Phishing: Pengertian, Cara Kerja, dan Tips Menghindarinya

Phishing adalah salah satu jenis kejahatan dunia maya (cyber crime) yang bertujuan untuk mencuri informasi sensitif milik korban. Informasi yang diambil umumnya berupa username, password, data kartu kredit, informasi rekening bank, atau data pribadi lainnya. Pelaku phishing biasanya menyamar sebagai pihak tepercaya, seperti bank, layanan digital, institusi pemerintah, atau perusahaan ternama, untuk memancing korban memberikan informasi penting secara sukarela.

Dilansir IBM, serangan phishing bisa dilakukan melalui berbagai media, seperti email, pesan teks (SMS), telepon, atau tautan palsu pada media sosial. Dalam banyak kasus, korban diarahkan untuk mengeklik tautan yang tampak resmi, tapi sebenarnya menuju situs palsu yang dirancang menyerupai situs asli. Di sana, korban biasanya diminta untuk login atau memasukkan data pribadi yang kemudian dicuri oleh pelaku.

Phishing termasuk ke dalam teknik rekayasa sosial (social engineering) karena memanfaatkan manipulasi psikologis daripada kerentanan sistem. Pelaku sering menciptakan situasi mendesak atau mengancam, seperti pemberitahuan keamanan palsu, tagihan harus segera dibayar, atau undangan menarik, agar korban cepat mengambil tindakan tanpa berpikir panjang.

Ilustrasi ethical hacker (unsplash.com/KeepCoding)

Istilah phishing berasal dari kata fishing atau memancing, karena metode ini menggunakan umpan untuk menarik korban agar secara tidak sadar memberikan informasi sensitif seperti kata sandi, data pribadi, atau detail kartu kredit. Pelaku biasanya menyamar sebagai pihak tepercaya mulai dari bank hingga layanan digital untuk menciptakan rasa aman sehingga target lebih mudah terjebak.

Istilah ini mulai dikenal pada pertengahan 1990-an ketika peretas menargetkan pengguna layanan internet awal seperti AOL (America Online). Saat itu pelaku mengirim pesan palsu yang tampak resmi untuk mencuri kredensial akun. Seiring berkembangnya teknologi, teknik phishing ikut berevolusi dari email sederhana menjadi serangan yang lebih kompleks melalui SMS, media sosial, hingga situs tiruan.

ilustrasi membuka pesan yang berisi link phising (unsplash.com/Alicia Christin Gerald)

Dilansir Proofpoint, phishing bekerja dengan cara menyamarkan pesan berbahaya agar terlihat seperti berasal dari sumber yang sah, seperti bank, layanan email, marketplace, atau institusi resmi lainnya. Kampanye phishing biasanya dimulai dengan pengiriman pesan, baik melalui email, SMS, maupun media komunikasi lainnya yang dirancang secara meyakinkan agar menyerupai komunikasi asli dari perusahaan atau lembaga terpercaya.

Tujuan utama pesan ini adalah mengelabui korban agar memberikan informasi pribadi atau kredensial akun. Supaya lebih meyakinkan, pesan phishing sering kali memuat logo perusahaan, tata bahasa profesional, dan tautan yang terlihat sah.

Salah satu taktik umum yang digunakan adalah menanamkan rasa urgensi atau ancaman dalam pesan tersebut, seperti:

Rasa panik yang ditimbulkan membuat korban lebih mudah lengah dan terburu-buru mengikuti instruksi tanpa memverifikasi kebenaran informasi atau sumbernya.

Phishing tidak hanya terjadi melalui email biasa. Ada berbagai jenis teknik phishing yang digunakan oleh pelaku untuk mengelabui korbannya, tergantung pada target dan media yang digunakan. Dilansir Extech Cloud, berikut beberapa jenis phishing yang umum terjadi:

Bulk phishing adalah jenis phishing paling umum. Teknik ini dilakukan secara massal tanpa target spesifik. Pelaku biasanya mengirimkan email dalam jumlah banyak yang mengatasnamakan institusi terpercaya, seperti bank atau layanan keuangan. Tujuannya, menjaring sebanyak mungkin korban yang mungkin akan tertipu dan membagikan data sensitif.

Berbeda dari bulk phishing, spear phishing menargetkan individu atau organisasi tertentu. Email yang dikirim dibuat seolah-olah benar-benar mengenal si korban, lengkap dengan nama, jabatan, atau informasi spesifik lainnya. Pendekatan ini membuat email tampak lebih personal dan kredibel sehingga kemungkinan korban tertipu pun lebih besar.

Whaling adalah versi lebih spesifik dari spear phishing di mana targetnya adalah eksekutif tingkat tinggi seperti CEO, CFO, atau pimpinan perusahaan lainnya. Tujuan utamanya untuk mencuri informasi berharga perusahaan atau melakukan penipuan finansial dalam skala besar. Mengingat targetnya adalah “ikan besar”, teknik ini dinamai whaling.

Vishing adalah phishing yang dilakukan melalui panggilan telepon. Pelaku bisa menggunakan suara rekaman atau berbicara langsung, lalu mengaku dari bank, perusahaan kartu kredit, atau lembaga resmi. Mereka biasanya mengatakan ada masalah pada akun korban dan meminta informasi pribadi sebagai solusi.

Smishing adalah serangan phishing yang dilakukan melalui pesan teks atau SMS. Pesan ini biasanya berisi tautan palsu atau ajakan untuk menghubungi nomor tertentu. Setelahnya, korban akan diminta membagikan informasi pribadi seperti nomor rekening atau kode OTP.

Phishing bisa menyerang siapa dan kapan saja, terutama jika kamu kurang waspada saat beraktivitas online. Dilansir Office of the Comptroller of the Currency, untuk melindungi data pribadimu dari pencurian, berikut beberapa langkah penting yang bisa dilakukan untuk menghindari phishing:

Jangan membagikan data sensitif seperti nomor rekening, password, kode OTP, atau informasi kartu kredit sebagai respons atas pesan, email, atau telepon yang tidak kamu minta sebelumnya. Meski tampilannya tampak meyakinkan, phisher bisa meniru website atau email institusi resmi, lengkap dengan logo dan ikon gembok palsu.

Jika kamu merasa ragu terhadap pesan yang mengaku dari bank atau lembaga tertentu, jangan langsung percaya. Hubungi institusi tersebut langsung melalui nomor atau website resmi yang kamu temukan sendiri, misalnya dari buku telepon, situs resmi, atau tagihan bulanan. Hindari mengklik tautan atau menggunakan kontak yang disediakan dalam pesan mencurigakan.

Lembaga keuangan tidak akan pernah meminta kamu mengonfirmasi password atau informasi login melalui telepon atau email. Jika kamu menerima permintaan seperti itu, besar kemungkinan itu adalah upaya phishing. Abaikan saja dan segera laporkan.

Rutin memantau laporan keuangan dan mutasi rekening bisa membantumu mendeteksi aktivitas mencurigakan lebih cepat. Jika kamu menggunakan layanan online banking, luangkan waktu untuk memeriksa aktivitas transaksi secara berkala. Jika laporan bulananmu telat tiba, segera hubungi pihak bank untuk memastikan tidak ada yang salah.

Sekarang kamu sudah tahu apa itu phishing dan bagaimana cara menghindarinya. Tetap waspada saat berselancar di dunia digital, karena satu klik saja bisa jadi celah bagi penjahat siber. Jangan sampai datamu jadi korban, ya!