Phishing
"Dari Iseng Sampai Kriminal"
Meskipun internet adalah dunia maya, namum tetap ada tata krama atau etika yang harus diperhatikan oleh semua pengguna internet. Internet bisa diibaratkan pisau, bila berada ditangan orang yang baik akan bisa menghasilkan sesuatu yang berguna, sebaliknya jika berada ditangan orang jahat akan bisa menyebabkan terjadinya penyalahgunaan dan bahkan tindakan kriminal atau lebih dikenal dengan istilah Abuse.
Jenis-jenis abuse sangatlah banyak, contohnya seperti :
cracking (memanfaatkan kelemahan sistem), brute force (percobaan menyusupi sistem secara paksa dan berulang), spamming (mengirim informasi atau iklan sampah secara acak), DoS (Denial of Service: menyerang sistem dengan tujuan melumpuhkan layanan yang ada pada sistem tersebut), dDos (distributed DoS: DoS yang banyak, terdistribusi dan terus menerus), Deface (mengubah tampilan situs secara ilegal / tanpa izin), sniffing (menyusup kedalam dan memata-matai kegiatan dalam sistem) dan lain-lain.
cracking (memanfaatkan kelemahan sistem), brute force (percobaan menyusupi sistem secara paksa dan berulang), spamming (mengirim informasi atau iklan sampah secara acak), DoS (Denial of Service: menyerang sistem dengan tujuan melumpuhkan layanan yang ada pada sistem tersebut), dDos (distributed DoS: DoS yang banyak, terdistribusi dan terus menerus), Deface (mengubah tampilan situs secara ilegal / tanpa izin), sniffing (menyusup kedalam dan memata-matai kegiatan dalam sistem) dan lain-lain.
Dalam beberapa tahun terakhir, jumlah kejahatan melalui internet di seluruh pelosok dunia meningkat sangat tajam, termasuk di Indonesia. Menurut data yang dikeluarkan oleh Verisign™, sebuan perusahaan layanan infrastruktur internet, pada akhir tahun 2003 Indonesia menduduki posisi teratas dalam kategori negara terbanyak melakukan tindakan abuse, dan akhir tahun 2004 Indonesia berada pada posisi ketiga setelah Kamerun dan Nigeria.
Asal Mula kata 'Phishing'
Dalam beberapa tahun terakhir, ada satu tindakan abuse internet yang sedang trend, yaitu phishing. Pernahkah anda mendengar kata phishing? Tidak ada definisi baku untuk kata ini, namun kata phishing adalah sebuah akronim singkatan dari Password Harvesting Fishing, yang artinya kurang lebih adalah memancing untuk mengumpulkan password. Berikutnya muncul banyak pertanyaan antara lain: Password apa yang dimaksud? Memancing bagaimana? Apa dan siapa saja yang bisa jadi korban? Siapa pelakunya? Bagaimana cara menghindari phishing? Mari kita bahas satu persatu.
Dari manakah kata phishing datang?
Kata phishing datang dari analogi pengguna internet nakal yang menggunakan tipuan email untuk 'fishing' atau memancing password dan data finansial dari lautan pengguna internet. Sedangkan "Ph" adalah pengganti huruf hacker untuk "f" dan merupakan huruf pertama dari kata asal hacking, yaitu "phreaking".
Kata phishing datang dari analogi pengguna internet nakal yang menggunakan tipuan email untuk 'fishing' atau memancing password dan data finansial dari lautan pengguna internet. Sedangkan "Ph" adalah pengganti huruf hacker untuk "f" dan merupakan huruf pertama dari kata asal hacking, yaitu "phreaking".
Pengertian Phishing dan Phisher
Phishing yaitu aktivitas seseorang untuk mendapatkan informasi rahasia user dengan cara menggunakan email dan situs web yang menyerupai aslinya atau resmi. Informasi rahasia yang diminta biasanya berupa password account atau nomor kartu kredit,SSN, detail pembayaran dll.
Phishing yaitu aktivitas seseorang untuk mendapatkan informasi rahasia user dengan cara menggunakan email dan situs web yang menyerupai aslinya atau resmi. Informasi rahasia yang diminta biasanya berupa password account atau nomor kartu kredit,SSN, detail pembayaran dll.
Phisher adala pelaku dari phishing. Phisher kadang dapat menggunakan email,banner atau popup window untuk menipu user ke suatu situs web palsu, dimana disana user diminta untuk memberikan informasi pribadinya.
Target
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.
Cara Kerja Phishing
Phishing dapat dilakukan secara aktif maupun pasif. Phisher mengirimkan ribuan email (spoofed email) ke target sasaran dengan menipu sebagai email resmi suatu perusahaan kartu kredit, perusahaan pembiayaan atau instansi resmi. Email tersebut terlihat seperti dikirim dari pihak resmi, sehingga pelanggan target seringkali tidak menyadari kalau mereka sedang ditipu.
Pada email, sebagai contoh misalnya phisher memberitahukan tentang perlunya verifikasi account kartu kredit dengan mengirimkan nomor kartu kredit tersebut dengan cara mengklik link URL pada email. Link URL tersebut akan menuju situs palsu (fraudulent website) dimana user diminta menginput nomor kartu kreditnya dan mengirimkannya , dengan embel-embel agar accountnya dapat dipergunakan kembali dan ter-update dalam database perusahaannya. Setelah phisher berhasil mengantongi nomor kartu kredit user, lalu phisher dapat menggunakannya untuk berbelanja atau meminjam identitas kita.
Berikut adalah contoh email phishing yang menggunakan nama Citibank:
Dengan mengaku pihak resmi bank atau perusahaan terpercaya, retailer online atau perusahaan kredit card, phisher bisa meyakinkan sampai 5% dari penerima email untuk mengikuti perintahnya. Hal ini dikarenakan tipuan mereka tidak terlihat , apalagi oleh orang yang kurang berhati-hati, tergesa-gesa atau awam terhadap internet.
Masih banyak cara yang ditempuh oleh para phisher untuk menjerat korbannya, antara lain melalui:
1. Faktor Pendekatan Sosial
Kebanyakan para korban diberi pesan menarik dan digiring kedalam jebakan dengan tujuan agar korban mau melakukan beberapa tindak lanjut dari email palsu tersebut dan si korban memberikan informasi berharga kepada si phisher.
2. Pengiriman Pesan
Bisa melalui email spam, web-based delivery, iklan jebakan dalam web, IRC dan Instant Messaging (Yahoo Messenger, MSN Msgr, AOL, ICQ dan lain-lain.). Bisa pula calon korban diajak untuk menuju situs buatan para phisher yang mengandung trojan, jadi saat si korban membuka situs jebakan, secara tidak sadar di belakang terjadi proses infeksi sistem oleh trojan.
Mengenali Phishing
Melakukan serangan phishing sangatlah mudah, dan tidak memerlu-kan banyak kemampuan teknis. Salah satu syaratnya adalah dapat mengirimkan email dalam jumlah banyak, ratusan atau ribuan serangan email, dan membuat situs palsu untuk mendapatkan informasi dari pelanggan target.
Bagaimanakah Ciri-Ciri Phishing?
1. Email phishing mengatasnamakan instansi resmi/bereputasi
-menggunakan logo/branding perusahaan, banner atau ciri khas perusahaan.
-memiliki link ke situs resmi perusahaan tersebut.
-alamat email seperti alamat email aslinya
-menggunakan logo/branding perusahaan, banner atau ciri khas perusahaan.
-memiliki link ke situs resmi perusahaan tersebut.
-alamat email seperti alamat email aslinya
2.Alamat Reply berbeda dengan alamat Sender
Pada email, pengirim mengklaim dari perusahan resmi, tetapi harus direply atau dibalas ke alamat lain, Berikut adalah contoh dari email phishing:
From: EarthLink Security Dept. From: Citibank
Reply-To: earthlink8770@1-base.com Reply-To: citibank3741@collegeclub.com
Reply-To: earthlink8770@1-base.com Reply-To: citibank3741@collegeclub.com
3. Menggunakan Alasan yang masuk Akal
Setelah mengaku dari perusahaan resmi, biasanya email akan berisi alasan yang membujuk user agar menuliskan informasi yang diinginkannya dengan alasan bahwa kartu kredit anda telah kadaluarsa, atau account secara acak sedang diverifikasi sehingga anda harus memperbaharui account tersebut. Kadang bisa juga mereka memberitahukan bahwa anda telah terkena phishing dan diminta untuk memasukan informasi finansial agar account anda tetap aman.
4.Email bersifat Urgent / harus cepat dibalas
Email berisi subjek yang harus cepat ditindak lanjuti dan jika tidak account akan dihapus atau tidak dapat digunakan lagi.
Email berisi subjek yang harus cepat ditindak lanjuti dan jika tidak account akan dihapus atau tidak dapat digunakan lagi.
5.Meminta informasi dalam email
Biasanya meminta inforamsi kartu kredit , password, dll
Biasanya meminta inforamsi kartu kredit , password, dll
6.Menyertakan link ke situs palsu untuk menipu user
Misalnya, salah satu email dari ebay dengan link:
“http://ebaysecuritycheck.easy.dk3.com/Ebayupdatessl.html” Situs ebay sendri beralamat di www.eBay.com.
Pisher berharap domain "http://ebay-securitycheck.easy.dk3.com” adalah domain milik ebay
7. Link situs yang dituju pada email berbeda dengan link pada address bar situs tersebut
Pada emai, link yang terlihat di email biasanya berbeda dengan link tujuannya. Misal di email “http://account.earthlink.com,” tetapi setelah diklik sebenarnya menuju ke http://www.memberupdating.com.
7. Link situs yang dituju pada email berbeda dengan link pada address bar situs tersebut
Pada emai, link yang terlihat di email biasanya berbeda dengan link tujuannya. Misal di email “http://account.earthlink.com,” tetapi setelah diklik sebenarnya menuju ke http://www.memberupdating.com.
Sistem Pendukung Serangan Phishing :
Transparent Proxies
Dengan terlebih dahulu menginfeksi sistem komputer korban, setiap melakukan browsing tanpa sadar si korban dipaksa secara diam-diam menggunakan proxy milik si phisher. Jika kondisi demikian, maka setiap URL yang diketikkan oleh si korban akan melalui proxy penjebak, dan bila dalam URL itu mengandung unsur kata yang dimaksud oleh si penjebak, maka secara otomatis web tujuan korban akan dibelokkan ke web buatan si phisher tanpa diketahui oleh korban, karena seakan-akan si korban measa bahwa dia telah menuliskan alamat tujuannya dengan benar, padahal komputernya telah diinfeksi dan telah menggunakan proxy milik si phisher.
DNS Cache Poisoning
Dengan menggunakan trojan, file host dns bisa ditambah dan dirubah sesuai dengan keinginan si penjebak sesuai dengan kehendak si penjebak. Misalkan, pada keadaan normal, www.melsa.net.id itu sebenarnya berasal dari IP 202.138.xxx.yyy, setelah dirubah oleh trojan, maka bisa aja dalam entri file host dnsnya ditambah atau dirubah menjadi seperti:
“210.23.abc.def www.melsa.net.id”
Jika kondisi seperti itu, maka setiap korban mengetikkan URL www.melsa.net.id itu dibelokan ke arah IP 210.23.abc.def , padahal seharusnya menuju 202.138.xxx.yyy.
Jika kondisi seperti itu, maka setiap korban mengetikkan URL www.melsa.net.id itu dibelokan ke arah IP 210.23.abc.def , padahal seharusnya menuju 202.138.xxx.yyy.
Friendly login URL’s
Beberapa browser membolehkan proses login dengan praktis. Contohnya, misalkan UserID anda di melsa adalah “aku”, dan passwordnya misalkan adalah “coba”, maka pada browser yang bisa menggunakan sistem Friendly Login, anda cukup mengetik “http://aku:coba@www.melsa.net.id”. Begitu mudahnya sehingga memancing para phisher untuk memanfaatkan kecerobohan calon korban, misalnya dengan kasus seperti berikut ini. Anda pengguna klikbca.com, dan suatu hari anda menerima email yang berisi anjuran untuk menuju situs klikbca.com hanya dengan meng-klik link yang tersedia dalam email itu, dan link itu tulisannya seperti (misal)
Beberapa browser membolehkan proses login dengan praktis. Contohnya, misalkan UserID anda di melsa adalah “aku”, dan passwordnya misalkan adalah “coba”, maka pada browser yang bisa menggunakan sistem Friendly Login, anda cukup mengetik “http://aku:coba@www.melsa.net.id”. Begitu mudahnya sehingga memancing para phisher untuk memanfaatkan kecerobohan calon korban, misalnya dengan kasus seperti berikut ini. Anda pengguna klikbca.com, dan suatu hari anda menerima email yang berisi anjuran untuk menuju situs klikbca.com hanya dengan meng-klik link yang tersedia dalam email itu, dan link itu tulisannya seperti (misal)
“https://ibank.klikbca.com:ibanking@www.kilkbca.com:4093/index.html”.
Bila anda jeli, tulisan “ibank.klikbca.com” itu adalah username atau userid, dan kata berikutnya “ibanking” adalah password untuk menuju situs yg sebenarnya yg tertulis setelah tanda “@”, ternyata situs yang di klik oleh korban adalah www.kilkbca.com, bukan www.klikbca.com.
Anda juga terkecoh? Hati-hati.
Bila anda jeli, tulisan “ibank.klikbca.com” itu adalah username atau userid, dan kata berikutnya “ibanking” adalah password untuk menuju situs yg sebenarnya yg tertulis setelah tanda “@”, ternyata situs yang di klik oleh korban adalah www.kilkbca.com, bukan www.klikbca.com.
Anda juga terkecoh? Hati-hati.
Third-party shortened URL’s
Modusnya kebanyakan dengan menggunakan email spam, isinya seakan-akan dari institusi resmi dan pura-pura sedang terjadi sesuatu yang penting, misalkan situsnya sedang diserang oleh pihak tidak bertanggung jawab atau sedang diadakan perbaikan sistem sehingga dikhawatirkan akan terjadi masalah dalam login dan pengaturan database user. Kemudian si korban dianjurkan untuk login dan mengikuti petunjuk selanjutnya yang terdapat pada halaman berikutnya pada link yang telah disediakan, dan juga si korban diwanti-wanti bahwa jika mengalami kegagalan, berarti memang kerusakan sudah terjadi dan diharapkan mengunjungi situs alternatif yang disebut didalamnya, misalkan dianjurkan untuk mengunjungi situs www.klikbca-temp.com. Padahal itu jelas-jelas hanya tipuan belaka.
Key Logging
Komputer korban yang telah terinfeksi trojan akan dpasangi program keylogger, yaitu program kecil yang bekerja secara diam dan di background. Tugas keylogger adalah mencatat semua bentuk inputan yang dketikkan dari keyboard komputer korban dan mengirimkan hasilnya kepada si phisher.
Menghindari Phishing
Seperti dalam dunia nyata, para phisher akan terus menerus mengembangkan cara-cara menipu ketika anda sedang online. Agar anda tetap aman, anda dapat mengikuti langkah-langkah berikut dibawah ini:
1. Jangan merespon terhadap permintaan informasi pribadi lewat email atau pop-up window.
2. Kunjungi situs pada link yang ada dengan menulis URL pada address bar browser anda, jangan percaya dengan cara mengklik langsung pada link tersebut.
3. Cek security untuk memastikan situs web tersebut memakai enkripsi
4. Secara rutin mengecek kartu kredit anda dan pernyataan bank anda.
5. Laporkan abuse buse dari tersangka ke instansi yang berwenang
2. Kunjungi situs pada link yang ada dengan menulis URL pada address bar browser anda, jangan percaya dengan cara mengklik langsung pada link tersebut.
3. Cek security untuk memastikan situs web tersebut memakai enkripsi
4. Secara rutin mengecek kartu kredit anda dan pernyataan bank anda.
5. Laporkan abuse buse dari tersangka ke instansi yang berwenang
Langkah 1:
Jangan merespon terhadap permintaan informasi pribadi lewat email atau pop-up window
Jangan merespon terhadap permintaan informasi pribadi lewat email atau pop-up window
Situs-situs resmi tidak akan mungkin bertanya tentang password, nomor kartukredit, atau informasi pribadi lainnya dalam bentuk email. Bila anda menerima email yang meminta informasi tersebut, jangan ditindak lanjuti. Bila email tersebut merupakan email resmi, segeralah kontak atau telpon atau lihat situs webnya untuk mengkonfirmasi kebenarannya. Lanjutkan dengan langkah 2 untuk cara terbaik menuju situs web resmi bila anda merasa sedang menjadi sasaran phishing.
Berikut ini adalah title-title email dari kasus yang telah terjadi dan berhasil dikumpulkan oleh antiphishing.org :
- 'Protect your debit card from fraudulent online transactions''
- 'Verify and update your PayPal information'
- 'Please update your Ebay account information'
- 'accounts@citibank.com'
- 'U.S. Bank Consumer Alert'
- 'U.S. Bank® Fraud Verification Process'
- 'Online banking issue'
- 'Ebay(R) Re-Activation Unit'
- 'Online banking - protect yourself from internet fraud'
- 'TKO NOTICE - Pay your fees to eBay.com'
- 'eBay account verification needed'
- 'Image-only mail, hidden URL'
- 'Fleet cardmember security update'
- 'Citibank E-mail Verification: '
- 'Visa Security Update '
- 'Your eBay information must be confirmed'
- 'Official information!'
- 'Citibank notification'
- 'Protect your Citibank account'
- 'Your eBay Account Must Be Confirmed'
- 'MSN HOTMAIL Account Verification'
- 'Verify and update your PayPal information'
- 'Please update your Ebay account information'
- 'accounts@citibank.com'
- 'U.S. Bank Consumer Alert'
- 'U.S. Bank® Fraud Verification Process'
- 'Online banking issue'
- 'Ebay(R) Re-Activation Unit'
- 'Online banking - protect yourself from internet fraud'
- 'TKO NOTICE - Pay your fees to eBay.com'
- 'eBay account verification needed'
- 'Image-only mail, hidden URL'
- 'Fleet cardmember security update'
- 'Citibank E-mail Verification: '
- 'Visa Security Update '
- 'Your eBay information must be confirmed'
- 'Official information!'
- 'Citibank notification'
- 'Protect your Citibank account'
- 'Your eBay Account Must Be Confirmed'
- 'MSN HOTMAIL Account Verification'
Untuk lebih lengkapnya, anda dapat melihatnya lebi detil di Anti-Phishing Working Group Phishing Archive
Langkah 2 :
Kunjungi situs pada link yang ada dengan menulis URL pada address bar browser anda
Kunjungi situs pada link yang ada dengan menulis URL pada address bar browser anda
Bila anda mengangap bahwa email dari perusahaan kartu kredit, bank atau online payment serveice, atau situs web tersebut bukan asli, jangan pernah mengikuti link yang menunjukkan ke situsnya dari email tersebut. Link tersebut dapat berupa link palsu, dimana tertulis resmi , tetapi mengarah ke situs web yang palsu .
Anda mungkin melihat bahwa alamat yang tertera pada address bar pada browser anda, tertulis resmi, atau panjang sekali sehingga susah untuk terlihat alamat domainnya, tetapi hal tersebut dapat saja menipu.
Langkah 3 :
Cek security untuk memastikan situs web tersebut memakai enkripsi
Cek security untuk memastikan situs web tersebut memakai enkripsi
Bila anda tidak mempercayai situs web dari alamat URL, lalu bagaimanakah agar dapat memastikan apakah situs itu aman atau tidak?. Ada beberapa cara. Pertama, sebelum memasukan informasi anda, cek apakah situs tersebut memakai enkripsi atau tidak. Anda dapat memastikan situs tersebut memakai enkripsi bila situs tersebet alamatnya berawalan https:// dan bukan http://. Pada browser, akan terlihat tanda aman pada bagian bawah browser, di status bar , yaitu adanya ikon gembok yang terkunci.Ikon tersebut menandakan bahwa situs itu memakai enkripsi untuk memprotek informasi berharga seperti nomor kartu kredit, SSN, detail pembayaran dll.
Klik dua kali pada ikon tersebut untuk menampilkan detail dari sertifikat situs tersebut.
Nama pada kolom Issued haruslah sama dengan nama situs tersebut. Jika berbeda, bisa jadi situs tersebut palsu. Segera tinggalkan situs tersebut.
Gambar 2. Tampilan detail sertifikat digital
Langkah 4 :
Secara rutin mengecek kartu kredit anda dan pernyataan bank anda.
Secara rutin mengecek kartu kredit anda dan pernyataan bank anda.
Walaupun anda telah mengikuti ketiga langkah diatas, anda bisa saja masih menjadi korban phishing, Untuk itu, , lakukanlah cek berkala terhadap kartu kredit anda.
Langkah 5 :
Laporkan abuse dari tersangka ke instansi yang berwenang
Laporkan abuse dari tersangka ke instansi yang berwenang
Bila anda merasa telah menjadi korban dari phishing, maka lakukanlah hal-hal berikut:
Sesegera mungkin melaporkan hal tersebut ke perusahaan yang ditipu. Bila anda tidak mengetahui kontak perusahaan tersebut, maka kunjungilah situs web resmi tersebut untuk mendapatkan informasi kontak yang benar. Perusahaan tersebut biasanya memiliki satu email yang khusus menangnai laporan abuse. Ingat untuk tidak mengikuti link manapun dalam email phishing yang anda terima. Anda harus mengetik sendiri alamat situs web tersebut langsung pada address bar browser anda.
Contoh Kasus
Salah satu contoh kasus phishing di Indonesia dialami oleh pelanggan / pengguna situs internet banking milik Bank BCA yaitu “klikbca.com”. Pada saat itu tahun 2001, ada situs internet palsu yang sangat mirip penulisannya dengan situs klikbca.com, yaitu “kilkbca.com”.
Sekilas, calon korban tidak akan sadar bahwa salah tulis satu huruf saja akibatnya sangat fatal, yang akibatnya banyak pengguna internet banking Bank BCA memasukkan username, password dan nomor pin kedalam situs yang bukan seharusnya. Anda pasti tahu apa yang terjadi berikutnya, yaitu si pemilik situs palsu dengan leluasa menggunakan identitas korban untuk masuk ke situs klikbca yang sebenarnya dan mentransfer seluruh uang korban ke rekening miliknya. Kunci utama keberhasilan kejadian ini adalah tampilan situs asli dan yang palsu persis sama, sehingga korban tidak akan sadar sama sekali.
Contoh lain terjadi pada pelanggan internet banking milik Westpac Banking Corporation, sebuah bank senior di Australia. Modusnya adalah mengirimkan email spam yang berisi seakan-akan situs internet banking mereka akan melakukan upgrade software sistem, sehingga calon korban diminta meng-klik link yang tersedia dalam email tersebut dengan dalih mempermudah akses agar tidak perlu mengetik sendiri alamat yang harus dituju. User yang ceroboh tentunya akan langsung klik saja link yang disediakan, padahal secara tidak sadar link itu tidaklah menuju situs yang dibicarakan, melainkan ke situs jebakan milik penjebak, hanya saja tampilannya situs palsu itu sangat mirip dengan yang asli.
Tidak hanya di internet, phishing juga bisa berlaku dalam dunia jaringan komunikasi seluler, modusnya kebanyakan adalah mengenai pembelian voucher prabayar, tapi ada juga yang menggunakan kebohongan bahwa calon korban mendapatkan hadiah undian melalui SMS.
Phishing Menggunakan Nama Citibank
Belakangan ini, phishing banyak dilakukan dengan menggunakan nama Citibank. Seiring dengan kegiatan kriminal tersebut, Citibank di seluruh dunia memberikan edaran dan pemberitahuan kepada seluruh nasabahnya, termasuk Citibank Indonesia. Sebagian informasi berikut diambil dari edaran dari Citibank Indonesia, agar seluruh nasabah dapat lebih waspada terhadap kegiatan phishing.
Contoh phishing email dan cara mengenalinya :
1. Phishing e-mail biasanya dikirim secara acak ke banyak orang sekaligus, jadi biasanya tidak mencantumkan nama Anda secara spesifik.
2. E-mail tersebut biasanya meminta Anda untuk memperbaharui informasi pribadi atau mengkonfirmasi status rekening Anda.
3. Bisa juga e-mail tersebut memperingatkan bahwa rekening Anda akan ditutup bila tidak segera melakukan hal yang diminta.
4. Umumnya tercantum alamat URL ke website palsu.
sumber:
