Analisis Ancaman Phishing Dalam Layanan Online Ban PDF
Analisis Ancaman Phishing Dalam Layanan Online Ban PDF
php/jeb
Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
p-ISSN : 2088-6845 e-ISSN : 2442-8604
Abstract
The purpose of this study was to determine the factors that cause the
emergence of phishing and prevention against phishing threats. Systematic
Literature Review methods used to find answers to the research questions by
searching for studies related to the threat of phishing in online banking
services and perform narrative synthesis on the findings. Minimal knowledge
of the user, and the user's psychological privacy of users of social networking
services considered as factors that cause phishing. Educating users about the
threat of cyber crime, prevention at the level of e-mail, the use of anti-phishing
software, and system implementation disposable password in banking
services is an effective deterrent to the threat of phishing. Users must have a
good knowledge of the threat of crime, especially phishing, and the Bank has
the responsibility to provide education related to threats that can harm the
user.
Abstrak
1
Ekonomika-Bisnis,Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
2
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
3
Ekonomika-Bisnis,Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
4
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
Pengguna yang mengetahui hal-hal tersebut dakan pengguna untuk menghindari an-
juga rawan ketika sebuah website phishing caman phishing. Pengetahuan prosedural
menyerupai website resmi (visual pengguna dinilai dari kemampuan peng-
deception) yang mengakibatkan tidak guna untuk mengidentifikasi website
memperhatikan indikator keamanan pada phishing dari 5 URL yang telah diberikan
browser (SSL certified icon). dan pengetahuan konseptual pengguna
Faktor pengetahuan dan kesa-daran dinilai dari bagian URL mana yang menan-
pengguna terhadap ancaman serangan dakan website tersebut phishing atau tidak.
phishing juga didukung oleh Alsharnouby, Hal ini didukung oleh pernyataan
Alaca, & Chiasson (2015). Dalam paper Mohammad, Thabtah, & McCluskey
tersebut penulis meneliti mengenai (2015) faktor mengapa pengguna menjadi
kemampuan pengguna untuk mengiden- korban serangan phishing adalah mayoritas
tifikasi website phishing. Subjek penelitian pengguna memiliki pengetahuan yang
(responden) sebelumnya telah dibekali oleh minim terhadap ancaman kriminalitas
edukasi mengenai ancaman phishing dan online, tidak memiliki pengetahuan yang
improved browser security indicators. baik mengenai ancaman phishing, tidak
Hasilnya adalah 53% responden berhasil memiliki strategi yang baik dalam
mengidentifikasi ancaman phishing. Hasil mengenali serangan phishing, fokus ter-
tersebut dibawah ekspektasi awal yaitu hadap konten dibandingkan indikator pada
diharapkan 86% pengguna berhasil website, dan tidak mengetahui prosedur
mengidentifikasi website phishing. Hal ini layanan online yang dipakai sehingga
dikarenakan pengguna hanya meng- terjebak ketika mendapatkan e-mail dari
gunakan 6% waktunya untuk meng-amati layanan online yang mereka gunakan
indikator keamanan pada browser dan terkait informasi maintenance dan infor-
fokus mengenali tampilan konten pada masi-informasi lainnya yang dimanfaatkan
website yang diuji. phisher untuk mendapatkan data-data
Arachchilage & Love (2014) sensitif pengguna.
mengungkapkan hal serupa bahwa Parmar (2012) menyatakan
pengetahuan prosedural dan pengetahuan serangan spear-phishing yang berbeda
konseptual pengguna mempengaruhi tin- dengan serangan phishing konvensional
5
Ekonomika-Bisnis,Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
6
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
8
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
dengan pengguna yang belum dilatih oleh edukasi dapat disampaikan melalui
PhishGuru (Kumaraguru, et al., 2009). berbagai cara namun bank harus fokus pada
Lalu dilan-jutkan dengan membuat efektivitas edukasi tersebut. Seperti yang
permainan bernama Anti-Phishing Phil diungkapkan oleh Kumaraguru, et al.
yang bertujuan memberikan edukasi kepada (2009) bahwa edukasi yang efektif
pengguna agar dapat mendeteksi URL dilakukan dengan sistem pelatihan
resmi dan palsu. Hasilnya adalah walaupun (embedded training). Namun sistem
anti-phishing software ber-tindak sebagai tersebut membutuhkan waktu dan biaya
garis pertama dalam menghadapi serangan yang besar untuk dilakukan. Adanya media
phishing namun edukasi pengguna edukasi lain dalam bentuk permainan,
menawarkan pendekatan yang membantu edukasi melalui halaman website, video
pengguna mengidentifikasi e-mail dan edukasi dan lain sebagainya. Bentuk
website palsu (Kumaraguru, et al., 2010). edukasi yang akan diberikan kembali
Edukasi pengguna melalui media kepada pihak bank dengan
permainan (game) dinilai efektif dan memperhitungkan biaya serta timbal balik
meningkatkan self efficacy peng-guna atas tindakan tersebut.
dalam menghindari penipuan online. Namun pihak bank tidak hanya
Arachchilage & Love (2014) merancang menjadi pemegang tanggung jawab atas
kerangka desain permainan yang diha- ancaman kejahatan ini. Pengguna turut
rapkan tidak hanya dapat meningkatkan berperan dan bertanggung jawab atas
kesadaran pengguna terhadap serangan tindakan yang mereka lakukan dalam
phishing namun serangan siber IT lainnya menghadapi ancaman phishing. Sehingga
seperti virus, malware, botnet dan spyware. pengguna juga harus membekali dirinya
Adapun mengenai faktor privasi mengenai pengetahuan dalam kejahatan
pada social networking sites, penelitian lain siber (khususnya phishing) dan waspada
mengungkapkan bahwa pengguna harus dalam menggunakan layanan online
diberikan edukasi mengenai resiko ketika banking.
mengungkapkan informasi pribadi di social Selain website, e-mail merupakan
networking services. Resiko tersebut media yang rawan terhadap serangan
berupa ancaman phishing dan pencurian phishing. Hal ini seperti diungkapkan oleh
identitas pribadi pengguna (Silic & Back, Vishwanath, Herath, Chen, Wang, & Rao
2016). (2011) bahwa semakin banyak e-mail yang
Sebelumnya telah dijelaskan diterima oleh pengguna maka semakin
mengenai faktor-faktor penyebab phishing rawan pengguna menjadi calon korban
diantaranya akibat pengetahuan pengguna phishing. Resiko akan semakin besar jika
yang minim, kebiasaan pengguna, pengguna tidak hanya menerima e-mail
psikologis pengguna dan keterbukaan dalam volume besar namun juga merespon
privasi social networking services e-mail dalam volume yang besar juga.
pengguna. Empat faktor tersebut dapat Phishing dapat dicegah melalui
diatasi melalui edukasi kepada pengguna pemasangan filter yang mengklasi-
dikarenakan empat faktor tersebut berasal fikasikan e-mail menjadi dua kategori yaitu
dari pengguna sendiri. asli (legitimate) dan palsu (fraudulent)
Pengetahuan pengguna yang minim (Castillo, et al., 2007). Penggunaan fungsi
atas ancaman kejahatan siber (khususnya filter, perusahaan dapat melindungi
phishing), psikologis dan keterbukaan pegawai dan pelanggannya dari e-mail
social networking services diatasi melalui spam yang mengancam mencuri data
edukasi yang dilakukan oleh bank. Media pengguna e-mail.
9
Ekonomika-Bisnis,Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
Jika phiser mengetahui target calon membuat website palsu yang tidak dapat
korban dan menggunakan teknik spear dideteksi oleh anti-phishing berbasis
phishing maka filter e-mail spam dan blacklist/whitelist, GoldPhish mena-
phishing menjadi tidak efektif. Parmar warkan solusi dengan pendekatan teknik
(2012) mengatakan hal ini dikarenakan Heuristic dengan menangkap gambar dari
spear-phishing melakukan pendekatan yang halaman website lalu menggunakan optical
berbeda dibandingkan phishing kon- character recognition untuk mengubah
vensional yang mudah terdeteksi oleh filter. gambar ke teks lalu diintegrasikan dengan
Solusi lainnya untuk mencegah algoritma Google Pagerank yang
phishing pada tingkat e-mail adalah membantu untuk menentukan apakah
pengguna internet seharusnya menggu- website tersebut valid atau tidak. GoldPhish
nakan fasilitas Tanda tangan digital pada e- diklaim akurat dalam mendeteksi 100%
mail atau Digital Signature E-mail website asli dan 98% mendeteksi website
(Garfinkel, et al., 2005). Tanda tangan phishing (Dunlop, et al., 2010).
digital menggunakan kunci asimetric Sistem perbankan juga harus
kriptografi seperti RSA yang menggunakan sistem One Time Pass-word
memungkinkan pengguna untuk mem- (OTP). Saat melakukan transaksi pada
bedakan identitas sang pengirim e-mail. layanan online, institusi perba-nkan
Namun hal ini akan menjadi masalah ketika memberikan perangkat token kepada
pengguna yang menggunakan satu pelanggan yang dapat mengeluarkan PIN
komputer untuk mengakses akun e- atau One Time Password (OTP) yang
mailnya. dikirimkan melalui pesan teks kepada
Pencegahan terhadap ancaman pelanggan (Nilsson, et al., 2006).
serangan phishing juga dapat menggunakan Password sekali pakai (one time
perangkat lunak anti-phishing selain password) adalah sistem autitentikasi
indikator keamanan pada browser seperti dimana pengguna ketika melakukan login
penggunaan protokol HTTPS (SSL certifed) menggunakan password sekali pakai yang
pada situs. dikirimkan melalui aplikasi instant
Ekstensi browser yang bernama messaging atau sms. Tidak menggunakan
AntiPhish. AntiPhish bertujuan untuk password statis, namun sistem password ini
melindungi pengguna dari halaman website hanya sekali pakai (OTP) diungkapkan
palsu dengan menampilkan pesan waspada dalam penelitian (Huang, et al., 2011).
ketika pengguna mencoba menginput data Peretas menemukan celah
sensitif (username, password) pada keamanan dalam penggunaan pera-ngkat
halaman yang tidak terpercaya. Namun token pada layanan online banking. Seperti
AntiPhish saat ini hanya berupa prototype Malware bernama Gameover Zeus yang
(Kirda & Kruegel, 2005). telah berada di komputer pengguna
Selain itu, dapat juga menggunakan melakukan serangan Man-in-the-Browser
GoldPhish, sebuah plugin yang terpasang (MitB) dengan teknik Load Inject Script
pada browser bertujuan untuk melindungi yang mampu menambahkan scipt (pop-up)
pengguna dari zero-day phishing sites. pada halaman website resmi dan mencuri
Pence-gahan terhadap phishing umumnya informasi kredensial peng-guna seperti PIN
dilakukan dengan memakai teknik blacklist Token yang diinputkan pengguna
maupun whitelist terhadap URL phishing (Tanujaya, 2015).
yang telah dideteksi namun teknik ini tidak IT Security Manager salah satu
efektif ketika berhadapan dengan zero-day Bank di Indonesia membenarkan ancaman
attack. Phisher selalu lebih terdepan tersebut. Beliau mengatakan Bank mela-
10
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
Button, M., Nicholls, C. M., Kerr, J. & Garfinkel, S. et al., 2005. How to make
Owen, R., 2014. Online frauds: secure e-mail easier to user.
Learning from victims why they fall Proceedings of the ACM Conference
for these scams. Australian & New on Human Factors in Computing
Zealand Journal of Criminology 2014 Systems, pp. 701-10.
Vol. 47(3), p. 391–408.
Huang, C.-Y., Ma, S.-P. & Chen, K.-T.,
Castillo, M., Iglesias, A. & Serrano, J., 2011. Using one-time passwords to
2007. Detecting phishing e-mails by prevent password phishing attacks.
heterogeneous. H. Yin et al. (Eds.): Journal of Network and Computer
IDEAL 2007, LNCS 4881, pp. 296- Applications 34, pp. 1292-1301.
305.
Kirda, E. & Kruegel, C., 2005. Protecting
Courtesy of Computer Associates, 2014. users against phishing attacks with
Types of Phishing Attacks. [Online] antiphish. Proceedings of the 29th
Available at: Annual International Conference on
http://www.pcworld.com/article/135 Computer Software and Applications,
293/article.html pp. 517-24.
Dhamija, R., Tygar, J. & Hearst, M., 2006. Kumaraguru, P. et al., 2009. School of
Why Phishing Works. Proceeding of phish: a real-world evaluation of anti-
CHI-2006: Conference on Human phishing training”,. Proceedings of
Factors in Computing Systems. the 5th Symposium on Usable Privacy
and Security.
Dunlop, M., Groat, S. & Shelly, D., 2010.
GoldPhish: Using Images for Kumaraguru, P. et al., 2007. Protecting
Content-Based. The Fifth People from Phishing: The Design
International Conference on Internet and Evaluation of an Embedded
Monitoring and Protection. Training Email System. Conference
Proceeding Human-Computer
Egelman, S., Cranor, L. F. & Hong, J., Interaction Institute.
2008. You’ve Been Warned: An
Empirical Study of the. You’ve Been Kumaraguru, P. et al., 2007. Getting Users
Warned: An Empirical Study of the, to Pay Attention to Anti-Phishing
Published in Proceeding CHI '08 Education: Evaluation of Retention
Proceedings of the SIGCHI and Transfer. Proceedings of the anti-
Conference on Human Factors in phishing working groups 2nd annual
Computing Systems Pages 1065-1074 eCrime researchers summit , pp. 70-
, pp. 1065-1074. 81.
12
Analisis Ancaman Phishing …(Ikhsan Radiansyah, Candiwan, Yudi Priyadi)
McQuade, S. C., 2009. CyberCrime. Rush, H., Smith, C., Mbula, E. K. & Tang,
Dalam: Encyclopedia of cybercrime. P., 2009. Crime online. Cybercrime
Westport: Greenwood Publishing and illegal innovation, p. 11.
Group, Inc., p. 44.
Sein, E., 2011. The God of Phishing. Info
Meulen, N. S. v. d., 2013. You’ve been Security Spotlight.
warned: Consumer liability in
Internet. Computer Law & Security Silic, M. & Back, A., 2016. The dark side
Review Volume 29, Issue 6, of social networking
December 2013, p. 713–718. sites:Understanding phishing risks.
Computers in Human Behavior, pp.
Mohammad, R. M., Thabtah, F. & 35-43.
McCluskey, L., 2015. Tutorial and
Critical analysis of phishing websites Symantec Brightmail TM, 2014. Anti
methods. Computer science review. Phishing, White Paper: Messaging
Security.
N. P. Singh, P., 2007. Online Frauds in
Banks with Phishing. Journal of Tanujaya, A., 2015. Gameover Zeus
Internet Banking and Commerce, p. dengan LoadInjectScript. [Online]
4. Available at:
http://www.vaksin.com/0614-goz-
Nasution, S. M., 2016. Phishing sebagai load_inject_script
Ancaman pada Layanan Online
Banking [Wawancara] (21 January USE Act, 2010. Golden hour for phishing
2016). and new Zeus botnet. Network
Security.
Nilsson, M., Adams, A. & Herd, S., 2006.
Building security and trust in online Vishwanath, A. et al., 2011. Why do people
banking. Extended Abstracts of the get phished? Testing individual
ACM Conference on Human Factors differences in phishing vulnerability
in Computing Systems, pp. 1701-4. within an integrated, information
processing model. Decision Support
Parmar, B., 2012. Protecting against spear- Systems 51, pp. 576-586.
phishing. Computer Fraud and
Security. Whittaker, C., Ryner, B. & Nazif, M., 2010.
Large-Scale Automatic Classification
Ramzan, Z., 2010. Phishing attacks and of Phishing Pages. Large-Scale
countermeasures. In Stamp, Mark & Automatic Classification of Phishing
Stavroulakis, Peter. Handbook of Pages.
Information and Communication
Security, Springer. ISBN Zielinska, O. A., Welk, A. K., Mayhorn, C.
13
Ekonomika-Bisnis,Vol. 7 No. 1 Bulan Januari Tahun 2016 Hal 1-14
14