Pengertian Phising

Phising adalah suatu metode yang di gunakan hacker untuk mencuri password dengan cara
mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya.

pada beberapa kasus, situs palsu tersebut tidak terlalu mirip namun karena target kurang berhati
hati dan tidak punya pengalaman tentang metode phishing maka bisa saja terjebak.

Istilah phishing dalam bahasa Inggris berasal dari kata fishing alias memancing, dalam hal ini
maksudnya adalah memancing informasi dan kata sandi pengguna (wikipedia). Penulisan dalam
bahasa inggris menggunakan kata phishing tapi orang indonesia sering salah menulis menjadi
phising. pada artikel ini maksud keduanya adalah sama.

Cara kerja Phising

pengertian pishing dan cara kerja pencurian password

Ketika kita tahu cara kerja phising maka akan lebih mudah untuk menghindarinya. Tahapan atau
Cara kerja Phishing adalah sebagai berikut :

1. Dengan suatu cara si peretas membuat kita melakukan klik terhadap link situs palsu mereka, bisa
dengan sebuah gambar menarik di media sosial, bujukan pada email dan lain sebagainya.

2. Setelah melakukan klik, kita akan di arahkan ke situs palsu yang mana pada situs tersebut terdapat
form isian misalnya form login facebook dengan kata kata yang meyakinkan bahwa facebook kita
telah logout dan meminta kita memasukkan username dan password kembali. kita yang tidak
menyangka bahwa situs tersebut hanyalah tiruan akan mengisi saja username dan password tanpa
curiga.

3. Apa yang kita masukkan ke form isian itu akan tersimpan di server si peretas. Jadi kita masih
punya waktu untuk merubah password kita sebelum si peretas melihat username dan password kita
di servernya.

4. Akun kita akan di ambil alih. peretas kemungkinan besar menggunakan akun kita untuk
menyebarkan url psihing ke teman teman kita untuk mendapatkan korban yang lebih banyak.

Meretas password dengan metode phishing adalah yang paling mudah di praktikkan, itu sebabnya
banyak sekali di dunia maya tersebar rujukan alamat alamat yang mengarahkan browser kita ke
alamat web pishing atau web palsu.

Mahir membuat design blog sudah cukup untuk dapat melakukan praktik phising.

Dengan membuat situs tiruan yang tidak sama persis pun kita masih tetap bisa melakukan metode
phising ini, asalkan dapat meyakinkan si target. seperti situs phishing coc dengan embel embel
mendapatkan gems gratis, atau situs phising BBM yang mana pada kenyataannya situs tersebut tidak
pernah ada sebelumnya. namun korbannya banyak.
Cara menghindari phising
Sebenarnya trik phishing ini sangat bergantung pada kehati-hatian dan kewaspadaan target.

web phishing sangat mudah di kenali sehingga jika kita sudah cukup berhati hati maka seharusnya
akun kita tetap aman.

hanya satu saja yang perlu kita lakukan agar phishing tidak mempan terhadap kita, yaitu :

Cermati alamat atau url situs tujuan, pastikan url tersebut resmi atau tidak. pernah ada atau tidak.

sebagai contoh, alamat situs facebook.meretas.com sangat berbeda dengan meretas.facebook.com

meskipun kelihatannya sama dan cuma di bolak balik saja tapi ternyata sangat berbeda.

pada facebook.meretas.com domain utamanya adalah meretas.com , sedangkan kata ‘facebook’ di

awalnya nya adalah subdomain yang artinya adalah bagian dari situs meretas.com

sedangkan meretas.facebook.com domain utamanya adalah facebook, meskipun hanya sebagai

contoh saja meretas di depan adalah bagian dari facebook itu sendiri.

Contoh kasus Phishing

Beberapa bulan lalu kasus seperti yang saya jelaskan diatas memakan korban di suatu perusahaan
BUMN yang mana total kerugiannya mencapai 40 juta dari kantong pegawai pribadi.

Ceritanya komputer yang di gunakan korban sudah lama terjangkit malware, sudah di lakukan
pembersihan pada malware tersebut namun beberapa hari kemudian muncul kembali dan begitu
seterusnya yang pada intinya komputer masih belum bersih secara keseluruhan.

Cerobohnya, komputer tersebut digunakan untuk bertransaksi secara online menggunakan bank
yang tidak boleh saya sebutkan namanya. korban mengaku tidak menyadari bahwa ada hacker
sekelas film MR ROBOT betulan di luar sana dan menganggap remeh hal hal seperti itu. selain itu
pikirnya dengan nama besar sebuah bank pastilah pengamanannya besar juga.

meskipun proses transaksi berjalan seperti biasanya namun korban mengatakan bahwa ada kedipan
beberapa kali pada layar. setelah transaksi dilakukan ternyata uang terkirim ke rekening lain yang
tidak di ketahui.

see ? hal ini masih tetap bisa terjadi meskipun Bank sudah melakukan pengamanan beberapa tahap
termasuk menggunakan token sebagai pengamanan ekstra.

Mengapa pengaman dengan pin token tidak berpengaruh pada kasus ini ? Penjelasannya, browser
sudah di manipulasi oleh malware sehingga kode otorisasi token yang diminta sebetulnya adalah
kode transaksi pencurian milik Hacker.

Sebagai pembelajaran, pada kode otorisasi token tersebut seharusnya 5 digit di belakang adalah
sesuai dengan nomor transaksi yang dituju. jadi kalau diminta otorisasi token namun 5 digit angka di
belakangnya tidak sama dengan transaksi tujuan, SEGERA BATALKAN. KARENA ADA YANG TIDAK
BERES.
Setelah di selidiki dan melibatkan hukum resmi ternyata aktifitas hacking tersebut tidak terjadi pada
situs bank melainkan terjadi pembelokkan pada komputer korban menggunakan metode Phishing.
Pihak Bank tentu saja tidak mau mengganti kerugian yang di akibatkan kelalaian nasabahnya sendiri.

Jadi jika komputer terkena virus, virus apapun itu, ada baiknya anda tidak melakukan transaksi
online pada komputer tersebut.

TIPS AGAR TERHINDAR DARI PHISHING

Perlu diakui, meningkatnya jumlah kasus phishing yang terjadi akhir-akhir ini cukup
mengkhawatirkan pengguna internet. Jika Anda kurang waspada, bukan tidak mungkin Anda
menjadi korban selanjutnya. Apa yang dapat Anda lakukan? Kami memiliki tips profesional yang bisa
Anda terapkan dengan mudah agar terhindar dari phishing.

1. Amankan browser Anda – Mulailah dari set kemanan di browser Anda.

2. Instal ekstensi keamanan pada browser. Ekstensi seperti Netcraft Extension berfungsi untuk
mengidentifikasi website berbahaya. Sangat membantu.

3. Waspada terhadap email yang mengarahkan Anda ke website palsu dan meminta login
akun. Cek dan cermati email pengirim, pastikan email pengirim sesuai email resmi.

4. Jika verify nya meminta username, password dan data lainnya, jangan memberikan reaksi
balik. Anda harus selalu ingat password jangan pernah diberikan kepada siapapun. Namun
kalau anda mendaftarkan account di suatu situs dan harus memverifikasinya dengan
mengklik suatu URL tertentu tanpa minta mengirimkan data macam-macam, lakukan saja,
karena ini mekanisme umum.

5. Berhati-hatilah terhadap pop-up ketika Anda sedang mengakses halaman tertentu. Terlebih
jika pop-up tersebut meminta akses login atau informasi pribadi seperti token, nomor kartu
kredit, dan lain-lain.

6. Pastikan Anda mengetahui dan mengakses website asli akun yang Anda miliki. Pada address
bar website resmi biasanya terdapat icon kunci dan keterangan SSL Certificate yang valid.
Website resmi biasanya menggunakan fiturkeamanan SSL. Layanan keamanan SSL ini
diperlukan untuk validasi keaslian website dan keamanan transaksi, juga meningkatkan
kepercayaan pengguna. Contohnya bisa Anda lihat pada gambar berikut ini.

7. Membuat suatu badan anti cyber crime gabungan dari beberapa negara, karena dengan
bersatu dapat menutupi kelemahan masing-masing juga dapat memiliki relasi yang lebih
luas.