dalam surel penipuan dan ketika pengguna membuka tautan penipuan, peranti lunak jahat dipasang pada sistem pengguna, yang mengumpulkan informasi rahasia dari sistem dan mengirimkannya ke penyerang (mis., Perangkat lunak keylogger mengirimkan rincian setiap tombol yang dipukul oleh pengguna). Penyerang juga dapat memperoleh akses jarak jauh ke komputer korban dan mengumpulkan data kapan pun penyerang inginkan. Klasifikasi berbagai serangan phising ditunjukkan pada Gambar: Klasifikasi berbagai serangan phising.
Cara Kerja phising
Gambar: Mekanisme phising
Mekanisme phising ditunjukkan pada Gambar. Situs web palsu adalah tiruan dari situs web asli yang ditargetkan, dan selalu berisi beberapa bidang masukan (mis., Kotak teks). Ketika pengguna mengirimkan detail pribadinya, informasi tersebut ditransfer ke penyerang. Seorang penyerang mencuri kredensial pengguna yang tidak bersalah dengan melakukan langkah-langkah berikut:
- Konstruksi Situs phising. Pada langkah pertama penyerang mengidentifikasi target sebagai organisasi terkenal. Setelah itu, penyerang mengumpulkan informasi terperinci tentang organisasi dengan mengunjungi situs web mereka. Penyerang kemudian menggunakan informasi ini untuk membuat situs web palsu.
- Mengirim URL. Pada langkah ini, penyerang membuat email palsu dan mengirimkannya ke ribuan pengguna. Penyerang melampirkan URL situs web palsu di email palsu. Dalam kasus serangan phising tombak, penyerang mengirim email ke pengguna yang dipilih. Seorang penyerang juga dapat menyebarkan tautan situs phising dengan bantuan blog, forum, dan sebagainya.
- Mencuri Kredensial. Ketika pengguna mengklik URL terlampir, akibatnya, situs palsu dibuka di browser web. Situs web palsu berisi formulir login palsu yang digunakan untuk mengambil kredensial pengguna yang tidak bersalah. Selanjutnya, penyerang dapat mengakses informasi yang diisi oleh pengguna.
- Pencurian identitas. Penyerang menggunakan kredensial tujuan jahat ini. Misalnya, penyerang membeli sesuatu dengan menggunakan detail kartu kredit pengguna.
Referensi :
BBB Online: phising http://www.bbbonline.org/idtheft/phising.asp
Chhikara, Jyoti dkk. phising & Anti-phising Techniques: Case Study. International Journal of Advanced Research in Computer Science and Software Engineering. 2013
Cybertreath.id. Arif Rahman. https://cyberthreat.id/read/4237/2019-phising-Makin-Canggih-dan-Kreatif
Europol EC3. Spear phising A Law Enforcement and Cross-Industry Perspective. 2019.
Jain, Ankit Kumar and B. B. Gupta. Review Article phising Detection: Analysis of Visual Similarity Based Approaches. 2017. Hindawi, Security and Communication Networks. https://doi.org/10.1155/2017/5421046. (diakses pada 12 Juni 2020)
James, Lance. phising Exposed. Syngress Publishing, 2005.
Open Web Apllication Security Project. The State of phising Attack Vector. 2018.
Sullins, Lauren L. “phising for a Solution: Domestic and International Approaches to
Decreasing Online Identity Theft.” Emory International Law Review 20 (2006): 397-433.
Wahid, A dan Labib, M. 2010. Kejahatan Mayantara. Bandung: Refika Aditama.
Watson, David, Thorsten Holz, and Sven Mueller. “Behind the Scenes of phising Attacks.”
Know your Enemy: phising. 2005