See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/303216105

ANALYZE PHISING THREATS IN ONLINE BANKING SERVICES

Conference Paper · April 2016

CITATIONS READS

0 1,742

3 authors, including:

Candiwan Candiwan
Telkom University
16 PUBLICATIONS 16 CITATIONS

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Information Security Management Framework for Higher Education Institutions View project

All content following this page was uploaded by Candiwan Candiwan on 16 May 2016.

The user has requested enhancement of the downloaded file.

 ANALISIS ANCAMAN PHISHING DALAM
LAYANAN ONLINE BANKING

ANALYZE PHISING THREATS IN ONLINE

BANKING SERVICES

Ikhsan Radiansyah1, Candiwan2, Yudi Priyadi3

1Prodi S1 Manajemen Bisnis Telekomunikasi Informatika, Fakultas
Ekonomi Bisnis,
Universitas Telkom
21Prodi S1 Manajemen Bisnis Telekomunikasi Informatika,
Fakultas Ekonomi Bisnis,
Universitas Telkom
21Prodi S1 Mana Informatika,
jemen Bisnis Telekomunikasi
Fakultas Ekonomi Bisnis,
Universitas Telkom
1newbieot@student.telkomuniversity.ac.id,
2candiwan@telkomuniveristy.ac.id, 3whypi@telkomuniversity.ac.id

Abstrak
Phishing merupakan ancaman yang menggunakan teknik rekayasa sosial
yang mengelabui pengguna dengan cara menyamar sebagai entitas yang resmi
untuk mendapatkan informasi sensitif pengguna. Industri Perbankan menjadi
salah satu sasaran dari phishing. Melalui penelitian ini faktor-faktor penyebab
munculnya phishing dan pencegahan terhadap ancaman phishing dijelaskan
melalui metode Systematic Literature Review. Metode Systematic Literature
Review dipakai untuk menemukan jawaban atas pertanyaan penelitian
tersebut dengan mencari studi-studi yang berhubungan dengan topik
penelitian (ancaman phishing pada layanan online banking) dan melakukan
narrative synthesis atas temuan tersebut. Pengetahuan pengguna yang minim,
psikologis pengguna dan privasi social networking services pengguna dinilai
sebagai faktor-faktor penyebab phishing. Edukasi terhadap pengguna
mengenai ancaman kejahatan siber, pencegahan pada tingkat e- mail,
penggunaan perangkat lunak anti-phishing, dan implementasi sistem kata
sandi sekali pakai pada layanan perbankan merupakan pencegahan efektif
pada ancaman phishing. Pengguna (nasabah) harus memiliki pengetahuan
yang baik mengenai ancaman kejahatan kriminal khususnya phishing dan
Bank mempunyai tanggung jawab untuk memberikan edukasi terkait
ancaman yang dapat merugikan pengguna.
Kata kunci : Phishing, Cyber Crime, Fraud, Online Banking, Information
Security.

Abstract
Phishing is a cybercrime threat that use social engineering technique that trick
users by masquerading as a trustworthy entity to acquire user sensitive
information. Online banking services became one of the targets. Through this
study the factors causing the emergence of phishing and prevention against
phishing threats described by Systematic Literature Review method. Systematic
Literature Review used to find an answers of research questions by searching
studies related to the research. User's knowledge, psychological and user’s social
media privacy suspected as factors that cause phishing. Education to user, stop
phishing at e-mail level, the use of anti-phishing software, and implementation
one-time password system at online banking services is an effective prevention to
the threat of phishing.
Keywords: Phishing, Cyber Crime, Fraud, Online Banking, Information
Security.

1. Pendahuluan
Perkembangan Teknologi Informasi dan Komunikasi (ICT) di dunia sangat
dirasakan manfaatnya dalam berbagai sektor Industri, Perbankan maupun Usaha
Kecil-Menengah (UKM). Sektor-sektor tersebut merasakan manfaat efisiensi dan
efektivitas dalam segi operasional maupun peningkatan layanan terhadap
pengguna. Namun perkembangan tersebut memunculkan tantangan baru dengan
munculnya berbagai tindak kriminal berbasis siber (cyber crime) oleh pihak-pihak
yang berusaha mengeksploitasi kelemahan sistem dan kesadaran pengguna
terhadap Sistem Informasi.
Salah satu bentuk cyber crime yang dilakukan oleh para frauder adalah Phishing.
Phishing adalah kegiatan kriminal dengan menggunakan teknik rekayasa sosial.
Phisher (sebutan bagi pelaku kriminal phishing) berupaya menipu untuk
mendapatkan informasi sensitif, seperti username, password dan rincian kartu
kredit, dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi
elektronik [1]. Phishing menyerang semua sektor Industri berbasis online, seperti
e-commerce, sosial media dan perbankan. Tindakan Phishing mengincar informasi
sensitif pengguna untuk digunakan oleh pihak yang tidak berwenang. Pengguna
dirugikan dalam hal privasi, penyalahgunaan (eksploitasi) dari tindakan hacking
bahkan kerugian Finansial.
Anti - Phishing Working Group [2] melaporkan bahwa layanan pembayaran
(payment service) menjadi sektor industri yang paling ditargetkan pada kuartal
kedua 2014, dengan 39,80 persen dari serangan selama periode tiga bulan dari
April sampai Juni 2014, sedangkan jasa keuangan (financial) terus mengikuti
dengan 20,20%. Ini terlihat dalam pie-chart pada Gambar 1.1.
 Gambar 1.1 Keseluruhan Statistik untuk serangan phishing, April - Juni
2014
Sektor Finansial merupakan salah satu target eksploitasi oleh para frauder.
Perbankan sebagai layanan transaksi keuangan massal tidak luput dari cyber crime
yang dilakukan frauder. Phishing dapat menggunakan halaman website palsu
untuk mengelabui dan mencuri data-data pribadi pengguna seperti Gambar 1.2
dibawah ini

Gambar 1.2 Halaman Phishing Bank Mandiri

Phishing tidak hanya menyerang Indonesia saja. Pada tahun 2013, Serangan
Phishing menyebabkan kerugian finansial sebesar $ 5,9 Milyar (Rp 80,328
Triliun) di dunia berdasarkan laporan EMC [3].
Serangan Phishing tidak hanya menimbulkan kerugian finansial saja. Phishing
menyebabkan konsekuensi serius terhadap kehilangan data pribadi pengguna, dan
kerugian nama merk perusahaan yang tercemar akibat kasus phishing. [4]
Berbagai kasus phishing terhadap dunia financial service (perbankan) di dunia
mendorong akademisi untuk melakukan penelitian terhadap serangan phishing.
Telah banyak studi penelitian dengan topik phishing yang berhubungan dengan
deskripsi serangan, tipe-tipe phishing dan pencegahan terhadap phishing.
Studi tersebut dibuat dalam waktu yang berbeda-beda, pada lingkungan (tempat)
yang berbeda dan fenomena yang berbeda juga.
Belum adanya penjelasan umum terkait faktor yang menyebabkan ancaman
phising muncul ketika pengguna menggunakan layanan Online Banking dan
Rekomendasi Pencegahan terhadap serangan Phishing pada Online Banking
melalui metode systematic literature review. Topik dari penelitian ini adalah
“ANALISIS ANCAMAN PHISHING DALAM LAYANAN ONLINE
BANKING” berdasarkan metode systematic literature review dengan fokus
terhadap dua tujuan penelitian yaitu menganalisis faktor yang memungkinkan
ancaman phising muncul ketika pengguna menggunakan online banking dan
memberikan rekomendasi pencegahan terhadap ancaman phising.
2. Landasan Teori
2.1 Kejahatan Siber (Crime Online/Cyber Crime)
"Cybercrimes adalah kegiatan kriminal atau tindakan berbahaya yang
mengeksploitasi informasi, bergerak secara global dan jaringan dan kejahatan yang
hanya menggunakan komputer. Kejahatan Kriminal merupakan produk teknologi
jaringan yang telah mengubah kriminal (biasa) dan memberikan kesempatan yang
sama sekali baru dengan bentuk-bentuk baru kejahatan yang biasanya melibatkan
akuisisi atau manipulasi informasi dan di dunia jaringan untuk mendapatkan
keuntungan. Mereka dapat dipecah menjadi kejahatan yang terkait dengan integritas
sistem, kejahatan di mana jaringan komputer digunakan untuk membantu perbuatan
yang kejahatan, dan kejahatan yang berhubungan dengan isi dari komputer [5]
Menurut McQuade (2009) [6] tipe kejahatan kriminal dapat dibagi menjadi 12
butir yaitu:
1. Kelalaian penggunaan sistem informasi yang menyebabkan pelanggaran
terhadap kebijakan keamanan dan mengakibatkan sistem dan data rentan
terhadap serangan siber.
2. Kejahatan konvensional yang melibatkan penggunaan komputer atau jenis
lain dari perangkat IT elektronik untuk komunikasi dan / atau pencatatan
dalam mendukung kegiatan ilegal.
3. Penipuan online (online fraud) seperti phishing, spoofing, spimming, atau
menipu pengguna untuk mendapatkan keuntungan finansial seperti dalam
kasus penipuan kartu kredit dan pencurian identitas.
4. Hacking, pelanggaran akses komputer tanpa izin, dan password cracking
untuk membobol password pengguna lain dan / atau melawan hukum
memasukkan sistem informasi untuk melakukan kejahatan online dan / atau
offline.
5. Menulis dan mendistribusikan kode berbahaya (malicous code) yang
melibatkan menciptakan, menyalin, dan / atau melepaskan malware
(contohnya: virus distruptif atau deskruktif, trojan, worm, atau program
adware/spyware).
6. Pembajakan terhadap property digital seperti musik, film, dan / atau
perangkat lunak terutama melalui jaringan peer-to-peer.
7. Pelecehan cyber, ancaman, mempermalukan seseorang dengan sengaja,
paksaan, termasuk Intimidasi Siber (Cyber Bullying).
8. Menguntit secara online (online stalking) dan menyinggung seks secara siber
(cyber-sex offending), termasuk pengiriman gambar atau teks bersifat
 seksual yang tidak diinginkan , mempromosikan pariwisata seks, atau
menggunakan Internet untuk memfasilitasi perdagangan manusia untuk
tujuan seksual atau lainnya.
9. Kecurangan akademik atau tindakan plagiat yang dilakukan oleh
mahasiswa, guru/dosen, profesor, dan mencontek tugas atau ujian atau
metode dan temuan penelitian palsu.
10. Kejahatan terorganisir yang melibatkan penggunaan internet oleh
etnis berbasis geng untuk memfasilitasi kombinasi dari kegiatan ilegal dan
legal seperti penyelundupan dan jual orang, senjata, dan obat-obatan
terlarang.
11. Tindakan memata-matai termasuk spionase yang melibatkan
penggunaan gelap spyware dan software keylogger untuk menemukan data
yang dapat dicuri atau digunakan untuk melakukan kejahatan.
12. Cyberterrorism oleh orang yang mencoba untuk mengemukakan
“tujuan sosial, agama atau politik dengan menanamkan ketakutan yang
meluas atau dengan menganggu infrastruktur informasi yang kritis.
Penelitian ini fokus membahas tipe kejahatan kriminal dalam bentuk ancaman
phishing dalam dunia online banking.
2.2 Phishing
Phishing adalah upaya untuk mendapatkan informasi sensitif seperti username,
password, dan rincian kartu kredit dan umumnya untuk alasan berbahaya, dengan
menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. [7]
Phishing, penipuan untuk mengumpulkan informasi pribadi dengan meniru situs
terpercaya. Karena phishing adalah serangan semantik yang mengandalkan
pengguna yang bingung, maka sulit untuk mendeteksi secara otomatis serangan
tersebut dengan akurasi yang akurat. [8]
Menurut Whittaker, Ryner & Nazif, Phishing adalah kejahatan rekayasa sosial
(social engineering crime) yang umumnya didefinisikan sebagai kejahatan yang
berkedok/menyamar sebagai pihak ketiga terpercaya untuk mendapatkan akses ke
data pribadi. [9]
Dapat diambil kesimpulan bahwa Phishing merupakan tindak kriminal untuk
mendapatkan informasi sensitif pribadi seperti username dan password dengan cara
melakukan penyamaran sebagai entitas yang terpercaya dan membuat korban tidak
sadar telah memberikan informasi sensitif ke scammer.
Tipe-tipe serangan phishing dapat diklasifikasikan sebagai berikut [10]
• Phishing Penipuan. Istilah "phishing" awalnya direferensikan sebagai
pencurian akun melalui pesan singkat namun umumnya saat ini menggunakan
pesan surat elektronik palsu. Pesan yang berisi untuk memvefikasi informasi
akun, kesalahan sistem yang membutuhkan penginputan ulang informasi,
informasi mengenai biaya yang fiktif, mendapatkan diskon/hadiah yang
memerlukan login ke halaman website palsu adalah cara-cara yang digunakan
oleh cyber criminal untuk mengelabui pengguna. Diharapkan pengguna meng-
klik URL yang telah disediakan setelah membaca pesan tersebut
• Phishing berbasis Malware adalah teknik scam dengan melibatkan perangkat
lunak jahat (malware) pada komputer pengguna. Malware yang terdapat pada
pengguna dapat didistribusikan melalui lampiran pada surat elektronik, file
yang dapat diunduh pada web site atau dari sistem keamanan rentan yang telah
dieksploitasi yang sering terjadi pada sektor UMKM dimana tidak selalu
 melakukan update pada aplikasi komputernya
• Keyloggers dan Screenloggers adalah varietas dari perangkat lunak jahat
(malware) yang akan mereka setiap input pada keyboard maupun tampilan
layar komputer lalu mengirimkan informasi tersebut kepada hacker via internet.
• Sesi Pembajakan adalah serangan dimana aktivitas pengguna dimonitor hingga
pengguna tersebut melakukan sign in pada halaman perbankan untuk
melakukan transaksi. Pada saat ini malware dapat melakukan take over /
pembajakan dengan melakukan tindakan yang tidak diizinkan seperti
melakukan transfer uang tanpa sepengetahuan pengguna..
• Web Trojans pesan pop up yang muncul ketika pengguna mencoba untuk log
in. Mereka mengumpulkan informasi kredensial pengguna dan
mengirimkannya ke phisher.
• Serangan Rekonfigurasi Sistem adalah serangan yang memodifikasi
pengaturan pada PC pengguna untuk tujuan jahat. Sebagai contoh: URL dalam
file favorit (bookmark) dimodifikasi dan diarahkan pada situs palsu. Sebagai
contoh: URL situs web bank dapat berubah dari "bankofabc.com" menjadi
"bancofabc.com".
• Pencurian Data adalah ketika PC yang tidak aman dalam jaringan jaminan
sering mengandung informasi sensitif yang disimpan di tempat lain di server
aman. Tentu PC yang digunakan untuk mengakses server tersebut dan dapat
lebih mudah dikompromikan. Pencurian data adalah pendekatan secara luas
digunakan untuk spionase bisnis. Dengan mencuri komunikasi rahasia,
dokumen desain, hal mengenai regulasi, dan catatan terkait karyawan, pencuri
data dapat mendapatkan keuntungan dari menjual kepada mereka yang
mungkin ingin mempermalukan atau menyebabkan kerusakan ekonomi atau
pesaing.
• Phishing berdasarkan DNS ("Pharming"). Pharming adalah istilah yang
diberikan untuk modifikasi file host atau Domain Name System (DNS) berbasis
phishing. Dengan skema pharming, hacker mengutak-atik file host sebuah
perusahaan atau (DNS sehingga permintaan untuk URL resmi selanjutnya
diarahkan ke situs palsu. Hasilnya adalah pengguna tidak menyadari bahwa
situs web di mana mereka memasukkan informasi rahasia dikendalikan oleh
hacker.
• Phishing Konten Injeksi menggambarkan situasi di mana hacker mengganti
bagian dari isi situs yang sah dengan konten palsu yang dirancang untuk
menyesatkan atau menyesatkan pengguna agar memberi informasi rahasia
mereka untuk hacker. Sebagai contoh, hacker dapat menyisipkan kode
berbahaya untuk login kredensial pengguna atau menyisipkan kolom pop-up
palsu yang diam-diam dapat mengumpulkan informasi dan mengirimkannya
ke server phishing hacker.
• Man-in-the-Middle Phishing Lebih sulit untuk mendeteksi daripada banyak
bentuk lain dari phishing. Dalam serangan ini hacker memposisikan diri antara
pengguna dan situs/sistem yang sah. Mereka merekam informasi yang masuk
tapi tetap meneruskannya kepada pengguna sehingga transaksi pengguna tidak
terpengaruh. Kemudian mereka dapat menjual atau menggunakan informasi
atau kredensial yang dikumpulkan ketika pengguna tidak aktif pada sistem.
• Phishing Mesin Pencari terjadi ketika phisher membuat website palsu dengan
 penawaran menarik yang telah diindeks sah dengan mesin pencari. Pengguna
menemukan situs tersebut ketika mencari produk atau jasa dan tertipu agar
memberi informasi mereka. Misalnya, scammers telah menyiapkan situs
perbankan palsu yang menawarkan biaya kredit yang lebih rendah atau tingkat
suku bunga yang lebih baik dari bank lain. Korban yang tertarik kemudian
mentransfer sejumlah dana untuk memenuhi persyaratan penawaran dari
website palsu tersebut.
2.3 Metodologi
Penelitian ini menggunakan metode Systematic Literature Review (SLR).
Systematic Literature Review (SLR) atau juga disebut Systematic Review adalah
literature review yang umumnya dilakukan oleh peneliti untuk memecahkan
masalah dari penelitian. Dulunya teknik penelitian ini digunakan untuk mencari
keefektifitas dari layanan kesehatan namun sekarang teknik ini dapat jga digunakan
dengan topik lebih luas. Tujuan SLR adalah untuk mensintesis temuan penelitian
dari sejumlah besar studi yang berbeda pada intervensi tertentu atau isu yang
kemudian dapat berpotensi digunakan untuk menginformasikan kebijakan dan
praktek di bidang diselidiki [11]. Penelitian ini mengambil studi sebanyak 83
literatur dan setelah dilakukan filtering (analisis data) jumlah studi berkurang
menjadi 37 literatur. Langkah-langkah yang dilakukan adalah
1. Wawancara terhadap narasumber (expert)
Berkonsultasi pada pakar yang mempunyai pengalaman di bidang
Information Security. Penelitian ini melibatkan akademisi dan Praktisi dalam
bidang Information Security. Richi Aktorian yang berprofesi sebagai Senior
Manager of IT Resilience & Security pada PT Bank Mandiri(Persero) Tbk,
Surya Michrandi Nasution yang berprofesi sebagai dosen fakultas teknik
elektro pada Telkom University. Beliau mengajarkan bidang Information
Security pada Security lab. Memiliki pengetahuan terkait pada bidang
keamanan informasi dan pernah memiliki CEH (certified ethical hacking)
dan Yudha Purwanto yang berprofesi sebagai dosen fakultas teknik elektro
pada Telkom University dan Konsultan IT pada beberapa perusahaan. Beliau
mengajarkan bidang Information Security pada Security lab. Memiliki
pengetahuan terkait pada bidang keamanan informasi dan memiliki CEH
(certified ethical hacking)..
2. Melakukan Pencarian Studi
Melakukan pencarian bukti/fakta pada sumber yang terpercaya yaitu
Elsevier, IEEE, ACM, dan Sage. Bukti/fakta berupa research paper. Setiap
research paper yang telah diunduh dan dibaca dilakukan dokumentasi
mengenai judul literatur, nama penulis, tahun paper dan ringkasan penelitian.
Pencarian dilakukan pada research paper yang dipublikasikan dengan
dengan menggunakan kata kunci “phishing, online banking, man- in-the-
middle, man-in-browser, cyber crime, online banking phishing”. Kata
kunci tersebut ditentukan melalui wawancara kepada praktisi (Richi
Aktorian). Ditemukan 83 research paper atas pencarian tersebut.
3. Ekstraksi Data Studi
Memilah dan mengambil data yang berhubungan dengan topik penelitian
dari research paper yang telah dibaca. Data Ekstraksi disajikan dalam
bentuk tabel ringkasan informasi yang telah diekstrak dari studi yang telah
dipilih.
 4. Menilai kelayakan studi
Jurnal/Studi yang dijadikan landasan penelitian ditelusuri kelayakannya.
Setiap research paper yang dijadikan landasan, harus memiliki jawaban
“ya” terhadap tiga pertanyaan di bawah ini:
• Apakah studi memiliki fokus pertanyaan yang jelas?
• Apakah studi menggunakan metode yang valid untuk menjawab
pertanyaan penelitiannya?
• Apakah hasil valid yang berasal dari studi penting untuk dijadikan
landasan?
Setelah dilakukan kelayakan studi, didapatkan 37 research paper yang
layak untuk dijadikan landasan untuk menjawab pertanyaan penelitian.
5. Data Sintesis
Menggunakan teknik narrative synthesis sebagai pendekatan tekstual yang
menyediakan analisis hubungan dalam dan di antara studi dan penilaian
secara keseluruhan dari bukti. Sebuah sintesis narasi (narrative synthesis)
dapat dilakukan di mana studi terlalu beragam secara metodologi.
Setiap fakta yang didapatkan dari research paper dan hasil wawancara
dibandingkan dan dicocokan satu dengan yang lain. Jika antara paper A dan
paper B memiliki kesamaan fakta/bukti temuan penelitian maka fakta/bukti
tersebut layak untuk dijadikan landasan penelitian ini.
6. Membuat laporan hasil studi
Hasil laporan disajikan dalam bentuk narrative synthesis dilengkapi
kesimpulan penelitian yang telah dilakukan. Dalam hal ini penelitian harus
dapat menjawab faktor-faktor yang memungkinkan Ancaman Phising
muncul ketika pengguna menggunakan online banking dan memberikan
rekomendasi.
3. Hasil dan Pembahasan
Phishing pada layanan online banking merupakan ancaman menggunakan teknik
rekayasa sosial dengan mengelabui pengguna (nasabah). Pengguna tertarik
terhadap penawaran-penawaran melalui e-mail, pesan singkat, telepon dari pelaku
kriminal yang menyamar sebagai entitas bank resmi dan mengajak nasabah untuk
memberikan data-data sensitif terkait data pengguna bank tersebut. [12]
Dalam penelitian ini akan dijelaskan mengenai faktor penyebab munculnya
ancaman phishing ketika pengguna menggunakan layanan online banking dan
pencegahan terhadap ancaman tersebut.
3.1 Faktor penyebab munculnya ancaman phishing
Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, faktor penyebab
munculnya ancaman serangan phishing ketika pengguna menggunakan layanan
online banking adalah minimnya pengetahuan pengguna, psikologis dan privasi
social networking services pengguna. Tabel 4.1 menunjukkan faktor-faktor
penyebab phishing dari berbagai studi yang telah dibaca.
Tabel 3.1 Faktor penyebab phishing berdasarkan study literature
No. Nama Pengarang dan Tahun Faktor penyebab phishing
1 Dhamija, Tygar, & Hearst Pengetahuan pengguna minim dan
(2006) psikologis
2 Alsharnouby, Alaca, & Pengetahuan pengguna minim
Chiasson (2015)
3 Arachchilage & Love (2014) Pengetahuan pengguna minim
 4 Mohammad, Thabtah, & Pengetahuan pengguna minim
McCluskey (2015)
5 Parmar (2012) Pengetahuan pengguna minim,
psikologis dan privasi social
networking services.
6 Meulen (2013) Psikologis
7 Sein (2011) Pengetahuan pengguna minim
8 Vishwanath, Herath, Chen, Psikologis
Wang, & Rao (2011)
10 Button, Nicholls, Kerr, & Psikologis
Owen, 2014)
11 Zielinska, Welk, Mayhorn, & Pengetahuan pengguna minim
Murphy-Hill (2015)
12 USE Act (2010) Pengetahuan pengguna minim
13 Hilley (2006) Pengetahuan pengguna minim
14 Elsevier Advanced Technology Psikologis dan pengetahuan pengguna
(2015) minim
15 Malik & Malik (2011) Privasi social networking services

Dhamija, Tygar, & Hearst (2006) mengungkapkan bahwa pengguna dianggap tidak
memiliki pengetahuan yang baik mengenai sistem komputer terutama membedakan
domain yang resmi dan palsu. Pengguna juga tidak dapat mengenali indikator-
indikator keamanan seperti mengecek sertifikat SSL pada browser ketika
mengunjungi suatu situs pada internet. Pengguna yang mengetahui hal-hal tersebut
juga rawan ketika sebuah website phishing menyerupai website resmi (visual
deception) yang mengakibatkan tidak memperhatikan indikator keamanan pada
browser (SSL certified icon). [13]
Faktor pengetahuan dan kesadaran pengguna terhadap ancaman serangan phishing
juga didukung oleh Alsharnouby, Alaca, & Chiasson (2015). Dalam paper tersebut
penulis meneliti mengenai kemampuan pengguna untuk mengidentifikasi website
phishing. Subjek penelitian (responden) sebelumnya telah dibekali oleh edukasi
mengenai ancaman phishing dan improved browser security indicators. Hasilnya
adalah 53% responden berhasil mengidentifikasi ancaman phishing. Hasil tersebut
dibawah ekspektasi awal yaitu diharapkan 86% pengguna berhasil mengidentifikasi
website phishing. Hal ini dikarenakan pengguna hanya menggunakan 6% waktunya
untuk mengamati indikator keamanan pada browser dan fokus mengenali tampilan
konten pada website yang diuji. [14]
Arachchilage & Love (2014) mengungkapkan hal serupa bahwa pengetahuan
prosedural dan pengetahuan konseptual pengguna mempengaruhi tindakan
pengguna untuk menghindari ancaman phishing. Pengetahuan prosedural pengguna
dinilai dari kemampuan pengguna untuk mengidentifikasi website phishing dari 5
URL yang telah diberikan dan pengetahuan konseptual pengguna dinilai dari bagian
URL mana yang menandakan website tersebut phishing atau tidak. [15]
Didukung oleh pernyataan Mohammad, Thabtah, & McCluskey (2015) faktor
mengapa pengguna menjadi korban serangan phishing adalah mayoritas pengguna
memiliki pengetahuan yang minim terhadap ancaman kriminalitas online, tidak
memiliki pengetahuan yang baik mengenai ancaman phishing, tidak memiliki
strategi yang baik dalam mengenali serangan phishing, fokus terhadap konten
dibandingkan indikator pada website, dan tidak mengetahui prosedur layanan online
yang dipakai sehingga terjebak ketika mendapatkan e-mail dari layanan online yang
mereka gunakan terkait informasi maintenance dan informasi- informasi lainnya
yang dimanfaatkan phisher untuk mendapatkan data-tada sensitif pengguna. [16]
Parmar (2012) menyatakan serangan spear-phishing yang berbeda dengan serangan
phishing konvensional juga sukses dilakukan akibat pengetahuan psikologis
pengguna yang mudah mempercayai situs jejaring sosial. Spear-phishing berbeda
dari serangan konvensional dimana phisher tidak melakukan bulk e-mail kepada
sasarannya namun mengirimkan e-mail phishing kepada sasaran potensial yang
memiliki tingkat kesuksesan dan timbal balik yang lebih tinggi. Jika pada phishing
biasa phisher menyamar sebagai entitas resmi maka pada spear-phishing, phiser
menyamar sebagai individu/entitas yang diketahui dan digunakan oleh calon
korban. Teknik ini umumnya digunakan agar korban mengunduh malware yang
terlampir pada e-mail tidak seperti teknik phishing konvensional yang mengarahkan
korban pada website palsu. Phisher mendapatkan data-data sensitif pengguna
melalui sosial media lalu memanfaatkannya untuk mengelabui pengguna. Terbukti
teknik spear-phishing memiliki tingkat kesuksesan 19% dibandingkan teknik
phishing konvensional yang hanya memiliki tingkat kesuksesan 5%. [17]
Malik & Malik, (2011) dalam penelitiannya mengungkapkan bahwa berbagi
informasi pribadi dan mengungkapkannya pada SNS (social networking services)
adalah sebuah kebutuhan. Namun hal tersebut beresiko terhadap serangan siber
(termasuk phishing) yang memanfaatkan keterbukaan informasi pribadi pada SNS.
[18]
Meulen (2013) menyatakan tanggung jawab atas terjadinya kasus penipuan online
pada layanan online banking tidak hanya dipegang oleh pihak bank saja namun
pengguna turut bertanggung jawab atas terjadinya kasus tersebut. Pengguna dinilai
lalai dan mengabaikan peraturan yang telah diedukasikan oleh pihak bank. Sebagai
contoh terdapat kasus dimana korban mendapatkan e-mail phishing dan telepon
mengatasnamakan Rabobank, bank dimana pengguna menggunakan layanan online
banking. Pengguna mendapatkan telepon yang berasal dari representatif Rabobank
(phisher) dan menanyakan e-mail yang diterima oleh pengguna. Phisher
mengatakan akun pengguna perlu di cek dan diklarifikasi untuk menghindari
masalah potensial akibat dari e-mail yang telah diterima. Pengguna diminta
memberikan informasi kredensial seperti kode random atau identitas untuk
melakukan transaksi. Atas informasi inilah phiser dapat melakukan transaksi
dengan menggunakan akun pengguna. Pengguna yang lalai dengan tidak
mengklarifikasi telepon tersebut kepada pihak bank dan tidak mengetahui peraturan
permintaan informasi sensitif pada bank menyebabkan kasus tersebut terjadi. [19]
Hal lainnya yang membuat pengguna terjebak dalam serangan phishing adalah sifat
naif pengguna dalam menggunakan layanan perbankan para internet. Pengguna
umumnya menggunakan password yang sama untuk berbagai halaman website dan
password yang digunakan tidak jauh nama anak, nama peliharaan, tempat lahir, dan
tanggal ulang tahun ungkap Sein (2011). [20]
Hal serupa dikemukakan juga oleh Vishwanath, Herath, Chen, Wang, & Rao (2011)
bahwa pengguna merupakan faktor utama terjadinya penyebab phishing. Terdapat
4 alasan mengapa pengguna menjadi korban phishing. Pertama adalah semakin
banyak e-mail yang diterima pengguna maka semakin besar peluang mereka ditipu.
Kedua adalah pengguna umumnya akan membuka e-mail dari entitas yang mereka
ketahui. Pengguna yang memiliki hubungan lebih dari satu lembaga bank dan
melakukan transaksi online yang lebih banyak dibandingkan lainnya mereka
berpeluang menjadi korban e-mail phishing. Yang ketiga adalah pengguna yang
tidak mengetahui ancaman serangan phishing. Faktor keempat adalah kebiasaan
dalam penggunaan media. Seseorang yang mempunyai kebiasaan mengecek e-
mailnya setiap pagi sambil sarapan. Kebiasaan ini mengurangi rasa curiga dan
berpeluang membuka dan mempercayai surel phishing. [21]
Penelitian yang dilakukan oleh Button, Nicholls, Kerr, & Owen (2014) mencoba
mencari tau mengenai mengapa korban jatuh kepada penipuan online. Terdapat
beragam penipuan online namun dengan teknik yang sama yaitu kriminal mencoba
menjadi entitas yang sah berupa e-mail dari lembaga ternama dan website yang
menyerupai lembaga terpercaya. Teknik yang digunakan untuk mengajak pengguna
membuka situs web palsu tersebut seragam yaitu menggunakan teknik penipuan
marketing. Pengguna mendapatkan e-mail mengenai promosi transaksi dengan
waktu terbatas atau menginformasikan bahwa akun pengguna mempunyai masalah
dan dibutuhkan login kembali pada website resmi namun palsu. Pengguna yang
mendapatkan e-mail tersebut tertarik dan membuka website phishing yang telah
disediakan pada e-mail. [22]
Dilihat dari pengetahuan pengguna, Zielinska, Welk, Mayhorn, & Murphy-Hill
(2015) mengungkapkan bahwa para ahli (expert) cenderung memiliki pemahaman
yang lebih komprehensif tentang bagaimana tren serangan phishing dan
karakteristiknya melalui e-mail dibandingkan pemula. Para ahli dinilai lebih dapat
mengambil resiko dan menghindari ancaman serangan phishing dibandingkan
pengguna pemula. [23]
Selain menggunakan website palsu,kejahatan kriminal dengan menggunakan teknik
phishing juga memanfaat malware untuk mencuri data pribadi pengguna. Seperti
yang diungkapkan USE Act (2010) Serangan baru Zeus Malware yang berbasis
botnet juga menyerang pengguna kartu kredit di Amerika Serikat. Serangan Zeus
menggunakan teknik man-in-the-middle dengan pop-up meminta untuk
memberikan informasi sensitive pada website yang resmi. (Hilley, 2006)
menyatakan bahwa pengguna tidak sadar mengunduh malware ketika mengunjungi
situs berbau pornografi, situs yang menyediakan konten bajakan dan ketika
membuka e-mail phishing. [24]
Malware yang berada di komputer pengguna memiliki resiko ancaman yang lebih
tinggi dibandingkan phishing konvensional. IBM menyatakan penipuan pada
mayoritas bank disebabkan oleh teknik rekayasa sosial untuk menggagalkan sistem
dua faktor autentikasi. Teknik ini menggunakan trojan “The Dyre” dimana malware
tersebut menginjeksi halaman web palsu pada situr resmi. Halaman web palsu
tersebut menginformasikan bahwa situs sedang mengalami perbaikan dan pengguna
diharapkan menghubungi nomor telepon yang tertera pada halaman. Ketika
pengguna menelpon nomor tersebut, pengguna akan dimintai data-data sensitif
terkait bank tersebut diungkapkan oleh Elsevier Advanced Technology (2015) [25]
3.2 Pencegahan terhadap ancaman serangan Phishing
Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, pencegahan
terhadap ancaman serangan phishing ketika pengguna menggunakan layanan online
banking adalah edukasi terhadap pengguna, psikologis dan privasi social
networking services pengguna dan penggunaan sistem one time password pada
perbankan. Tabel 4.2 menunjukkan pencegahan phishing dari berbagai studi yang
telah dibaca.
Tabel 3.2 Pencegahan phishing berdasarkan study literature
No. Nama Pengarang dan Tahun
1 Alsharnouby, Alaca, & Chiasson
(2015)
2 Mohammad, Thabtah, &
McCluskey (2015)
3 Parmar (2012)
4 Vishwanath, Herath, Chen,
Wang, & Rao (2011)
5 Parmar (2012)
6 Bose & Leung (2008)
7 Kumaraguru, Rhee, Acquisti,
Cranor, & Hong (2007)
8 Kumaraguru, et al. (2007)
10 Kumaraguru, et al. (2009)
11 Kumaraguru, Sheng, Acquisti,
Cranor, & Hong (2010)
12 Dodge Jr., Carver, & Ferguson
(2007)
13 Arachchilage & Love (2014)
14 Vishwanath, Herath, Chen,
Wang, & Rao, 2011
15 Castillo, Iglesias, & Serrano
(2007)
16 Hamid & Abawajy (2014)
17 Garfinkel, Margrave, Schiller,
Nordlander, & Miller (2005)
18 Kirda & Kruegel (2005)
19 Dunlop, Groat, & Shelly (2010)
20 Chiew, Chang, Sze, & Tiong
(2015)
21 Gowtham & Krishnamurthi
(2014)
22 Rao & Ali (2015)
23 Montazera & Yarmohammadi
(2015)
24 Han, Cao, Bertino, & Yong
(2012)
25 Nilsson, Adams, & Herd (2006)
26 Huang, Ma, & Chen (2011)
Faktor penyebab phishing
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna dan
mencegah pada tingkat e-mail
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Edukasi terhadap pengguna
Mencegah pada tingkat e-mail
Mencegah pada tingkat e-mail
Mencegah pada tingkat e-mail
Mencegah pada tingkat e-mail
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan perangkat lunak anti-
phishing
Penggunaan sistem OTP
Penggunaan sistem OTP
No. Nama Pengarang dan Tahun Faktor penyebab phishing
27 Silic & Back (2016) Edukasi terhadap pengguna

1. Edukasi pengguna terhadap ancaman serangan phishing beserta

pencegahannya
Edukasi kepada pengguna merupakan faktor terpenting dalam pencegahan
phishing. Pengguna yang memiliki pengetahuan dan kesadaran mengenai
serangan phishing dan mengetahui tindakan untuk menghindari ancaman
tersebut rentan lolos menghindari ancaman phishing dibandingkan pengguna
yag tidak mengetahuinya.
Seperti yang diungkapkan oleh Alsharnouby, Alaca, & Chiasson (2015) 53%
pengguna yang telah dibekali edukasi mampu mendeteksi website phishing.
Namun edukasi yang hanya dilakukan satu kali belum mampu memenuhi
ekspektasi penelitian yang mengharapkan 86% pengguna mampu mendeteksi
website phishing. [14]
Mohammad, Thabtah, & McCluskey (2015) juga mengatakan bahwa edukasi
kepada pengguna merupakan kunci pencegahan terbaik untuk menghadapi
ancaman phishing. Jika pengguna mengetahui indikator keamanan, dapat
mendeteksi websie phishing dan tidak tergiur pada penawaran menarik pada e-
mail phishing maka ancaman tersebut dapat dihindari. Namun edukasi
membutuhkan waktu dan biaya yang tinggi sementara phishing terus
berkembang. Sehingga Mohammad menyarankan perlunya solusi teknis dan
solusi hukum untuk mencegah ancaman phishing. [16]
Teknik spear-phishing yang lebih beresiko dibandingkan teknik phishing
konvensional juga menyarankan edukasi pengguna sebagai pencegahan terbaik.
Diungkapkan oleh Parmar (2012) CSCIC (Cyber Security and Critical
Infrastructure Co-ordination) mengedukasi serangan phishing kepada para
pegawai negeri di Amerika Serikat menggunakan e-mail. Pada awalnya 15%
pengguna menginputkan passwordnya pada halaman website palsu sebelum
diberi peringatan bahwa e-mail tersebut adala pelatihan phishing dan
menjelaskan kesalahan atas tindakan mereka (pengguna). Empat bulan
kemudian CSCIC kembali mengirimkan e-mail phishing kepada pegawai negeri
di Amerika Serikat dan hasilnya hanya 8% pengguna yang mencoba
berinteraksi ke halaman website palsu. [17]
Pengetahuan mengenai phishing dan pencegahannya dapat diperoleh melalui
edukasi, kesadaran dan pengalaman. Diperlukannya kolaborasi atas tiga aspek
tersebut untuk meningkatkan self efficacy pada pengguna seperti yang
diungkapkan oleh Vishwanath et al. (2011). [21]
Pihak bank mempunyai kewajiban untuk memberikan informasi mengenai
phishing dan pencegahannya kepada pengguna. Seperti yang diungkapkan
Bose & Leung (2008) studi yang dilakukan pada Bank di hongkong, Bank
menyediakan fasilitas online banking memuat informasi mengenai phishing
dan tindakan anti-phishing pada pada halaman resmi websitenya. Akses kepada
informasi mengenai phishing lebih mudah dilakukan dibandingkan tindakan
anti-phishing. Pada Bank di Hongkong, tindakan pencegahan terhadap ancaman
phishing melalui surat elektronik lebih sulit diakses dibandingkan ancaman
phishing dalam bentuk malware. [26]
Efektifitas pelatihan pencegahan phishing (embedded training) telah diuji oleh
 Kumaraguru, Rhee, Acquisti, Cranor, & Hong (2007) dengan membandingkan
dengan pesan keamanan pada umumnya. Hasilnya adalah pelatihan dinilai lebih
baik dibandingkan mengirimkan pesan keamanan kepada pengguna. Mereka
berkesimpulan bahwa pelatihan pencegahan phishing (embedded training)
membantu pengguna mempelajari mengenai bahaya phishing dan cara untuk
menghindarinya. [27]
Pada research paper yang berbeda Kumaraguru, et al. (2007) mengungkapkan
bahwa efektivitas pengguna dalam mempelajari materi phishing lebih baik
ketika pengguna telah mengalami simulasi serangan (embedded) dibandingkan
ketika pelatihan dikirimkan melalui e-mail (non-embedded). Pengetahuan
pengguna lebih bertahan setelah embedded training dibandingkan non-
embedded training. [28]
Kumaraguru, et al. (2009) melakukan penelitian yang berfokus mengedukasi
pengguna dan membantu mereka untuk menghindari serangan phishing.
Mereka mengembangkan pelatihan embedded system dengan nama PhishGuru
dengan masa pelatihan 28 hari. Pelatihan ini terbukti efektif ketika pengguna
yang telah dilatih dibandingkan dengan pengguna yang belum dilatih oleh
PhishGuru [29]. Lalu Kumaraguru, Sheng, Acquisti, Cranor, & Hong (2010)
membuat permainan bernama Anti-Phishing Phil yang bertujuan memberikan
edukasi kepada pengguna agar dapat mendeteksi URL resmi dan palsu.
Hasilnya adalah walaupun anti-phishing software bertindak sebagai garis
pertama dalam menghadapi serangan phishing namun edukasi pengguna
menawarkan pendekatan yang membantu pengguna mengidentifikasi e-mail
dan website palsu. [30]
Edukasi pengguna melalui media permainan (game) dinilai efektif dan
meningkatkan self efficacy pengguna dalam menghindari penipuan online.
Arachchilage & Love (2014) merancang kerangka desain permainan yang
diharapkan tidak hanya dapat meningkatkan kesadaran pengguna terhadap
serangan phishing namun serangan siber IT lainnya seperti virus, malware,
botnet dan spyware. [15]
Mengenai faktor privasi pada social networking sites, (Silic & Back, 2016)
mengungkapkan bahwa pengguna harus diberikan edukasi mengenai resiko
ketika mengungkapkan informasi pribadi di social networking services. Resiko
tersebut berupa ancaman phishing dan pencurian identitas pribadi pengguna.
[31]
2. Mencegah Phishing pada tingkat e-mail
E-mail merupakan media yang rawan terhadap serangan phishing. Hal ini
seperti diungkapkan oleh Vishwanath, Herath, Chen, Wang, & Rao (2011)
bahwa semakin banyak e-mail yang diterima oleh pengguna maka semakin
rawan pengguna menjadi calon korban phishing. Resiko akan semakin besar
jika pengguna tidak hanya menerima e-mail dalam volume besar namun juga
merespon e-mail dalam volume yang besar juga. [21]
Phishing dapat dicegah melalui pemasangan filter yang mengklasifikasikan e-
mail menjadi dua kategori yaitu asli (legitimate) dan palsu (fraudulent) seperti
yang diungkapkan oleh Castillo, Iglesias, & Serrano (2007). Dengan
menggunakan fungsi filter, perusahaan dapat melindungi pegawai dan
pelanggannya dari e-mail spam yang mengancam mencuri data pengguna e-
mail. [32]
 Jika phiser mengetahui target calon korban dan menggunakan teknik spear
phishing maka filter e-mail spam dan phishing menjadi tidak efektif. Parmar
(2012) mengatakan hal ini dikarenakan spear-phishing melakukan pendekatan
yang berbeda dibandingkan phishing konvensional yang mudah terdeteksi oleh
filter.
Solusi lainnya untuk mencegah phishing pada tingkat e-mail adalah pengguna
internet seharusnya menggunakan fasilitas Tanda tangan digital pada e-mail
atau Digital Signature E-mail seperti yang diungkapkan oleh Garfinkel,
Margrave, Schiller, Nordlander, & Miller (2005). Tanda tangan digital
menggunakan kunci asimetric kriptografi seperti RSA yang memungkinkan
pengguna untuk membedakan identitas sang pengirim e-mail. Namun hal ini
akan menjadi masalah ketika pengguna yang menggunakan satu komputer
untuk mengakses akun e-mailnya. [33]
3. Penggunaan perangkat lunak anti-phishing
Selain indikator keamanan pada browser seperti penggunaan protokol HTTPS
(SSL certifed) pada situs terdapat solusi pencegahan lainnya yaitu
menggunakan perangkat lunak anti-phishing.
Kirda & Kruegel (2005) pada papernya mempresentasikan ekstensi browser
yang bernama AntiPhish. AntiPhish bertujuan untuk melindungi pengguna
dari halaman website palsu dengan menampilkan pesan waspada ketika
pengguna mencoba menginput data sensitif (username, password) pada
halaman yang tidak terpercaya. Namun AntiPhish saat ini hanya berupa
prototype. [34]
Dunlop, Groat, & Shelly (2010) memperkenalkan GoldPhish, sebuah plugin
yang terpasang pada browser bertujuan untuk melindungi pengguna dari zero-
day phishing sites. Pencegahan terhadap phishing umumnya dilakukan dengan
memakai teknik blacklist maupun whitelist terhadap URL phishing yang telah
dideteksi namun teknik ini tidak efektif ketika berhadapan dengan zero-day
attack. Phisher selalu lebih terdepan membuat website palsu yang tidak dapat
dideteksi oleh anti-phishing berbasis blacklist/whitelist, GoldPhish
menawarkan solusi dengan pendekatan teknik Heuristic dengan menangkap
gambar dari halaman website lalu menggunakan optical character recognition
untuk mengubah gambar ke teks lalu diintegrasikan dengan algoritma Google
Pagerank yang membantu untuk menentukan apakah website tersebut valid
atau tidak. GoldPhish diklaim akurat dalam mendeteksi 100% website asli dan
98% mendeteksi website phishing. [35]
4. Penggunaan sistem OTP pada sistem perbankan
Password digunakan untuk autentikasi pada situs website perbankan. Untuk
melakukan transaksi pada layanan online, institusi perbankan memberikan
perangkat token kepada pelanggan yang dapat mengeluarkan PIN atau One
Time Password (OTP) yang dikirimkan melalui pesan teks kepada pelanggan
seperti yang diungkapkan oleh Nilsson, Adams, & Herd (2006). [36]
Password sekali pakai (one time password) adalah sistem autitentikasi dimana
pengguna ketika melakukan login menggunakan password sekali pakai yang
dikirimkan melalui aplikasi instant messaging atau sms. Tidak menggunakan
password statis, namun sistem password ini hanya sekali pakai (OTP)
diungkapkan dalam penelitian Huang, Ma, & Chen (2011). [37]
Peretas menemukan celah keamanan dalam penggunaan perangkat token pada
 layanan online banking. Hal ini seperti yang diungkapkan oleh Tanujaya
(2015) bahwa Malware bernama Gameover Zeus yang telah berada di
komputer pengguna melakukan serangan Man-in-the-Browser (MitB) dengan
teknik dengan teknik LoadInjectScript yang mampu menambahkan scipt (pop-
up) pada halaman website resmi dan mencuri informasi kredensial pengguna
seperti PIN Token yang diinputkan pengguna. [38]
IT Security Manager salah satu Bank di Indonesia Aktorian (2015)
membenarkan ancaman tersebut. Beliau mengatakan Bank melakukan tindak
pencegahan melalui tiga aspek yaitu people, process, technology. Beliau
mengatakan layanan online banking di Indonesia telah memperingatkan
pengguna dengan memasang pesan waspada. Bank Mandiri memasang pesan
waspada yang berbunyi “Hentikan transaksi jika anda diminta sinkronisasi
token pada saat login dan pastikan komputer anda bersih dari virus”. Bank
BCA memasang pesan waspada “Waspada virus trojan, malware dan spyware.
Stop! Jika anda menemukan hal yang tidak biasa pada saat bertransaksi
Internet Banking, Stop jangan dilanjutkan!”. [39]
Namun pesan waspada tersebut kembali ke pengguna apakah memperhatikan
dan sadar terhadap pesan tersebut. Meulen (2013) mengungkapkan kejahatan
kriminal dalam layanan online terjadi salah satunya akibat pengguna dinilai
lalai dan mengabaikan peraturan yang telah diedukasikan oleh pihak bank. [19]
4. Kesimpulan
Phishing merupakan ancaman yang menggunakan teknik rekayasa sosial (social
engineering) yang mengelabui pengguna dengan cara menyamar sebagai entitas
yang resmi. Phishing menyerang berbagai sektor industri termasuk industri
perbankan yang menjadi sasaran terbesar seperti yang diungkapkan oleh laporan
APWG tahun 2014.
Faktor penyebab phishing pada layanan online banking
1. Pengetahuan pengguna yang minim
Pengguna layanan online banking dianggap tidak memiliki pengetahuan yang
baik mengenai keamanan informasi seperti membedakan nama domain yang
resmi dan palsu. Pengguna juga lalai dalam memperhatikan indikator-indikator
keamanan pada browser. Pengguna juga tidak mengetahui strategi untuk
menghadapi serangan phishing, tidak melakukan klarifikasi atas e-mail phishing
yang mereka terima kepada pihak bank dan tidak mengetahui kebijakan bank
terkait layanan online banking. Pengguna juga sering menggunakan kata sandi
password yang sama untuk seluruh layanan yang digunakan pada internet, hal ini
membuat resiko keamanan informasi pengguna semakin besar.
2. Psikologis
Pengguna dinilai mudah terperdaya dengan penawaran-penawaran menarik
seperti promosi, potongan harga dan hadiah. Tidak hanya hal tersebut, ketika
mendapatkan e-mail phishing (menyamar sebagai perwakilan bank) yang
menyatakan terdapat kesalahan pada akun pengguna dan diperlukannya input
ulang data sensitif kembali pada halaman website (yang ternyata halaman palsu)
pengguna terpancing dan mengikuti instruksi yang diberikan.
3. Privasi sosial networking services
Teknik spear-phishing memanfaatkan data-data pengguna yang berasal dari
layanan jejaring sosial (sosial networking services). Data-data seperti Nama,
 Alamat, Tanggal Lahir, Nama Orang Tua, Nama Keluarga, Pekerjaan, Bank yang
dipakai dapat dicuri secara tidak langsung jika pengguna tidak mengatur privasi
jejaring sosialnya dengan baik.
Pencegahan serangan phishing pada Layanan Online Banking
1. Edukasi pengguna terhadap ancaman serangan Phishing beserta pencegahannya
Pencegahan terbaik terhadap serangan phishing adalah melakukan edukasi
kepada pengguna. Pengguna yang telah diedukasi terbukti mampu mendeteksi
dan menghindari e-mail dan website phishing. Edukasi dapat berupa pelatihan
phishing (embedded training) secara berkala yang dilakukan pada perusahaan,
melalui media permainan (game) yang dapat memacu pengetahuan pengguna
dalam mengidentifikasi url asli atau palsu. Edukasi juga dapat diberikan oleh
pihak bank secara berkala kepada pengguna. Hal ini dilakukan oleh Bank BCA
yang menggunakan media YouTube dalam hal mensosialisasikan bahaya
kejahatan siber (termasuk phishing). Sosialisasi itu dilakukan dalam bentuk video
animasi dengan judul “Detect and Thief” diunggah oleh akun Solusi BCA.
Umumnya Bank menyediakan halaman khusus pada websitenya mengenai
bahaya kejahatan siber pada online banking dan diharapkan pengguna membaca
informasi tersebut. Empat faktor penyebab phishing juga dapat diatasi oleh
edukasi.
2. Mencegah Phishing pada tingkat e-mail
E-mail merupakan media yang rawan terhadap serangan phishing. Perlunya
mencegah phishing pada tingkat e-mail dengan cara filtering atau menggunakan
fasilitas tanda tangan digital pada e-mail atau Digital Signature E-mail. Filtering
melindungi pengguna dari e-mail spam yang mengancam mencuri data pengguna
e-mail dan tanda tangan digital (Digital Signature E-mail) menggunakan kunci
asimetric kriptografi seperti RSA yang memungkinkan pengguna untuk
membedakan identitas sang pengirim e-mail. Namun hal ini akan menjadi
masalah ketika pengguna yang menggunakan satu komputer untuk mengakses
akun e-mailnya.
3. Penggunaan perangkat lunak anti-phishing
Menggunakan ekstensi/plugin tambahan pada browser yang dapat melindungi
pengguna dari serangan phishing. Contohnya seperti AntiPhish yang dapat
menampilkan pesan waspada ketika pengguna mencoba menginputkan data
sensitif pada halaman yang tidak terpercaya. Anti-phishing lainnya yaitu
Goldphish dapat mendeteksi halaman website palsu dengan menggunakan
dengan pendekatan teknik Heuristic.
4. Penggunaan sistem OTP pada sistem perbankan
Untuk menjaga keamanan informasi layanan online banking, perbankan
umumnya memakai sistem kata sandi sekali pakai (one time password) dalam
bentuk PIN yang dihasilkan oleh perangkat token atau kata sandi yang dikirimkan
melalui pesan teks kepada pelanggan.
Namun untuk OTP melalui perangkat token, peretas menggunakan serangan
malware trojan (Gameover Zeus) untuk mendapatkan kombinasi PIN pengguna.
Trojan tersebut melakukan serangan Man-in-the-Browser (MitB) dengan teknik
LoadInjectScript yang mampu menambahkan scipt (pop-up) pada halaman website
resmi dan mencuri informasi kredensial pengguna seperti PIN Token yang
diinputkan pengguna.
Perbankan di Indonesia mencegah hal tersebut dengan memasang pesan waspada
yang berbunyi “Waspada virus trojan, malware dan spyware. Stop! Jika anda
menemukan hal yang tidak biasa pada saat bertransaksi Internet Banking, Stop
jangan dilanjutkan!”
Namun semuanya kembali ke pengguna, memperhatikan atau mengabaikan pesan
tersebut ketika menggunakan layanan online banking.

Daftar Pustaka

[1] P. N. P. Singh, “Online Frauds in Banks with Phishing,” Journal of Internet

Banking and Commerce, p. 4, 2007.
[2] Anti-Phishing Working Group, “Phishing Activity Trends Report, 2nd
Quarter,” Anti-Phishing Working Group (APWG), Washington D.C, 2014.
[3] EMC, “Phishing 2013: A Look Back,” EMC, Hopkinton, 2014.
[4] Symantec Brightmail TM, “Anti Phishing, White Paper: Messaging Security,”
2014.
[5] H. Rush, C. Smith, E. K. Mbula dan P. Tang, “Crime online,” Cybercrime and
illegal innovation, p. 11, 2009.
[6] S. C. McQuade, “CyberCrime,” dalam Encyclopedia of cybercrime, Westport,
Greenwood Publishing Group, Inc., 2009, p. 44.
[7] Z. Ramzan, “Phishing attacks and countermeasures,” In Stamp, Mark &
Stavroulakis, Peter. Handbook of Information and Communication Security,
Springer. ISBN 9783642041174., 2010.
[8] S. Egelman, L. F. Cranor dan J. Hong, “You’ve Been Warned: An Empirical
Study of the,” You’ve Been Warned: An Empirical Study of the, Published in
Proceeding CHI '08 Proceedings of the SIGCHI Conference on Human Factors
in Computing Systems Pages 1065-1074 , pp. 1065-1074, 2008.
[9] C. Whittaker, B. Ryner dan M. Nazif, “Large-Scale Automatic Classification
of Phishing Pages,” Large-Scale Automatic Classification of Phishing Pages,
2010.
[10] Courtesy of Computer Associates, “Types of Phishing Attacks,” 03
Desember 2014. [Online]. Available:
http://www.pcworld.com/article/135293/article.html.
[11] D. Ridley, The Literature A Step-by-Step Guide, London: Sage Publication,
2012.
[12] S. M. Nasution, Interviewee, Phishing sebagai Ancaman pada Layanan
Online Banking. [Wawancara]. 21 January 2016.
[13] R. Dhamija, J. Tygar dan M. Hearst, “Why Phishing Works,” Proceeding of
CHI-2006: Conference on Human Factors in Computing Systems, 2006.
[14] M. Alsharnouby, F. Alaca dan S. Chiasson, “Why phishing still works: user
strategies,” Int. J. Human-Computer Studies, 2015.
[15] N. A. G. Arachchilage dan S. Love, “Security awareness of computer users: A
phishing threat avoidance,” Computers in Human Behavior 38 (2014) 304–
312, 2014.
[16] R. M. Mohammad, F. Thabtah dan L. McCluskey, “Tutorial and Critical
analysis of phishing websites methods,” Computer science review, 2015.
[17] B. Parmar, “Protecting against spear-phishing,” Computer Fraud and
Security, 2012.
[18] H. Malik dan A. S. Malik, “Towards Identifying the Challenges Associated
with Emerging Large Scale Social Networks,” Procedia Computer Science, p.
458–465, 2011.
[19] N. S. v. d. Meulen, “You’ve been warned: Consumer liability in Internet,”
Computer Law & Security Review Volume 29, Issue 6, December 2013, p.
713–718, 2013.
[20] E. Sein, “The God of Phishing,” Info Security Spotlight, 2011.
[21] A. Vishwanath, T. Herath, R. Chen, J. Wang dan H. R. Rao, “Why do people
get phished? Testing individual differences in phishing vulnerability within
an integrated, information processing model,” Decision Support Systems 51,
pp. 576-586, 2011.
[22] M. Button, C. M. Nicholls, J. Kerr dan R. Owen, “Online frauds: Learning
from victims why they fall for these scams,” Australian & New Zealand
Journal of Criminology 2014 Vol. 47(3), p. 391–408, 2014.
[23] O. A. Zielinska, A. K. Welk, C. . B. Mayhorn dan E. Murphy-Hill, “Exploring
Expert and Novice Mental Models of Phishing,” Proceedings of the Human
Factors and Ergonomics Society 59th Annual Meeting, 2015.
[24] USE Act, “Golden hour for phishing and new Zeus botnet,” Network
Security, 2010.
[25] Elsevier Advanced Technology, “IBM uncovers major bank fraud,”
Computer Fraud and Security, 2015.
[26] I. Bose dan A. C. M. Leung, “Assessing anti-phishing preparedness: A study
of online banks in Hong Kong,” Decision Support Systems 45, p. 897–912,
2008.
[27] P. Kumaraguru, Y. Rhee, A. Acquisti, L. F. Cranor dan J. Hong, “Protecting
People from Phishing: The Design and Evaluation of an Embedded Training
Email System,” Conference Proceeding Human-Computer Interaction
Institute, 2007.
[28] P. Kumaraguru, Y. Rhee, S. Heng, S. Hasan, A. Acquisti, L. F. Cranor dan J.
Hong, “Getting Users to Pay Attention to Anti-Phishing Education:
Evaluation of Retention and Transfer,” Proceedings of the anti-phishing
working groups 2nd annual eCrime researchers summit , pp. 70-81, 2007.
[29] P. Kumaraguru, J. Cranshaw, A. Acquisti, J. Hong, A. Blair dan T. Pham,
“School of phish: a real-world evaluation of anti-phishing training”,,”
Proceedings of the 5th Symposium on Usable Privacy and Security, 2009.
[30] P. Kumaraguru, S. Sheng, A. Acquisti, L. Cranor dan J. Hong, “Teaching
Johnny not to fall for phish,” ACM Transactions on Internet Technology
Vol.10 No.2, 2010.
 [31] M. Silic dan A. Back, “The dark side of social networking
sites:Understanding phishing risks,” Computers in Human Behavior, pp. 35-
43, 2016.
[32] M. Castillo, A. Iglesias dan J. Serrano, “Detecting phishing e-mails by
heterogeneous,” H. Yin et al. (Eds.): IDEAL 2007, LNCS 4881, pp. 296-305,
2007.
[33] S. Garfinkel, D. Margrave, J. Schiller, E. Nordlander dan R. Miller, “How to
make secure e-mail easier to user,” Proceedings of the ACM Conference on
Human Factors in Computing Systems, pp. 701-10, 2005.
[34] E. Kirda dan C. Kruegel, “Protecting users against phishing attacks with
antiphish,” Proceedings of the 29th Annual International Conference on
Computer Software and Applications, pp. 517-24, 2005.
[35] M. Dunlop, S. Groat dan D. Shelly, “GoldPhish: Using Images for Content-
Based,” The Fifth International Conference on Internet Monitoring and
Protection, 2010.
[36] M. Nilsson, A. Adams dan S. Herd, “Building security and trust in online
banking,” Extended Abstracts of the ACM Conference on Human Factors in
Computing Systems, pp. 1701-4, 2006.
[37] C.-Y. Huang, S.-P. Ma dan K.-T. Chen, “Using one-time passwords to prevent
password phishing attacks,” Journal of Network and Computer Applications
34, pp. 1292-1301, 2011.
[38] A. Tanujaya, “Gameover Zeus dengan LoadInjectScript,” 23 March 2015.
[Online]. Available: http://www.vaksin.com/0614-goz-load_inject_script.
[39] R. Aktorian, Interviewee, Ancaman Siber dalam Online Banking.
[Wawancara]. 12 January 2015.

View publication stats