Phising

Phising adalah upaya untuk mendapatkan informasi data seseorang dengan teknik
pengelabuan. Data yang menjadi sasaran phising adalah data pribadi (nama, usia, alamat), data
akun (username dan password), dan data finansial (informasi kartu kredit, rekening). Istilah
resmi phising adalah phishing, yang berasal dari kata fishing yaitu memancing. Kegiatan phising
memang bertujuan memancing orang untuk memberikan informasi pribadi secara sukarela tanpa
disadari. Padahal informasi yang dibagikan tersebut akan digunakan untuk tujuan kejahatan.

Kenapa korban mau melakukan hal itu?

Pelaku phising biasanya menampakkan diri sebagai pihak atau institusi yang berwenang.
Dengan menggunakan website atau email palsu yang tampak meyakinkan, banyak orang berhasil
dikelabui. Informasi data phising yang diperoleh bisa langsung dimanfaatkan untuk menipu
korban. Atau, bisa juga dijual ke pihak lain untuk melakukan tindakan tidak bertanggung jawab
seperti penyalahgunaan akun. Aksi cyber crime ini memang berbahaya. Menurut
sebuah laporan, 32% pencurian data selalu melibatkan kegiatan phising. Bahkan, di awal
tahun 2020 saja, Anti Phishing Working Group mencatat sudah ada 165.772 website
phising yang siap menjaring korban. Dan, sektor finansial masih menjadi sasaran utamanya:

Jenis Phising
Untuk lebih mengenal tindakan phising, mari pelajari jenis phising yang paling banyak ditemui
saat ini:
1. Email Phising

Sesuai namanya, email phising menggunakan media email untuk menjangkau calon korbannya. 

Jumlah aksi email phising ini cukup banyak. Menurut data, terdapat 3,4 miliar email palsu yang
dikirimkan setiap harinya. Anda bisa bayangkan, berapa banyak korban yang bisa terjerat aksi
ini.

2. Spear Phising

Spear phising adalah jenis dari email phising. Bedanya, alih-alih menggunakan pengiriman email
secara masif dengan calon korban yang acak, spear phising menarget calon korban tertentu.
Biasanya, teknik ini dilakukan setelah beberapa informasi dasar calon korban dimiliki, seperti
nama dan alamat.
3. Whaling

Whaling adalah langkah phising yang tidak hanya menarget individu secara spesifik, tapi juga
individu yang memiliki kewenangan tinggi di suatu organisasi, misalnya pemilik bisnis, direktur
perusahaan, manajer personalia, dan lainnya. Dengan demikian, jika tindakan whaling ini
berhasil, akan banyak keuntungan yang bisa dimanfaatkan dari akses yang didapatkan.

4. Web Phising

Web phising adalah upaya memanfaatkan website palsu untuk mengelabui calon korban.
Website untuk phising akan terlihat mirip dengan website resmi dan menggunakan nama domain
yang mirip. Hal ini disebut domain spoofing. Sebagai contoh, untuk menyerupai
niagahoster.co.id, domain yang digunakan pelaku phising adalah niaga-hoster.my.id.

Bagaimana Sebuah Aksi Phising Dijalankan?

Cara kerja phising adalah memanipulasi informasi dan memanfaatkan kelalaian korban.
Di sini, kami akan menggunakan contoh web phising dengan memanfaatkan
nama PayPal seperti ditemukan welivesecurity.com.

1. Pelaku Memilih Calon Korban

Tahap awal kegiatan web phising akan dimulai dengan menentukan siapa calon korbannya. Pada
umumnya, korban yang disukai adalah pengguna platform pembayaran online
seperti PayPal, Ovo, dan lainnya.

Tidak hanya itu saja, banyak pelaku phising yang mengincar pengguna platform yang memiliki
celah keamanan. Kasus terbaru terjadi pada platform komunikasi Zoom. Tak kurang dari 1000
upaya phising terjadi hanya di bulan April 2020 saja. 

2. Pelaku Menentukan Tujuan Phising

Setelah mendapatkan calon korban yang potensial, pelaku akan mulai memikirkan apa yang akan
dicapai dari kegiatan web phising yang dilakukan. Apakah akan menarget username dan
password pengguna untuk menguasai akun. Apa malah mendapatkan semua informasi korban
melalui sebuah prosedur yang disiapkan.

Pada contoh aksi phising PayPal, pelaku menginginkan semua informasi dari pengguna platform
tersebut. Seperti ditunjukkan welivescurity.com, pengguna akan menerima email untuk
mengkonfirmasi data diri melalui sebuah link website palsu yang disediakan.

3. Pelaku Membuat Website Phising

Untuk melancarkan aksinya, pelaku akan mulai menyiapkan website palsu untuk melakukan aksi
phising. Mulai dari mendesain website palsu, memilih nama domain yang mirip dengan domain
asli hingga menyiapkan konten dengan tulisan yang meyakinkan.
Pada prakteknya, pelaku kadang membuat website yang sangat menyerupai halaman website
resmi tapi menggunakan nama domain yang jauh berbeda seperti terlihat di contoh atas.

Namun, pada contoh kasus phishing Danamon Online beberapa waktu lalu, Anda akan langsung
melihat bahwa domain yang digunakan mirip sekali dengan website resminya:

4. Calon Korban Mengakses Website Phising

Dengan tampilan website dan informasi yang meyakinkan, tak sedikit calon korban yang
akhirnya mengakses website phising milik pelaku. Langkah ini biasanya didahului dengan
mengajak calon korban melalui email phising atau link yang disebarkan via SMS atau akun
media sosial.

5. Calon Korban Mengikuti Instruksi Pelaku

Inilah kunci dari terjadinya aksi phising. JIka calon korban melakukan instruksi yang diberikan
pelaku, maka pelaku akan berhasil mencapai tujuannya.
Sebagai contoh, pada halaman website yang disediakan, calon korban diminta melakukan update
informasi pribadi hingga data pembayaran pada akun yang digunakan. Pada saat selesai mengisi
data dan melakukan submit, saat itulah semua informasi korban berhasil dimiliki.

6. Data Korban akan Dimanfaatkan

Jika aksi web phising berhasil, pelaku akan memanfaatkan data yang telah diterima. Apa saja
yang bisa dilakukan?

 Menjual informasi yang didapatkan ke pihak ketiga yang membutuhkan data calon
konsumen. Misalnya, untuk tujuan telemarketing atau kegiatan marketing online lainnya.
 Menjual informasi data tersebut untuk kepentingan politik atau iklan penjualan produk.
 Menjalankan aksi penipuan. Misalnya, dengan menyatakan seseorang memenangkan
undian tertentu yang pada akhirnya meminta orang tersebut mengirimkan sejumlah uang.
 Menggunakan data yang dimiliki untuk mencoba membobol akun yang dimiliki atau
akun lain.
 Melakukan pinjaman online mengatasnamakan korban dengan menggunakan data diri
lengkap korban. Tentu saja, korban lah yang akan ditagih pelunasan atas pinjaman
tersebut.

9 Tips Agar Tidak Menjadi Korban Phising

Agar sebagai pengguna platform tertentu, Anda bisa terhindar dari kejahatan phising, inilah
beberapa tips yang perlu Anda lakukan:

1. Selalu Update Informasi terkait Phising

Anda sudah belajar tentang jenis phising. Namun, tidak menutup kemungkinan jenis kejahatan
online akan terus berkembang. Baik dari media yang digunakan untuk phising ataupun jenis
serangan yang dilakukan.

Oleh karena itu, selalu ikuti berita perkembangan phising dengan baik. Salah satunya dengan
memiliki rasa ingin tahu apabila ada insiden keamanan yang terjadi seperti kebocoran data
pengguna Tokopedia atau Bukalapak baru-baru ini.
Apakah kejadian tersebut dimulai dari aksi phising? Bagaimana kejahatan online tersebut
dilakukan? Atau, berbagai pertanyaan lainnya.

2. Selalu Cek Siapa Pengirim Email

Email phising masih menjadi jenis kejahatan online yang marak. Untuk itu, Anda perlu berhati-
hati ketika mendapatkan email dari pengirim yang mencurigakan.

Anda sebaiknya tidak hanya melihat nama pengirim, tapi juga alamat email yang
mengirimkannya pada bagian From field. Sebab, email tersebut bisa saja palsu.

Anda bahkan harus extra waspada kalau email yang Anda terima terkait dengan perubahan
informasi akun, pembayaran dan hal penting lainnya.

Sebagai contoh, ketika Anda menerima email yang seolah berasal dari Niagahoster dan meminta
Anda untuk melakukan pembaruan pesanan seperti di bawah ini, Anda bisa mengabaikannya:

Apa alasannya?

Pertama, ketika menggunakan nama Niagahoster, maka email yang kami kirim akan
menggunakan domain niagahoster.co.id, misalnya cs@niagahoster.co.id. Bukan @i-
ob.co.uk atau domain lain yang tidak terkait Niagahoster.
Kedua, pada bagian footer email, akan selalu ada kontak resmi Niagahoster yang bisa Anda
gunakan melakukan pengecekan (verifikasi) apakah informasi yang Anda dapatkan itu benar.
Pada email phising di atas, tidak ada, bukan?

3. Jangan Asal Klik Link yang Diterima

Meskipun Anda menjadi sasaran phising, Anda belum tentu menjadi korban. Kuncinya adalah
apakah Anda melakukan klik pada link yang disiapkan oleh pelaku phising atau tidak.
Seperti Anda tahu, email dan website untuk phising dibuat mirip dengan aslinya. Namun, selalu
ada hal yang membedakan sumber resmi dengan palsu. Bisa dari form pengisian data yang
mencurigakan, bahasa konten yang bukan seperti biasa Anda terima, dan lain sebagainya.

Jadi, sebelum meng-klik link apapun, pastikan link tersebut aman. 

Caranya, arahkan mouse ke link tersebut tanpa diklik (hover). Kemudian, akan muncul informasi
URL dari link tersebut. Jika mengarah ke website asli, berarti aman. Jika mengarah ke website
lain yang tidak dikenal, lebih baik urungkan niat Anda. 

4. Pastikan Keamanan Website yang Diakses

Jangan kunjungi website yang tidak aman, terutama website yang akan memproses data pribadi
atau finansial. Hanya lakukan transaksi pada website yang menggunakan SSL saja, yaitu website
yang ditandai dengan penggunaan protokol HTTPS.

Dengan memastikan aktivitas online Anda hanya pada website yang aman, maka kemungkinan
Anda menjadi korban phising lebih kecil.

Jangan sampai website Anda jadi sasaran kejahatan online, amankan website dengan fitur
Imunify360.

https://www.niagahoster.co.id/blog/imunify360-tingkatkan-keamanan-website/
5. Gunakan Browser Versi Terbaru

Sarana Anda untuk melakukan aktivitas online adalah browser. Jadi, selalu gunakan versi
browser terbaru yang dapat melindungi keamanan data dan privasi Anda.
Langkah ini penting karena setiap browser merilis versi terbaru, selalu terkait dengan perbaikan
pada celah keamanan dan fitur yang lebih efektif. Untuk memudahkan, Anda cukup
mengaktifkan status automatic update di tiap browser yang Anda gunakan.

6. Waspada Ketika Dimintai Data Pribadi

Pada dasarnya, jangan pernah memberikan data pribadi Anda ketika mengakses sebuah website.
Kecuali, website tersebut memang resmi dan data Anda dibutuhkan untuk menjalankan proses
transaksi.

Sebagai contoh, terdapat beberapa toko online yang hanya melayani pembelian dari anggota
yang sudah terdaftar. Namun, ada juga yang memperbolehkan transaksi pembelian tanpa harus
login. Apapun pilihan Anda, lakukanlah yang paling memberikan dampak keamanan minimal.

7. Cek Akun Online Anda secara Rutin

Tak jarang Anda melakukan registrasi ke berbagai platform atau situs dan kemudian tidak pernah
menggunakannya lagi. Padahal, semua informasi Anda masih tersimpan di platform tersebut.

Rekomendasi yang dapat kami berikan, lakukan penghapusan akun dan data jika sudah tidak
digunakan. Atau, Anda bisa terus melakukan perubahan password secara berkala di akun tersebut
jika masih ingin menggunakannya di waktu tertentu.

8. Gunakan Two-Factor Authentication

Jika platform yang Anda gunakan menyediakannya, selalu aktifkan Two-Factor Authentication

(2FA). Sistem ini menggunakan verifikasi 2 langkah, yaitu password dan ponsel Anda.

Pada saat pelaku phising sudah menemukan username dan password Anda tapi tidak dapat
memasukan kode verifikasi 2FA, platform tidak akan melanjutkan proses. Artinya, akun Anda
akan terlindungi dengan lebih baik.

9. Lakukan Scan Malware secara Berkala

Salah satu serangan dalam phising adalah meminta Anda mendownload file tertentu melalui
email palsu yang Anda terima. Pada saat melakukannya, bisa saja Anda sedang mengunduh
malware yang akan bekerja di komputer Anda secara rahasia.

Untuk menghindari hal ini, gunakanlah software anti-malware yang akan melakukan scan secara
otomatis sesuai dengan setting yang Anda gunakan. Jangan lupa untuk segera menghapus script
yang mencurigakan yang bisa saja mencuri informasi pribadi Anda.

Baca Juga: Cara Terampuh Menghilangkan Malware 

4 Cara Mengatasi Phising di Website WordPress

Di sisi lain, jika Anda adalah seorang pemilik website yang menjadi sasaran kegiatan phising,
inilah cara mengatasi kejahatan online tersebut di website WordPress Anda:

1. Gunakan Plugin untuk Membersihkan Malware Phising

Jangan sampai website Anda dimanfaatkan untuk sarana pencurian data pengunjung atau
pelanggan toko online Anda. Maka, gunakanlah plugin anti malware di website WordPress
Anda.

Apa saja pilihan plugin yang bisa Anda gunakan? Sebagian besar plugin security
WordPress yang pernah kami bahas bisa Anda gunakan. Atau, Anda bisa
menggunakan MalCare yang merupakan plugin anti malware dengan fitur instant removal.
Malcare bisa mendeteksi adanya malware yang menyerang website dan lalu menghapusnya
secara otomatis.

2. Selalu Update WordPress

WordPress merupakan platform yang rutin melakukan update. Selain penambahan fitur, update
juga digunakan untuk menambah celah keamanan yang kerap dimanfaatkan pelaku phishing.
Untuk mencegah website Anda terserang malware, selalu gunakan versi WordPress terbaru. Jika
versi WordPress Anda masih lama, Anda akan mendapatkan notifikasi di dashboard WordPress
Anda agar segera melakukan update.

Jika ingin cara termudah, manfaatkanlah fitur automatic update WordPress pada
menu WordPress Management di Member Area Niagahoster.

Cek Fakta Terkait Keamanan Website WordPress & Cara Meningkatkan

Keamanannya!

3. Pasang Sertifikat SSL untuk Keamanan Website

Seperti telah dibahas sebelumnya, peran SSL sangat penting untuk menjamin keamanan transaksi
di sebuah website. Jika belum menggunakannya, segera pasang sertifikat SSL di website
WordPress Anda.

Tak perlu khawatir, memasang SSL itu mudah. Bahkan beberapa paket hosting
seperti WordPress hosting Niagahoster memberikan SSL gratis dan beberapa perlindungan
keamanan lain seperti Imunify360 Anti Malware. Artinya, upaya pencegahan terhadap upaya
phising Anda bisa lebih maksimal.

4. Lakukan Manajemen Pengguna dengan Ketat

Jika website WordPress Anda dikelola banyak orang, lakukan manajemen pengguna dengan
baik. Jangan berikan hak akses admin ke semua orang. Hak akses user harus disesuaikan dengan
kewenangan dan kemampuannya dalam menjaga keamanan website dengan baik.

Baca Juga: Tips Mengamankan Website WordPress Anda

Terhindar dari Phising Bersama Niagahoster!

Anda sudah belajar banyak hal tentang phising. Mulai dari pengertian hingga cara kerjanya.
Anda juga telah memahami cara mengatasi phising yang efektif. Jadi, selalu lakukan upaya
terbaik (best practice) agar terhindar dari kejahatan online ini.

Jika menggunakan layanan hosting Niagahoster, website WordPress Anda akan terlindungi lebih
baik. Sebab, berbagai fitur keamanan yang disediakan cukup efektif mengatasi upaya phising,
seperti Advanced Firewall, AutoUpdate, Imunify360, hingga SSL gratis.

Mulai Website yang Aman di Niagahoster Sekarang!

Di sisi lain, Niagahoster sangat aktif dalam melawan kegiatan phising. Tindakan tegas akan
diberikan kepada domain dan hosting yang digunakan untuk aksi kejahatan ini, seperti
melakukan suspend. Tujuannya, untuk turut membantu menjaga kenyamanan dalam melakukan
kegiatan online.

Tools :
Cara Membuat Website Phising
Seperti penjelasan di atas, website phising merupakan sebuah website tiruan yang dibuat dengan
tujuan mengecoh pengunjung agar login menggunakan website tersebut. Nantinya, data login
yang tersimpan akan digunakan oleh hacker untuk meretas akun tersebut atau dijual ke orang
lain.

Jika kamu penasaran bagaimana website phising ini dibuat, silakan simak beberapa cara di
bawah ini. Ketahui risiko jika menyalahgunakannya karena jika sampai merugikan pihak lain,
ancamannya adalah pidana. Berikut adalah beberapa cara membuat website phising dengan
mudah:

1. Membuat Website Phising  Facebook

Salah satu situs terkenal yang kerap menjadi sasaran hacker untuk dibuat phising adalah
Facebook. Selain memiliki tampilan yang khas, Facebook juga cukup simpel pada halaman
loginnya. Hal inilah yang dimanfaatkan para hacker untuk mengelabuhi pengunjungnya.

Biasanya, para hacker akan menarik pengunjung menggunakan iming-iming tertentu, seperti
download film gratis, free diamond untuk game tertentu, atau hadiah-hadiah menarik lainnya.
Lalu meminta mereka untuk login ke Facebook sebagai syarat untuk mengklaim hadiahnya.

Untuk membuat website phising facebook, kamu bisa ikuti langkah-langkah berikut:

Langkah 1 – Kunjungi Situs Zshadow

 Silakan buka browser Google Chrome yang ada di smartphone kamu. Setelah itu,
ubah tampilannya menjadi mode desktop. Caranya, klik ikon titik tiga di sudut
kanan atas, kemudian beri centang pada opsi Situs desktop.
 Jika sudah, silakan kunjungi situs Zshadow yang merupakan situs untuk membuat
link phising secara gratis. Linknya adalah sebagai berikut z-shadow.online.
Langkah 2 – Pilih Tampilan website (Facebook)
 Di situs tersebut, akan ada beberapa tampilan website yang bisa kamu pilih.
Karena kamu ingin membuat halaman Login Facebook, maka pilihlah opsi
tersebut.
 Selain tampilan Login facebook, kamu juga bisa memilih tampilan Add Friend,
Add Follower, dll. Sesuaikan saja dengan tujuan pembuatan.
Langkah 3 – Tentukan Bahasa yang Akan Digunakan
 Selain dari segi tampilan, kamu juga bisa menerapkan bahasa tertentu pada
website phising yang akan dibuat.
 Sayangnya, sejauh ini baru ada sekitar 4 bahasa yang bisa diterapkan, yaitu
Inggris, Arab, Perancis dan Spanyol.
Langkah 4 – Salin Link Situs Phising
 Jika semua sudah selesai dibuat, kamu bisa langsung menyimpannya. Setelah itu,
link menuju halaman situs yang baru saja kamu buat akan ditampilkan. Silakan
Salin link tersebut dan sebarkan.
Sampai di sini, kamu sudah bisa membagikan link yang bersangkutan kepada pengguna
Facebook di luar sana. Jika terdapat pengunjung yang login di situs tersebut, maka informasi
berupa email/usernam dan juga password miliknya bisa kamu ketahui.

2. Membuat Website Phising Game Free Fire

Selain Facebook, website phising juga sering dibuat untuk menyasar para pemain game Free
Fire. Tidak sedikit dari pemain Free Fire yang mudah diiming-imingi dengan hadiah berupa
diamond, skin, atau item lain di dalam game. Hal inilah yang dimanfaatkan oleh para hacker
untuk melancarkan kejahatannya.

Untuk melakukannya, silakan ikuti beberapa langkah berikut:

Langkah 1 – Kunjungi Situs 000webhost

  Cara membuat website phising game Free Fire diawali dengan mengunjungi web
000webhost. Situs ini merupakan situs hosting yang akan mendukung pembuatan
web phising semacam ini dan bisa kamu gunakan secara gratis. Berikut link
situsnya: https://www.000webhost.com/.
 Silakan klik link tersebut.
Langkah 2 – Mulai Membuat Web
 Setelah masuk dan mendaftar, selanjutnya kamu sudah bisa mulai membuat
website. Silakan klik Create Web Design.
 Setelah itu, silakan beri nama website yang sudah kamu buat. Pastikan nama
tersebut bisa membuat pemain FF tertarik untuk mengunjungi dan
menggunakannya.
Langkah 3 – Upload Script Phising
 Jika layout sudah dibuat, sekarang waktunya memasang script pada website
tersebut. Silakan pilih opsi Manage Website, lalu pilih File Manager.
 Kemudian klik Upload File Now.
 Selanjutnya, pilih script phising Free Fire yang ingin kamu terapkan pada website
tersebut. Kamu bisa mencarinya di internet karena ada cukup banyak yang bisa
kamu dapatkan.
Langkah 4 – Mengekstrak File Script
 Setelah upload script, kamu harus mengekstraknya terlebih dahulu sebelum bisa
digunakan. Caranya klik ikon kotak dengan tanda panah ke kanan.
 Jika muncul pop-up, klik
Langkah 5 – Buka dan Edit File Script
 Silakan buka file yang sudah kamu ekstrak tadi dengan mencentang kolom dan
klik ikon buka file.
 Setelah itu, silakan edit file di folder email.php/email_result.php, lalu ganti nama
filenya dengan alamat email kamu.
 Terakhir, silakan klik Save.
 Selesai.
3. Membuat Web Phising Menggunakan Google Form
Selain kedua cara di atas, kamu juga bisa membuat website phising menggunakan Google Form.
Padahal selama ini kita hanya tahu bahwa Google Form hanya bisa digunakan untuk membuat
form survey, membuat kuis, dll. Untuk membuat web phising dengan Google Form, silakan ikuti
petunjuk berikut:

 Pertama, silakan buka browser di PC atau smartphone kamu.

 Setelah itu, kunjungi halaman Google Form atau klik link berikut
https://bit.ly/3Af5Wev.
 Buat form baru dengan judul “1000 Diamond Gratis untuk 100 pemenang” atau
buat judul semenarik mungkin sesuai dengan target pengunjung yang ingin kamu
dapatkan.
 Selanjutnya, isi deskripsi dengan penjelasan yang juga menarik.
 Tambahkan gambar agar website phising yang dibuat lebih meyakinkan.
 Ini yang paling penting, buatlah daftar pertanyaan yang memuat informasi tentang
data pribadi pengunjung. Jika itu adalah password, kamu bisa menerapkan
 jawaban dengan simbol bintang agar pengunjung merasa aman. Padahal, kamu
juga akan bisa melihat nantinya.
 Jika sudah, silakan simpan form tersebut.
 Kamu bisa membagikan form phising tersebut melalui link. Silakan kirim via
email, media sosial, atau platform apapun yang sekiranya relate dengan target
kamu.
 Selesai.
Meski tampilannya hanya berupa form biasa, tetapi jika kamu berhasil mengemasnya menjadi
ajakan yang menarik akan ada banyak pengunjung yang penasaran dan ingin mencobanya.

Baca juga: Cara Membuat ID Apple Gratis Di PC

Kesimpulan
Cara membuat website phising sebetulnya mudah dan bisa dilakukan dengan beberapa cara.
Meski begitu, tindakan ini merupakan awal dari kejahatan dunia maya karena dapat merugikan
pihak lain yang dicuri data-datanya. Untuk itu, sebaiknya cara di atas tidak kamu gunakan untuk
hal-hal negatif.