Sebuah email dari pelayanan pelanggan PayPal memintamu untuk mengkonfirmasikan data penggunamu. Kamu pun mengirim detail rekeningmu tanpa berpikir panjang karena kamu pikir email itu adalah pemberitahuan rutin. Walaupun kamu tidak menyadarinya, seluruh uang yang ada di rekeningmu bisa lenyap total bahkan sebelum kamu bangun keesokan paginya, dan kamu pun telah bergabung dalam sebuah klub yang beranggotakan ribuan orang yang dikibuli oleh email palsu (phishing).
Apakah Phishing Itu Sebenarnya?
Phishing (diucapkan seperti "fishing"---memancing) adalah sebuah tindakan penipuan yang digunakan untuk memancing informasi rahasia seseorang. "phishers" atau si pelaku phishing ini lalu menggunakan informasi tersebut, yang biasanya berkaitan dengan data finansial, untuk kepentingan mereka sendiri; misalnya untuk mencuri uang dalam rekening seseorang.
Mengapa harus kata yang aneh ini yang dipakai? - Penggunaan "ph" sebagai ganti dari "f" merupakan ciri khas dalam istilah hacking. Ini semua berawal dari "phreaking", sebuah istilah dalam pembajakan jaringan telepon. Sedangkan kata "phishing" sendiri berasal dari "fishing" yang berkaitan dengan usaha untuk memancing data keuangan seseorang.
Bagaimana Cara Phisher Menyerang?
Cara phisher mentarget seseorang bervariasi dari trik yang paling simpel sampai ke yang paling rumit.
Trik Penipuan
Phishing memanfaatkan keserakahan seseorang, dan dalam beberapa kasus justru kejujuran seseorang.
Pernahkah kamu mendapatkan sebuah email dengan tulisan "Andalah pemenangnya!!!" pada subject linenya? Atau pernahkah kamu mendapat email yang mengatakan bahwa kamu akan mendapatkan ribuan, bahkan jutaan dolar dalam tempo singkat?
Mari kita lihat salah satu contoh email tersebut :
Umumnya, phishers menggunakan uang sebagai umpan utamanya. Seringkali, email seperti itu mengatakan bahwa sasaran korban telah memenangkan lotere atau undian berhadiah. Pengguna internet yang masih pemula mempunyai kemungkinan besar untuk terjebak dalam tipuan ini.
Bentuk lain dari tipuan ini adalah dengan memanfaatkan kejujuran seseorang sebagai jebakan. Phisher mengirim email ke calon korban dengan memberikan detil transaksi yang tidak pernah ia lakukan. Calon korban kemudian mengisikan informasi rahasianya untuk mengklarifikasi kesalahan. Tapi sebaliknya, hal tersebut justru malah mensuplai informasi kepada kriminal.
Email palsu sering mengandung pesan yang panjang untuk meyakinkan kebenarannya:
"Informasi anda telah dikirim melalui server yang aman. Kami menjamin kerahasiaan seluruh informasi tagihan dan detail kontak Anda."
Perusahan yang bereputasi tidak akan mengkonfirmasi informasi rahasia lewat email. Mereka akan menggunakan cara-cara yang lebih legal seperti mengirim surat resmi kepada pelanggan dan mengundang pelanggan untuk datang langsung ke perusahaan tersebut jika ada hal-hal yang memerlukan klarifikasi.
Meraih Target Potensial
Email dan Spam
Tidak semua penerima email adalah pelanggan dari perusahan yang diklaim oleh si penipu. Phisher hanya mentarget sebagian kecil dari total jumlah pelanggan asli.
Dengan mengirimkan sejimlah besar email, yang di tahun 2004 diperkirakan berjumlah sekitar 3.1 miliar, phisher dapat merasa yakin jika setidaknya sejumlah orang akan bereaksi terhadap email tersebut dan jatuh dalam perangkap yang mereka buat. Sebuah survei yang dilakukan oleh Gartner Inc. pada April 2003 ("Korban Phishing Mungkin Menjadi Target Pencurian Identitas") menemukan bahwa 3% dari 5000 orang dewasa yang disurvei menyerahkan identitas pribadi mereka dalam kasus penipuan phishing.
Email ini terlihat kredibel karena si pengirim menggunakan @oldnationalbank.com sebagai nama domainnya daripada nama domain @yahoo.com atau @hotmail.com yang bisa didapatkan dengan mudah. Nama domain menandakan bahwa si pengirim berasal dari perusahaan yang legal dan mempunyai otoritas.
Faktanya, hal ini bisa dilakukan karena phisher memanfaatkan kelemahan utama dari SMTP (Simple Mail Transfer Protocol-Protokol Transfer Pesan Sederhana). Mereka bisa membuat label "mail from:" versi mereka sendiri untuk meniru organisasi yang mereka bajak. Phisher juga dapat mengeset "RCPT:" field dengan sebuah alamat email yang digunakan untuk membuka email-email yang dikirim oleh korban ke email phishing.
Sebuah cara mudah untuk mengidentifikasi phishing email adalah dengan memperhatikan tata bahasanya. Pada email phishing sering terdapat kesalahan tata bahasa yang cukup serius. Hal ini dimaksudkan untuk menghindari Spam blocker.
Halaman Selanjutnya