Langsung ke konten utama

Threat landscape

Apa itu phishing dan bagaimana cara bertahan darinya?

Ringkasnya

Apa itu phishing, jenis utamanya dari email sampai smishing dan vishing, cara mengenalinya, dan bagaimana pelatihan serta kontrol menekan risikonya.

Human risk and security awareness

Sebuah email masuk ke inbox bagian keuangan pada suatu sore yang sibuk. Tampilannya seperti tagihan dari pemasok: logo yang benar, nama pengirim yang familiar, dan catatan sopan yang meminta agar PDF terlampir ditinjau dan rekening bank yang baru dipakai untuk pembayaran bulan ini. Tidak ada yang terasa mencurigakan, jadi seseorang membuka lampiran itu. Satu klik itu saja sudah cukup. Pengirimnya tidak pernah benar-benar pemasok, rekening itu mengarahkan pembayaran ke penyerang, dan lampirannya diam-diam menanam alat yang memberi mereka pijakan di dalam jaringan. Tidak ada firewall yang ditembus dan tidak ada kata sandi yang dibobol. Seseorang cuma dibujuk untuk memercayai sebuah pesan yang bukan seperti yang diakuinya. Itulah phishing, dan ia tetap menjadi cara paling umum sebuah serangan dimulai.

Apa itu phishing

Phishing adalah rekayasa sosial. Alih-alih menyerang sistem secara langsung, penyerang meniru pengirim tepercaya dan memanipulasi seseorang agar melakukan sesuatu yang merugikan: mengetik kata sandi ke halaman login palsu, menyetujui pembayaran, atau membuka file yang memasang malware. Kepercayaan itulah senjatanya. Pesan yang tampak berasal dari bank Anda, tim IT Anda, seorang pemasok, atau atasan Anda sendiri akan menurunkan kewaspadaan pembaca dengan cara yang tidak mungkin dilakukan orang asing.

Sasarannya selalu salah satu dari tiga hal: mencuri kredensial, mencuri uang, atau menanam malware. Halaman login palsu memanen nama pengguna dan kata sandi yang Anda masukkan. Permintaan pembayaran yang meyakinkan mengalihkan dana. Lampiran atau tautan berbahaya memasang perangkat lunak yang dibutuhkan penyerang untuk bergerak lebih jauh. Yang membuat phishing begitu bertahan adalah kemampuannya mengelak dari pertahanan teknis sepenuhnya. Anda bisa saja sudah menerapkan setiap patch dan mengeraskan setiap sistem, dan satu pesan yang ditulis dengan baik kepada orang yang tepat tetap membuka pintu yang tidak perlu dipaksa oleh eksploit apa pun.

Jenis utama phishing

Phishing bukan teknik tunggal. Rentangnya mulai dari email massal yang ditembakkan sembarangan sampai serangan yang diriset cermat terhadap satu orang bernama jelas, dan kini ia menjangkau orang jauh di luar inbox.

JenisCara kerjanya
Phishing email massalPesan yang sama ditembakkan ke ribuan alamat, berharap sebagian kecil mengklik. Upaya rendah, akurasi rendah, volume tinggi.
Spear phishingPesan yang dirancang untuk satu orang tertentu, memakai detail nyata tentang peran atau pekerjaannya agar terlihat asli dan lolos dari kecurigaan.
WhalingSpear phishing yang menyasar eksekutif senior, yang otoritas dan aksesnya membuat sebuah tipuan yang berhasil bernilai sangat tinggi.
SmishingPhishing yang dikirim lewat SMS atau aplikasi pesan, sering berupa teks berisi tautan yang menyamar sebagai peringatan bank atau notifikasi pengiriman.
VishingPhishing lewat panggilan suara, ketika penyerang menelepon dan membujuk sasaran untuk membocorkan informasi atau menyetujui suatu tindakan.
Business email compromiseEmail yang meyakinkan, sering tanpa malware sama sekali, yang meniru eksekutif atau pemasok untuk mengotorisasi pembayaran atau transfer data yang curang.

Pola yang perlu dicermati adalah semakin tertarget sebuah serangan, semakin sedikit tanda yang diberikannya. Phishing massal mudah dikenali begitu Anda tahu cirinya. Pesan spear phishing yang ditulis khusus untuk Anda, atau business email compromise yang meniru gaya bicara direktur keuangan Anda, memang dirancang agar terlihat persis seperti yang asli.

  1. 01

    Riset dan persiapan

    Penyerang memilih sasaran dan samaran: bank, pemasok, atau rekan kerja. Untuk serangan tertarget, mereka mengumpulkan nama, peran, dan peristiwa terkini agar pesannya meyakinkan.

  2. 02

    Umpan tiba

    Sebuah pesan menjangkau korban lewat email, SMS, aplikasi pesan, atau panggilan telepon, membawa tautan, lampiran, atau permintaan yang dibingkai dengan kesan mendesak atau otoritas.

  3. 03

    Korban bertindak

    Orang itu mengklik tautan dan memasukkan kredensial di halaman palsu, membuka lampiran, atau menyetujui pembayaran, karena percaya permintaannya asli.

  4. 04

    Penyerang menuai hasil

    Kredensial curian dipakai untuk login, pembayaran curang ditarik, atau malware memberi penyerang pijakan untuk bergerak lebih dalam ke jaringan.

Mengapa ini penting di Indonesia

Bagi sebagian besar organisasi, phishing bukan satu risiko di antara banyak risiko. Ia adalah pintu depan. Sebagian besar pelanggaran data berawal dari pesan phishing, karena bagi penyerang membujuk seseorang jauh lebih murah dan lebih dapat diandalkan ketimbang mencari dan mengeksploitasi celah teknis. Apa pun yang dipertahankan sebuah organisasi, email yang memulai insiden biasanya adalah email yang lolos dari karyawan yang sedang sibuk, bukan yang lolos dari firewall.

Di Indonesia jangkauannya lebih luas daripada sekadar email. Aplikasi pesan seperti WhatsApp sudah menyatu dengan cara orang bekerja dan berbank, sehingga umpan datang ke sana semudah ke inbox, sering bertema peringatan bank, notifikasi pengiriman, pemberitahuan pajak, atau pesan yang seolah datang dari atasan. Penyerang juga melokalkan umpannya, menulis dalam Bahasa Indonesia dan meniru nama serta format yang dikenali staf lokal. Akibatnya, kanal tepercaya yang sama yang diandalkan orang setiap hari justru diputarbalikkan untuk menyerang mereka, dan itulah tepatnya mengapa kontrol teknis semata tidak bisa menutup celahnya.

Cara bertahan darinya

Karena phishing menyasar manusia, pertahanannya harus bekerja di dua sisi sekaligus: manusianya dan sistem di sekitarnya. Tidak ada satu pun yang cukup sendirian.

Di sisi manusia, sasarannya adalah tenaga kerja yang berhenti sejenak pada pesan yang penting. Pelatihan kesadaran keamanan dan simulasi phishing yang rutin membangun kebiasaan itu jauh lebih baik daripada kursus setahun sekali, karena keduanya melatih respons terhadap umpan realistis dan memberi staf umpan balik langsung saat mereka keliru. Program yang dijalankan dengan baik terbukti menurunkan tingkat klik dari waktu ke waktu dan, yang tak kalah penting, menaikkan tingkat pelaporan, sehingga tim keamanan mengetahui kampanye asli sejak dini, bukan setelah kerugian terjadi.

Di sisi teknis, kontrol menangkap apa yang terlewat oleh manusia dan membatasi kerusakan ketika seseorang tetap mengklik. Penyaringan email menghentikan volume besar phishing sebelum ia sempat menyentuh inbox. Autentikasi multi-faktor berarti kata sandi curian saja sering tidak cukup untuk bisa login. Dan karena penipuan pembayaran adalah kategori tersendiri, perlindungan business email compromise menambahkan langkah verifikasi dan kontrol yang menghentikan instruksi palsu yang meyakinkan agar tidak sampai memindahkan uang sungguhan. Lapisan-lapisan itu saling memperkuat: pelatihan menurunkan seberapa sering orang termakan umpan, dan kontrol teknis menurunkan seberapa mahal satu kesalahan bisa jadi.

Peran Alpha Code

Phishing bekerja lewat kepercayaan, jadi bertahan darinya berarti membangun sekaligus naluri untuk berhenti sejenak dan kontrol yang menangkap pesan yang Anda lewatkan. Layanan Manajemen Risiko SDM dari Alpha Code memadukan pelatihan kesadaran keamanan dan simulasi phishing realistis dalam Bahasa Indonesia dengan analitik perilaku yang menunjukkan di mana risiko sebenarnya berada di seluruh tenaga kerja Anda. Tujuannya bukan menjanjikan bahwa tak seorang pun akan pernah mengklik. Tujuannya membuat klik menjadi jarang, membuat pelaporan menjadi cepat, dan memastikan satu kesalahan tidak berubah menjadi pelanggaran data.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Phishing adalah serangan yang berpura-pura datang dari pihak yang Anda percaya, seperti bank, rekan kerja, atau tim IT, untuk mengelabui Anda agar menyerahkan kata sandi, menyetujui pembayaran, atau membuka file yang memasang malware. Ini adalah rekayasa sosial, bukan pembobolan teknis: penyerang tidak menembus pertahanan Anda, mereka membujuk seseorang untuk membukakan pintu bagi mereka.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.