Meskipun internet adalah dunia maya, namum tetap ada tata
krama atau etika yang harus diperhatikan oleh semua pengguna
internet. Internet bisa diibaratkan pisau, bila berada ditangan
orang yang baik akan bisa menghasilkan sesuatu yang berguna,
sebaliknya jika berada ditangan orang jahat akan bisa menyebabkan
terjadinya penyalahgunaan dan bahkan tindakan kriminal atau
lebih dikenal dengan istilah Abuse.
Jenis-jenis abuse sangatlah banyak, contohnya seperti cracking
(memanfaatkan kelemahan sistem), brute force (percobaan
menyusupi sistem secara paksa dan berulang), spamming (mengirim
informasi atau iklan sampah secara acak), DoS (Denial of
Service: menyerang sistem dengan tujuan melumpuhkan layanan
yang ada pada sistem tersebut), dDos (distributed DoS: DoS
yang banyak, terdistribusi dan terus menerus), Deface (mengubah
tampilan situs secara ilegal / tanpa izin), sniffing (menyusup
kedalam dan memata-matai kegiatan dalam sistem) dan lain-lain.
Dalam beberapa tahun terakhir, jumlah kejahatan melalui
internet di seluruh pelosok dunia meningkat sangat tajam,
termasuk di Indonesia. Menurut data yang dikeluarkan oleh
Verisign™, sebuan perusahaan layanan infrastruktur
internet, pada akhir tahun 2003 Indonesia menduduki posisi
teratas dalam kategori negara terbanyak melakukan tindakan
abuse, dan akhir tahun 2004 Indonesia berada p`da posisi
ketiga setelah Kamerun dan Nigeria.
A. Asal Mula kata 'Phishing'
Dalam beberapa tahun terakhir, ada satu tindakan abuse
internet yang sedang trend, yaitu phishing. Pernahkah anda
mendengar kata phishing? Tidak ada definisi baku untuk kata
ini, namun kata phishing adalah sebuah akronim singkatan
dari Password Harvesting Fishing, yang artinya kurang lebih
adalah memancing untuk mengumpulkan password. Berikutnya
muncul banyak pertanyaan antara lain: Password apa yang
dimaksud? Memancing bagaimana? Apa dan siapa saja yang bisa
jadi korban? Siapa pelakunya? Bagaimana cara menghindari
phishing? Mari kita bahas satu persatu.
Dari manakah kata phishing datang? Kata phishing datang
dari analogi pengguna internet nakal yang menggunakan tipuan
email untuk 'fishing' atau memancing password dan data finansial
dari lautan pengguna internet. Sedangkan "Ph"
adalah pengganti huruf hacker untuk "f" dan merupakan
huruf pertama dari kata asal hacking, yaitu "phreaking".
B. Pengertian Phishing dan Phisher
Phishing yaitu aktivitas seseorang untuk mendapatkan
informasi rahasia user dengan cara menggunakan email dan
situs web yang menyerupai aslinya atau resmi. Informasi
rahasia yang diminta biasanya berupa password account atau
nomor kartu kredit,SSN, detail pembayaran dll.
Phisher adalah pelaku dari phishing. Phisher kadang dapat
menggunakan email,banner atau popup window untuk menipu
user ke suatu situs web palsu, dimana disana user diminta
untuk memberikan informasi pribadinya.
C. Target
Target phishing adalah kecerobohan dan ketidaktelitian para
pengguna jasa situs-situs jual-beli online, internet banking,
online shopping dan sejenisnya yang melibatkan transaksi
secara online melalui situs internet atau layanan telepon
selular.
D. Cara Kerja Phishing
Phishing dapat dilakukan secara aktif maupun pasif. Phisher
mengirimkan ribuan email (spoofed email) ke target sasaran
dengan menipu sebagai email resmi suatu perusahaan kartu
kredit, perusahaan pembiayaan atau instansi resmi. Email
tersebut terlihat seperti dikirim dari pihak resmi, sehingga
pelanggan target seringkali tidak menyadari kalau mereka
sedang ditipu.
Pada email, sebagai contoh misalnya phisher memberitahukan
tentang perlunya verifikasi account kartu kredit dengan
mengirimkan nomor kartu kredit tersebut dengan cara mengklik
link URL pada email. Link URL tersebut akan menuju situs
palsu (fraudulent website) dimana user diminta menginput
nomor kartu kreditnya dan mengirimkannya , dengan embel-embel
agar accountnya dapat dipergunakan kembali dan ter-update
dalam database perusahaannya. Setelah phisher berhasil mengantongi
nomor kartu kredit user, lalu phisher dapat menggunakannya
untuk berbelanja atau meminjam identitas kita.
Berikut adalah contoh email phishing yang menggunakan nama
Citibank
Dengan mengaku pihak resmi bank atau perusahaan terpercaya,
retailer online atau perusahaan kredit card, phisher bisa
meyakinkan sampai 5% dari penerima email untuk mengikuti
perintahnya. Hal ini dikarenakan tipuan mereka tidak terlihat
, apalagi oleh orang yang kurang berhati-hati, tergesa-gesa
atau awam terhadap internet.
1. Faktor Pendekatan Sosial. Kebanyakan para korban diberi
pesan menarik dan digiring kedalam
jebakan dengan tujuan agar korban mau melakukan beberapa
tindak lanjut dari email palsu tersebut
dan si korban memberikan informasi berharga
kepada si phisher.
2. Pengiriman Pesan. Bisa melalui email spam, web-based
delivery, iklan jebakan dalam web,
IRC dan Instant Messaging (Yahoo Messenger, MSN Msgr, AOL,
ICQ dan lain-lain.). Bisa pula calon
korban diajak untuk menuju situs buatan para phisher
yang mengandung trojan, jadi saat si korban membuka situs
jebakan, secara tidak sadar di belakang
terjadi proses infeksi sistem oleh trojan.
E. Mengenali Phishing
Melakukan serangan phishing sangatlah mudah, dan tidak
memerlu-kan banyak kemampuan teknis. Salah satu syaratnya
adalah dapat mengirimkan email dalam jumlah banyak, ratusan
atau ribuan serangan email, dan membuat situs palsu untuk
mendapatkan informasi dari pelanggan target.
Bagaimanakah Ciri-Ciri Phishing?
1. Email phishing mengatasnamakan instansi
resmi/bereputasi
-menggunakan logo/branding perusahaan,
banner atau ciri khas perusahaan.
-memiliki link ke situs resmi perusahaan
tersebut.
-alamat email seperti alamat email aslinya
2.Alamat Reply berbeda dengan alamat Sender
Pada email, pengirim mengklaim dari perusahan
resmi, tetapi harus direply atau dibalas
ke alamat lain, Berikut adalah contoh dari email
phishing:
From: EarthLink Security Dept. From: Citibank
Reply-To: earthlink8770@1-base.com Reply-To: citibank3741@collegeclub.com
3. Menggunakan Alasan yang masuk Akal
Setelah mengaku dari perusahaan resmi,
biasanya email akan berisi alasan yang membujuk
user agar menuliskan informasi yang diinginkannya
dengan alasan bahwa kartu kredit anda telah kadaluarsa,
atau account secara acak sedang diverifikasi sehingga
anda harus memperbaharui account tersebut.
Kadang bisa juga mereka memberitahukan
bahwa anda telah terkena phishing dan diminta
untuk memasukan informasi finansial agar account anda
tetap aman.
4.Email bersifat Urgent / harus cepat dibalas
Email berisi subjek yang harus cepat ditindak
lanjuti dan jika tidak account akan dihapus
atau tidak dapat digunakanlagi
5.Meminta informasi dalam email
Biasanya meminta inforamsi kartu kredit
, password, dll
6.Menyertakan link ke situs palsu untuk menipu
user
Misalnya, salah satu email dari ebay dengan
link: “http://ebaysecuritycheck.
easy.dk3.com/Ebayupdatessl.html”
Situs ebay sendri beralamat di www.eBay.com.
Pisher berharap domain http://ebay-securitycheck.easy.dk3.com”
adalah domain milik ebay
7.Link situs yang dituju pada email berbeda
dengan link pada address bar situs tersebut.
Pada emai, link yang terlihat di email
biasanya berbeda dengan link tujuannya. Misal
di email “http://account.earthlink.com,” tetapi
setelah diklik sebenarnya menuju ke http://www.memberupdating.com.”
F. Sistem Pendukung Serangan Phishing
Transparent Proxies
Dengan terlebih dahulu menginfeksi sistem komputer korban,
setiap melakukan browsing tanpa sadar si korban dipaksa
secara diam-diam menggunakan proxy milik si phisher. Jika
kondisi demikian, maka setiap URL yang diketikkan nleh si
korban akan melalui proxy penjebak, dan bila dalam URL itu
mengandung unsur kata yang dimaksud oleh si penjebak, maka
secara otomatis web tujuan korban akan dibelokkan ke web
buatan si phisher tanpa diketahui oleh korban, karena seakan-akan
si korban measa bahwa dia telah menuliskan alamat tujuannya
dengan benar, padahal komputernya telah diinfeksi dan telah
menggunakan proxy milik si phisher.
DNS Cache Poisoning
Dengan menggunakan trojan, file host dns bisa ditambah dan
dirubah sesuai dengan keinginan si penjebak sesuai dengan
kehendak si penjebak. Misalkan, pada keadaan normal, www.melsa.net.id
itu sebenarnya berasal dari IP 202.138.xxx.yyy, setelah
dirubah oleh trojan, maka bisa aja dalam entri file host
dnsnya ditambah atau dirubah menjadi seperti:
“210.23.abc.def www.melsa.net.id”
Jika kondisi seperti itu, maka setiap korban mengetikkan
URL www.melsa.net.id itu dibelokan ke arah IP 210.23.abc.def
, padahal seharusnya menuju 202.138.xxx.yyy.
Friendly login URL’s
Beberapa browser membolehkan proses login dengan praktis.
Contohnya, misalkan UserID anda di melsa adalah “aku”,
dan passwordnya misalkan adalah “coba”, maka
pada browser yang bisa menggunakan sistem Friendly Login,
anda cukup mengetik “http://aku:coba@www.melsa.net.id”.
Begitu mudahnya sehingga memancing para phisher untuk memanfaatkan
kecerobohan calon korban, misalnya dengan kasus seperti
berikut ini. Anda pengguna klikbca.com, dan suatu hari anda
menerima email yang berisi anjuran untuk menuju situs klikbca.com
hanya dengan meng-klik link yang tersedia dalam email itu,
dan link itu tulisannya seperti (misal)
“https://ibank.klikbca.com:ibanking@www.kilkbca.com:4093/index.html”.
Bila anda jeli, tulisan “ibank.klikbca.com”
itu adalah username atau userid, dan kata berikutnya “ibanking”
adalah password untuk menuju situs yg sebenarnya yg tertulis
setelah tanda “@”, ternyata situs yang di klik
oleh korban adalah www.kilkbca.com, bukan www.klikbca.com.
Anda juga terkecoh? Hati-hati.
Third-party shortened URL’s
Modusnya kebanyakan dengan menggunakan email spam, isinya
seakan-akan dari institusi resmi dan pura-pura sedang terjadi
sesuatu yang penting, misalkan situsnya sedang diserang
oleh pihak tidak bertanggung jawab atau sedang diadakan
perbaikan sistem sehingga dikhawatirkan akan terjadi masalah
dalam login dan pengaturan database user. Kemudian si korban
dianjurkan untuk login dan mengikuti petunjuk selanjutnya
yang terdapat pada halaman berikutnya pada link yang telah
disediakan, dan juga si korban diwanti-wanti bahwa jika
mengalami kegagalan, berarti memang kerusakan sudah terjadi
dan diharapkan mengunjungi situs alternatif yang disebut
didalamnya, misalkan dianjurkan untuk mengunjungi situs
www.klikbca-temp.com. Padahal itu jelas-jelas hanya tipuan
belaka.
Key Logging
Komputer korban yang telah terinfeksi trojan akan dpasangi
program keylogger, yaitu program kecil yang bekerja secara
diam dan di background. Tugas keylogger adalah mencatat
semua bentuk inputan yang dketikkan dari keyboard komputer
korban dan mengirimkan hasilnya kepada si phisher.
G. Menghindari Phishing
Seperti dalam dunia nyata, para phisher akan terus menerus
mengembangkan cara-cara menipu ketika anda sedang online.
Agar anda tetap aman, anda dapat mengikuti langkah-langkah
berikut dibawah ini:
1. Jangan merespon terhadap permintaan informasi pribadi
lewat email atau pop-up window.
2. Kunjungi situs pada link yang ada dengan menulis URL
pada address bar browser anda, jangan
percaya dengan cara mengklik langsung pada link tersebut.
3. Cek security untuk memastikan situs web tersebut memakai
enkripsi
4. Secara rutin mengecek kartu kredit anda dan pernyataan
bank anda.
5. Laporkan abuse buse dari tersangka ke instansi yang berwenang
Langkah 1: Jangan merespon terhadap permintaan
informasi pribadi lewat email atau pop-up window
Situs-situs resmi tidak akan mungkin bertanya tentang password,
nomor kartukredit, atau informasi pribadi lainnxa dalam
bentuk email. Bila anda menerima email yang meminta informasi
tersebut, jangan ditindak lanjuti. Bila email tersebut merupakan
email resmi, segeralah kontak atau telpon atau lihat situs
webnya untuk mengkonfirmasi kebenarannya. Lanjutkan dengan
langkah 2 untuk cara terbaik menuju situs web resmi bila
anda merasa sedang menjadi sasaran phishing.
Berikut ini adalah title-title email dari kasus yang telah
terjadi dan berhasil dikumpulkan oleh antiphishing.org :
- 'Protect your debit card from fraudulent online transactions''
- 'Verify and update your PayPal information'
- 'Please update your Ebay account information'
- 'accounts@citibank.com'
- 'U.S. Bank Consumer Alert'
- 'U.S. Bank® Fraud Verification Process'
- 'Online banking issue'
- 'Ebay(R) Re-Activation Unit'
- 'Online banking - protect yourself from internet fraud'
- 'TKO NOTICE - Pay your fees to eBay.com'
- 'eBay account verification needed'
- 'Image-only mail, hidden URL'
- 'Fleet cardmember security update'
- 'Citibank E-mail Verification: '
- 'Visa Security Update '
- 'Your eBay information must be confirmed'
- 'Official information!'
- 'Citibank notification'
- 'Protect your Citib`nk account'
- 'Your eBay Account Must Be Confirmed'
- 'MSN HOTMAIL Account Verification'
Untuk lebih lengkapnya, anda dapat melihatnya lebi detil
di Anti-Phishing
Working Group Phishing Archive
Langkah 2 : Kunjungi situs pada link yang ada dengan
menulis URL pada address bar browser anda
Bila anda mengangap bahwa email dari perusahaan kartu kredit,
bank atau online payment serveice, atau situs web tersebut
bukan asli, jangan pernah mengikuti link yang menunjukkan
ke situsnya dari email tersebut. Link tersebut dapat berupa
link palsu, dimana tertulis resmi , tetapi mengarah ke situs
web yang palsu .
Anda mungkin melihat bahwa alamat yang tertera pada address
bar pada browser anda, tertulis resmi, atau panjang sekali
sehingga susah untuk terlihat alamat domainnya, tetapi hal
tersebut dapat saja menipu.
Langkah 3 : Cek security untuk memastikan situs
web tersebut memakai enkripsi
Bila anda tidak mempercayai situs web dari alamat URL,
lalu bagaimanakah agar dapat memastikan apakah situs itu
aman atau tidak?. Ada beberapa cara. Pertama, sebelum memasukan
informasi anda, cek apakah situs tersebut memakai enkripsi
atau tidak. Anda dapat memastikan situs tersebut memakai
enkripsi bila situs tersebet alamatnya berawalan https://
dan bukan http://. Pada browser, akan terlihat tanda aman
pada bagian bawah browser, di status bar , yaitu adanya
ikon gembok yang terkunci.Ikon tersebut menandakan bahwa
situs itu memakai enkripsi untuk memprotek informasi berharga
seperti nomor kartu kredit, SSN, detail pembayaran dll.
Klik dua kali pada ikon tersebut untuk menampilkan detail
dari sertifikat situs tersebut.
Menghindari Phishing
Nama pada kolom Issued haruslah sama dengan nama situs
tersebut. Jika berbeda, bisa jadi situs tersebut palsu.
Segera tinggalkan situs tersebut.
Langkah 4 : Secara rutin mengecek kartu kredit
anda dan pernyataan bank anda.
Walaupun anda telah mengikuti ketiga langkah diatas, anda
bisa saja masih menjadi korban phishing, Untuk itu, , lakukanlah
cek berkala terhadap kartu kredit anda.
Langkah 5 : Laporkan abuse dari tersangka ke instansi
yang berwenang
Bila anda merasa telah menjadi korban dari phishing, maka
lakukanlah hal-hal berikut:
Sesegera mungkin melaporkan hal tersebut ke perusahaan
yang ditipu. Bila anda tidak mengetahui kontak perusahaan
tersebut, maka kunjungilah situs web resmi tersebut untuk
mendapatkan informasi kontak yang benar. Perusahaan tersebut
biasanya memiliki satu email yang khusus menangnai laporan
abuse. Ingat untuk tidak mengikuti link manapun dalam email
phishing yang anda terima. Anda harus mengetik sendiri alamat
situs web tersebut langsung pada address bar browser anda.
H. Contoh Kasus
Salah satu contoh kasus phishing di Indonesia dialami oleh
pelanggan / pengguna situs internet banking milik Bank BCA
yaitu “klikbca.com”. Pada saat itu tahun 2001,
ada situs internet palsu yang sangat mirip penulisannya
dengan situs klikbca.com, yaitu “kilkbca.com”.
Sekilas, calon korban tidak akan sadar bahwa salah tulis
satu huruf saja akibatnya sangat fatal, yang akibatnya banyak
pengguna internet banking Bank BCA memasukkan username,
password dan nomor pin kedalam situs yang bukan seharusnya.
Anda pasti tahu apa yang terjadi berikutnya, yaitu si pemilik
situs palsu dengan leluasa menggunakan identitas korban
untuk masuk ke situs klikbca yang sebenarnya dan mentransfer
seluruh uang korban ke rekening miliknya. Kunci utama keberhasilan
kejadian ini adalah tampilan situs asli dan yang palsu persis
sama, sehingga korban tidak akan sadar sama sekali.
Contoh lain terjadi pada pelanggan internet banking milik
Westpac Banking Corporation, sebuah bank senior di Australia.
Modusnya adalah mengirimkan email spam yang berisi seakan-akan
situs internet banking mereka akan melakukan upgrade software
sistem, sehingga calon korban diminta meng-klik link yang
tersedia dalam email tersebut dengan dalih mempermudah akses
agar tidak perlu mengetik sendiri alamat yang harus dituju.
User yang ceroboh tentunya akan langsung klik saja link
yang disediakan, padahal secara tidak sadar link itu tidaklah
menuju situs yang dibicarakan, melainkan ke situs jebakan
milik penjebak, hanya saja tampilannya situs palsu itu sangat
mirip dengan yang asli.
Tidak hanya di internet, phishing juga bisa berlaku dalam
dunia jaringan komunikasi seluler, modusnya kebanyakan adalah
mengenai pembelian voucher prabayar, tapi ada juga yang
menggunakan kebohongan bahwa calon korban mendapatkan hadiah
undian melalui SMS.
Phishing Menggunakan Nama Citibank
Belakangan ini, phishing banyak dilakukan dengan menggunakan
nama Citibank. Seiring dengan kegiatan kriminal tersebut,
Citibank di seluruh dunia memberikan edaran dan pemberitahuan
kepada seluruh nasabahnya, termasuk Citibank Indonesia.
Sebagian informasi berikut diambil dari edaran dari Citibank
Indonesia, agar seluruh nasabah dapat lebih waspada terhadap
kegiatan phishing.
Contoh phishing email dan cara mengenalinya
1. Phishing e-mail
biasanya dikirim secara acak ke banyak orang sekaligus,
jadi biasanya tidak mencantumkan nama Anda secara spesifik.
2. E-mail tersebut
biasanya meminta Anda untuk memperbaharui informasi
pribadi atau mengkonfirmasi status rekening Anda.
3. Bisa juga e-mail
tersebut memperingatkan bahwa rekening Anda akan
ditutup bila tidak segera melakukan hal yang diminta.
4. Umumnya tercantum
alamat URL ke website palsu
dikutip dari: http://prayuda-penyu.blogspot.com/2012/03/apa-yang-dimaksud-internet-phishing.html
0 comments:
Post a Comment