Email Phishing

Halo Sobat Cloudku,

Semakin tahun, teknologi berkembang sangat pesat. Perkembangan teknologi tidak hanya dimanfaatkan untuk hal positif saja. Terkadang perkembangan teknologi juga disalahgunakan untuk menipu, mencuri data hingga memeras harta seseorang. Salah satu kejahatan penyalahgunaan yang tak bertanggung jawab adalah email phishing.

Apa Itu Email Phishing?

Phishing adalah salah satu tindak kejahatan dunia maya yang bertujuan untuk mengelabui seseorang atau organisasi tertentu, agar memberikan informasi penting yang sifatnya rahasia atau sensitif. Umumnya, phishing dilakukan melalui email maupun website yang tampilannya menyerupai halaman login suatu website terkenal.

Web phishing biasanya akan lebih mudah diketahui, karena URL pada website pasti berbeda dengan website aslinya. Sedangkan untuk email phising akan lebih sulit dideteksi, karena alamat email dan nama email dapat dibuat seolah-olah sama, dengan menggunakan teknik spoofing. Oleh karena itu, tidak sedikit orang yang terkecoh dengan email phising. Contoh saja, cloudfare.com . Domain tersebut merupakan domain yang tidak asli. Domain yang asli adalah cloudflare.com . Bagaimana Sobat, apakah Sobat sudah terkecoh pada contoh di atas?

Email phishing biasanya berisi ajakan untuk mengakses link tertentu dan memasukkan data yang bersifat sensitif, seperti data login username dan password. Hingga artikel ini diterbitkan, email phising masih menjadi teknik phishing yang paling banyak digunakan, karena dianggap lebih efektif dalam menjebak calon korbannya.

Jenis Email phishing

Terdapat beberapa jenis serangan email phishing yang perlu diperhatikan, di antaranya sebagai berikut:

Spear Phishing

Spear phishing adalah salah satu jenis phishing yang menyasar target tertentu, yang seolah-olah dikirim dari alamat email asli dan valid. Istilah spear phishing berasal dari perumpamaan seorang nelayan yang tidak hanya melemparkan kail ke dalam air secara asal, namun ia juga menargetkan jenis ikan tertentu.

Biasanya, phisher (pengirim email phishing) akan mengidentifikasi calon korban dengan menggunakan informasi di media sosial, atau dengan teknik man in the middle, untuk melihat data atau percakapan calon korban pada sebuah email.

Setelah mengetahui detail calon korban, phisher akan mengirimkan email palsu yang seolah-olah dikirimkan oleh rekan kerja atau klien mereka. Isi email yang dikirimkan dapat berupa permintaan informasi yang bersifat penting atau rahasia.

Whaling

Whaling berasal dari kata whale phishing, yaitu jenis serangan yang langsung menargetkan pejabat senior, atau individu penting dalam sebuah organisasi. Umumnya whaling digunakan untuk mencuri informasi penting atau mendapatkan akses ke sistem yang ditarget, agar dapat melakukan tindak kejahatan yang diinginkan.

Contoh kasusnya, phisher mengirimkan email kepada pejabat senior yang berisi tuntutan hukum atau hal yang menyangkut nama baik organisasinya. Email dikirimkan dengan teknik spoofing, agar seolah-olah dikirim dari email resmi atau asli. Tujuannya, agar pejabat tersebut segera melakukan tindakan, sesuai dengan instruksi pada email yang dikirimkan.

Clone Phishing

Berbeda dari dua jenis phising sebelumnya, yaitu spear phishing dan whaling, clone phishing merupakan jenis phishing yang menggunakan teknik duplicate email asli yang sebelumnya telah terkirim, dan mengganti link atau file yang dilampirkan.

Cara kerjanya, phisher menduplikasi email asli yang sudah terkirim sebelumnya dengan mengubah link tautan atau file attach yang berisi malware atau virus. Untuk meyakinkan calon korbannya, phisher akan memalsukan alamat email dan nama emailnya agar seolah-olah dikirim oleh email asli dan mengklaim bahwa itu adalah pengiriman ulang.

Biasanya teknik clone phishing akan mengirimkan lebih dari 1 email untuk memperbesar kemungkinan korban mengakses link atau mendownload file yang dilampirkan. Jenis serangan ini dianggap paling berbahaya, karena sulit bagi korban untuk mencurigai email palsu.

Contoh Email Phishing

Untuk memudahkan Anda dalam memahami email phishing, kami akan memberikan ilustrasi contoh email phising melalui studi kasus berikut:

Phisher (pelaku pengirim phishing) mengirimkan email kepada Anda yang berisi ajakan untuk mengakses link atau mendownload file yang dilampirkan. Agar email terlihat lebih terpercaya, phisher melakukan manipulasi dengan mengubah nama dan alamat email agar seolah-olah dikirim dari email asli yang sudah dikenal.

Ketika Anda mengklik link atau download file yang dilampirkan pada email, Anda akan diarahkan untuk mengisi beberapa data yang bersifat rahasia. Misalnya, percobaan login ke halaman website tertentu, kemudian mengisi data profil, seolah-olah Anda diminta melakukan reset password.

Bila Anda mengisi informasi yang diminta dan phisher menerima informasi data pribadi tersebut, mereka bisa melakukan kejahatan, seperti mengambil alih akun hingga melakukan penipuan dengan menggunakan nama Anda.

Kenapa Penting Memperhatikan Phishing

Tahukah Anda bahwa 1 dari 25 email bermerek adalah phishing? Tidak hanya sampai di situ, menurut data yang kami himpun, sekitar 76% gangguan pada email berasal dari phishing. Lebih lanjut, sejak 2018 tercatat penipuan dengan email phishing mengalami peningkatan hingga 65% tiap tahun, dengan 30% diantaranya adalah korban yang telah ditargetkan.

Menurut hasil riset yang dilakukan oleh IBM, rata-rata pelanggaran data yang disebabkan karena serangan phishing diperkirakan mencapai $3,8 juta. Karenanya, pemahaman akan phishing harus ditingkatkan untuk mencegah terjadinya kerugian pada perusahaan, organisasi, dan diri Anda sendiri.

Cara Menghindari Serangan Email phishing

Setelah memahami pentingnya memperhatikan dan memahami mengenai email phishing, selanjutnya ada beberapa cara yang dapat dilakukan untuk menghindari serangan email phising serta tindakan yang tepat untuk dilakukan.

Periksa keaslian akun email

Seperti yang sudah disebutkan sebelumnya, phiser dapat menggunakan email spoofing untuk mengelabui korban. Email spoofing adalah teknik pemalsuan pada bagian header email, agar seolah-olah email dikirimkan dari alamat yang valid.

Oleh karenanya, biasakan untuk melakukan pengecekan email header untuk memastikan bahwa email yang diterima bukanlah hasil spoofing, sehingga email Anda akan lebih aman.

Pengecekan email header ini bisa dilakukan sesuai mail client yang Anda gunakan.

Memberikan Penyuluhan Pada Karyawan

Jika Anda adalah memiliki jabatan yang bertanggung jawab untuk mengelola email perusahaan, memberikan penyuluhan tentang bahaya phising kepada para karyawan sangat penting untuk dilakukan.

Hal ini sangat berguna agar karyawan perusahaan Anda lebih memahami tentang bahaya email phishing. Dengan demikian, keamanan dalam penggunaan email akan lebih maksimal. Berikut adalah beberapa poin yang harus Anda sampaikan untuk penyuluhan kepada karyawan:

• Waspada terhadap email yang tidak diminta, khususnya dari alamat email yang tidak dikenali.
• Jangan pernah mengklik link atau mendownload file dari alamat email yang tidak dikenali
• Jangan pernah memberikan informasi pribadi seperti NIK, nomor rekening, password, hingga nomor telpon melalui email sebelum Anda memastikan keaslian emailnya.

Melakukan optimasi keamanan website dan email

Hingga artikel ini diterbitkan, tidak ada tools yang bisa memastikan Anda terhindar dari bahaya email phishing. Setiap alamat email memungkinkan untuk dikirimi email phishing. Namun Anda bisa melakukan sejumlah optimasi baik dari email client maupun dari website, untuk menghindari kemungkinan email phising.

Dari sisi setting pada email client, gunakan koneksi yang aman seperti SSL atau TLS pada incoming/outgoing servernya. Hal ini mencegah terjadinya hacking dengan teknik man in the middle, sehingga data email Anda hanya bisa dibaca oleh email tujuan. Dengan begitu, meminimalisir kemungkinan phishing dengan teknik spear phishing.

Selain itu, Anda juga dapat mengatur keamanan email dengan fitur spam filter di cPanel, dengan panduan yang dapat disimak pada link berikut: Pengaturan spam filter cPanel.

Sedangkan dari sisi website, pastikan website Anda telah terinstall SSL agar lebih aman. Selain itu, jangan gunakan script website atau theme/plugin bajakan (nulled), karena biasanya telah tersisipi file malware atau virus yang berbahaya. Yang terakhir, rutinlah melakukan scan pada komputer yang digunakan dengan anti virus terupdate.

Meningkatkan keamanan pada Laptop/PC

Antivirus adalah salah satu aplikasi yang wajib terinstall disetiap Laptop atau PC. Kami sarankan kepada Anda untuk menginstal satu aplikasi anti virus yang kompeten. Selain itu, lakukan update setiap ada update dari aplikasi anti virus yang Anda gunakan. Tidak hanya pada aplikasi anti virus, lakukan update juga pada browser yang digunakan.

Dari semua point di atas, yang paling penting adalah jangan menggunakan Operating system dan aplikasi bajakan atau hasil cracking, karena kemungkinan besar aplikasi yang Anda gunakan telah tersisipi file malware yang sangat berbahaya.

Saat ini Cloudku telah menyediakan aplikasi anti-virus sekaligus aplikasi backup dan recovery yang super powerfull dan gampang untuk dimonitoring. Aplikasi tersebut adalah Acronis. Tentu dengan adanya Acronis dapat menghindarkan kita dari kelengahan untuk mendownload file dengan isi yang bukan sebenarnya melainkan sudah ada virus di dalamnya. Dengan Acronis mampu melihat isi file yang kita terima meskipun kita belum mendownloadnya.

Jika pun ada virus yang masuk, maka segala virus akan diblokir dan sistem melakukan rollback ke keadaan sebelum terjangkit virus. Tentu hal ini berjalan super cepat hingga kita pun tak terasa jika sistem kita sempat dimasuki virus.

Penasaran dengan teknologi yang digunakan Acronis?
Yuk, kepoin penjelasannya di Cloudku Cyber Protection. Atau langsung hubungi kami melalui live chat, bisa juga mengirimkan email ke support@cloudku.id .