Penipuan dan Teknik Penyalahgunaan Komputer “Pengelabuhan (Phising)”

Penipuan dan Teknik Penyalahgunaan Komputer “Pengelabuhan (Phising)”.

Pengelabuan (Phising) dan Rekayasa sosial (Social engineering)

Dalam artikel penipuan dan penyalahgunaan computer kali ini, pengelabuhan atau dalam bahasa inggrisnya phising dan rekayasa social atau social engineering akan dibahas dalam satu judul mengingat kedua bentuk kegiatan tersebut masih dapat dikatakan saling berhubungan.

Dalam komputer, pengelabuan (Inggris: phishing) adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan. Istilah phishing dalam bahasa Inggris berasal dari kata fishing (‘memancing’), dalam hal ini berarti memancing informasi keuangan dan kata sandi pengguna. Dalam pengertian lain Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit secara tidak sah.

Sedangkan Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social Engineering adalah salah satu seni memanfaatkan kemampuan interaksi sosial untuk mendapatkan informasi penting berhubungan dengan keamanan  informasi. Dalam keamanan komputer, rekayasa sosial adalah istilah yang menggambarkan jenis yang non-teknis dari intrusi yang sangat bergantung pada interaksi manusia dan sering melibatkan menipu orang lain untuk mematahkan prosedur keamanan normal.

Tentu kita masih mengingat Dulu pernah ada kasus dimana ada yang mencoba membuat situs BCA tiruan dengan menggunakan alamat situs yang terkesan milik BCA namun aspal. Situs aspal itu tentu tampilannya tak jauh beda dengan situs BCA asli, namun bedanya ternyata situs ini mampu menyimpan data login dan password dari orang-orang yang tidak sengaja nyasar ke situs itu. Dan benar saja, dalam sehari situs gadungan itu telah menyimpan ratusan data dari para nasabah BCA. Meski hanya bersifat percobaan, namun ternyata dampaknya cukup luar biasa. Akhirnya pihak BCA memperbaiki kembali sistem keamanannya dengan KeyBCA dan menutup sejumlah situs-situs yang berpotensi menjadi web phising. Ini lah salah satu contoh bentuk tindakan phising. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah. Sedangkan web phising memanfaatkan teknologi informasi internet untuk memperoleh data penting.

Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising melonjak dari tahun ke tahun. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat. Ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing.

Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian.

Bagaimana phishing dilakukan?

Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:

  • Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit
  • Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
  • Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

Aksi phising ini tidak hanya menipu para pemilik rekening aja, tapi juga sudah pada taraf menyerang account e-mail gratis semacam Yahoo!, Friendster, bahkan facebook. Dan caranya pun cukup sederhana, cukup membuat halaman situs palsu dan mengubah login dengan kode-kode tertentu di kode html yang mampu menyimpan data yang baru saja ditulis.

Beberapa bulan terakhir, Facebook yang merupakan social network (jejaring sosial) terbesar sering mendapat phising baik itu dari email, IM seperti yahoo messenger, maupun dari pesan dari contact list facebook sendiri.

Facebook yang notabene memiliki pengunjung ratusan juta orang tentunya membuat para hacker beraksi dengan teknik phisingnya. Seperti kita ketahui sekarang ini marak terjadi pencurian data pribadi dari user facebook. Teknik facebook login phising yaitu teknik yang dilakukan dengan membuat sebuah halaman palsu yang sangat mirip dengan halaman asli facebook yang bilamana anda memasukkan akun login anda bersama passwordnya maka otomatis data anda akan langsung sampai ke pelaku hacker.

Facebook login adalah masalah yang sering dialami orang-orang, sama halnya dengan berbagi macam situs lainnya. Bukan hanya masalah lupa username dan lupa password tetapi juga berkembangnya situs phising yang menginginkan akun Facebook orang lain dihack sehingga setiap layanan website berupaya untuk mengatasinya.

Biasanya si pelaku memancing korbannya untuk masuk ke website yang dibuat mirip dengan website aslinya. Pada website palsu itu, si pelaku telah menaruh box username dan password dan meminta korban untuk login. Jadi di sini si pelaku melakukan penipuan login atau biasa di sebut fake login.

Bagaimana kita tahu kalau itu fake login ?

Untuk mengetahui itu web phising yang menggunakan fake login, kita harus teliti url untuk login di facebook itu sendiri. Untuk login, facebook menggunakan url https://login.facebook.com/login.php

Web phising dengan fake login

Tampilan utama Web phising dengan fake login menggunakan source code dari https://login.facebook.com/login.php yang disimpan menjadi index.html. Tapi di index.html ini kita tambahi di form dengan pemanggilan code php untuk penyimpanan username dan password yang diisikan

 

Antisipasi dari bahaya phising sebenarnya sudah diterapkan oleh situs-situs yang bersangkutan, baik menggunakan teknik KeyBCA maupun dengan menggunakan prevent password theft yang dilakukan oleh Yahoo!. Bahkan Firefox dan IE telah memiliki fasilitas anti phising. Namun, antisipasi dari diri pun patut kita persiapkan. Caranya adalah selalu melihat dan memperhatikan alamat situs. Apabila alamat situs yang kita masukkan sudah sesuai, maka tidak ada yang perlu ditakutkan. Namun apabila alamat situs tersebut tidak sesuai, bahkan terkesan mengada-ada (contoh: http://gutyi.blogs.friendster.com/), maka patut dicurigai bahwa ini adalah phising.

Selain itu berhati-hatilah apabila jika suatu ketika kita dimintai kembali untuk melakukan login, karena bisa jadi itu merupakan trik dari phising agar bisa mendapatkan data pribadi kita. Selain itu jangan pernah mengisi aplikasi pembayaran dari situs yang tidak dikenal, meskipun tampilan yang muncul adalah situs aplikasi pembayaran yang kita kenal.

 

Berikut 10 tips Kaspersky Lab untuk mencegah dari serangan phising:

1. Untuk situs sosial seperti Facebook, buat bookmark untuk halaman login atau mengetik URL www.facebook.com secara langsung di browser address bar.
2. Jangan mengklik link pada pesan email.
3. Hanya mengetik data rahasia pada website yang aman.
4. Mengecek akun bank Anda secara regular dan melaporkan apapun yang mencurigakan kepada bank Anda.
5. Kenali tanda giveaway yang ada dalam email phising:
– Jika hal itu tidak ditujukan secara personal kepada anda.
– Jika anda bukan satu-satunya penerima email.
– Jika terdapat kesalahan ejaan, tata bahasa atau sintaks yang buruk atau kekakuan lainnya dalam penggunaan bahasa. Biasanya ini dilakukan penyebar phising untuk mencegah filtering.
6. Menginstall software untuk kemanan internet dan tetap mengupdate antivirus.
7. Menginstall patch keamanan.
8. Waspada terhadap email dan pesan instan yang tidak diminta.
9. Berhati-hati ketika login yang meminta hak Administrator. Cermati alamat URL-nya yang ada di address bar.
10. Back up data anda.