Serangan Maling Digital Bernama Phising

Isu keamanan komputer terus menjadi pembahasan dari waktu ke waktu. Betapa pun canggihnya sistem dirancang, namun fakta menunjukkan kejahatan di ranah digital (cyber crime) terus terjadi. Kejahatan itu bahkan seolah-olah tak mau ketinggalan dengan kecanggihan teknologi.

Dalam pandangan Budi Suhariyanto pada buku ‘Tindak Pidana Teknologi Informasi (Cybercrime) Urgensi Pengaturan dan Celah Hukumnya’, sistem teknologi informasi berupa internet telah menggeser paradigma para ahli hukum terhadap definisi kejahatan komputer, karena adanya perkembangan teknologi informasi berupa jaringan internet, maka fokus dari definisi cyber crime lebih diperluas lagi. Jadi cyber crime tidak hanya dimaknai kejahatan komputer saja, tetapi dapat diperluas menjadi kejahatan teknologi informasi.2

Sementara itu menurut Bruce Schneier dalam tulisannya ‘Applied Cryptography: Protocols, Algorithms, and Source Code in C’ pada 1996, inti keamanan komputer yaitu melindungi komputer dan jaringannya dengan tujuan mengamankan informasi di dalamnya.

Secara umum keamanan komputer mencakup sejumlah aspek seperti kerahasiaan (confidentiality) yang dimaksudkan untuk menjaga informasi dari siapa pun. Kemudian, integritas (integrity) yang berfokus pada perlindungan data dari upaya pengubahan data secara tidak sah.

Ketiga, otentifikasi (authentication) yaitu berhubungan dengan identifikasi, baik kesatuan sistem maupun informasi. Keempat, non-repudiation, yaitu usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman suatu informasi oleh yang mengirimkan/membuat, juga sebaliknya.

Dalam ruang lingkup keamanan komputer, phising adalah salah bentuk kejahatan elektronik dalam bentuk penipuan. Proses phising ini bermaksud untuk menangkap informasi yang sangat sensitive seperti username, password dan detil kartu kredit dalam bentuk menyaru sebagai sebuah entitas yang dapat dipercaya/ legitimate organization dan biasanya berkomunikasi secara elektronik.

Sejarah Phising

Phising kali pertama muncul pada 1995. Hal pertama yang dilakukan pelaku (phisher) yakni menggunakan algoritma yang membuat nomor kartu kredit secara acak untuk membuat rekening AOL. Akun tersebut kemudian digunakan untuk spam pengguna lain dan untuk berbagai hal lainnya.

Secara singkat, phising dapat diartikan sebagai suatu metode penipuan oleh peretas (hacker) untuk mengelabui target serta mencuri informasi penting korban dengan maksud tertentu melalui fake form login pada situs palsu yang menyerupai situs aslinya.

Phising terjadi saat seseorang menyamar sebagai orang lain, sering kali dengan situs web palsu, untuk menipu anda agar berbagi informasi pribadi. Pada scam phising biasa, penyerang mengirimkan email yang seolah-olah berasal dari bank atau layanan web yang biasa digunakan.

Menurut Dikdik M. Arief Mansur dan Elisatris Gulton pada buku ‘Cyberlaw Aspek Hukum Teknologi Informasi’, tindakan penipuan ini berupa sebuah email yang seolah-olah berasal dari sebuah perusahaan resmi, misalnya bank dengan tujuan untuk mendapatkan data-data pribadi seseorang, misalnya PIN, nomor rekening, nomor kartu kredit, dan sebagainya.

Modus operandi yang paling banyak ditemui saat ini adalah usaha phising melalui SMS pada telepon genggam, di mana sudah banyak korban yang harus kehilangan uangnya karena diminta untuk melakukan transaksi ke rekening tertentu dengan berbagai alasan yang seolah-olah masuk akal sehingga menjebak sang korban.

Umumnya serangan phising mengarah pada sejumlah hal. Pertama, surat elektronik atau email. Berdasarkan survei pada 2014, lebih dari 120.000 serangan phishing terjadi dan berpuncak pada miliaran transmisi email.

Mengacu data Mia Wibowo dkk dalam Journal of Education and Information Communication Technology, sebanyak 65% dari serangan phishing mulai dengan mengunjungi link yang diterima dalm sebuah email. Pada Maret 2016, 229.265 laporan email phishing diterima oleh Kelompok Kerja Anti-Phishing dari konsumen. Sebanyak 18,3% penduduk Australia menjadi korban dari phishing melalui email.

Serangan berikutnya menyasar laman situs atau websit. Phishing pada website meliputi iklan dan sosial media (Facebook, Twitter, Instagram). Survei Facebook memperkirakan 8,7% dari akun yang berjumlah 83.090.000 bukan milik pengguna yang sebenarnya dan perkiraan sekitar 1,5% (14.320.000) adalah akun yang secara tidak sengaja menyebarkan isi berbahaya tanpa diketahui oleh pengguna, seperti pesan spam dan link yang mencurigakan.

Ketiga, melalui malware. Phishing yang dilakukan melalui penyebaran malwaresalah satunya adalah malware Koobface yang telah membuat 81% pengguna menjadi korbannya

Pendeknya, kerusakan kejahatan online ini berkisar dari peretasan jaringan perusahaan hingga pencurian data konfidensial. Misalnya, informasi pengenal pribadi (personally identifiable information), kredensial keuangan, dan bahkan rahasia perusahaan.

Atas serangan ini para peneliti maupun pembuat sistem keamanan digital/aplikasi berupaya terus melakukan pencegahan. Di sisi lain, edukasi kepada para pengguna internet juga terus dilakukan oleh berbagai penyedia layanan internet. Hanya dengan kehati-hatian dan pengetahuan tentang phising ini lah menjadi benteng agar data-data pribadi tidak bocor maupun dicuri. Lebih penting lagi, berselancar di dunia maya pun tanpa hambatan.

Phiser atau pelaku kejahatan phising menggunakan segala cara untuk mengeruk keuntungan. Penipuan melalui penyamaran tautan/link yang disusupkan ke surat elektronik atau melalui malware menyasar dari UMKM hingga bantuan dana Covid-19.

Pada Mei 2020 laporan menyebutkan lebih dari 800.000 serangan phising dilancarkan penjahat siber kepada usaha kecil dan menengah (UKM) di kawasan Asia Tenggara. Kejahatan ini terungkap setelah sistem antiphishing perusahaan keamanan siber global mencegah sebanyak 834.993 upaya phishing terhadap perusahaan dengan 50-250 karyawan.

Data SINDOnews, angka ini memperlihatkan kenaikan 56% dibandingkan periode yang sama tahun lalu dengan lebih dari 500.000 upaya diblokir. Komponen ini mendeteksi seluruh aktivitas saat pengguna mencoba mengikuti tautan di internet. Atau dalam email (surel/surat elektronik) ke laman phishing jika tautan tersebut belum ditambahkan ke basis data Kaspersky.

Statistik yang disebutkan dianalisis dari solusi Kaspersky untuk UKM yang beroperasi dengan Windows, Mac OS, dan Linux. General Manager untuk Asia Tenggara di Kaspersky, Yeo Siang Tiong, mengungkapkan, situasi finansial diiringi dengan kebutuhan mendesak untuk dapat beradaptasi dengan sistem kerja jarak jauh yang dipaksakan tanpa persiapan mumpuni nyatanya telah menempatkan keamanan TI UKM di posisi yang sulit.

Pada saat yang sama, para pelaku kejahatan siber secara tidak etis menunggangi kekacauan seperti sekarang ini untuk meningkatkan tingkat keberhasilan serangan mereka melalui taktik rekayasa sosial seperti phishing.

"Data menunjukkan upaya demikian mengalami peningkatan karena kami menemukan dan mencegah upaya phishing lebih banyak di tahun ini daripada di 2019 lalu," katanya melalui keterangan resmi, Senin (25/5/2020).

Seperti diketahui, phishing merupakan salah satu jenis serangan rekayasa sosial yang paling fleksibel. Sebab dapat disamarkan dengan banyak cara dan digunakan untuk tujuan yang berbeda. Serangan rekayasa sosial, atau tipu daya pikiran, mengeksploitasi emosi manusia untuk menipu para pengguna online.

Bahkan, para pelaku kejahatan siber juga memasukkan topik dan “frasa terkini” terkait dengan Covid-19 ke dalam konten mereka. Ini meningkatkan peluang untuk tautan yang terinfeksi atau lampiran berbahaya dibuka.

Kerusakan kejahatan online ini berkisar dari peretasan jaringan perusahaan hingga pencurian data konfidensial. Misalnya, informasi pengenal pribadi (personally identifiable information), kredensial keuangan, dan bahkan rahasia perusahaan. Selain itu, diketahui bahwa serangan phishing khususnya yang memiliki tautan atau lampiran berbahaya, secara populer digunakan sebagai landasan peluncuran untuk serangan yang ditargetkan pada organisasi.

Sebagai contoh kasus Bangladesh Bank Heist senilai USD81 juta. Dalam hal statistik per negara, keenam negara di Asia Tenggara masuk ke dalam daftar peningkatan jumlah email palsu yang diblokir oleh Kaspersky pada kuartal pertama (Q1 2020) dibandingkan periode yang sama tahun lalu. Indonesia sendiri termasuk yang tertinggi jumlah dalam upaya phising terhadap UKM. Pada kuartal 1 (Q1) 2020 jumlahnya 192.591. Angka tersebut naik dari Q1 2019 yang hanya 158.492 kasus.

Pakar keamanan di Kaspersky, Vladislav Tushkanov, mengatakan, agar tetap aman dari skema phising, masyarakat harus cermat membuka URL situs yang dikunjungi. Jangan pernah memasukkan informasi pribadi pada situs yang mencurigakan. Perhatikan juga tata bahasa serta tata letak pada halaman web.

"Penting untuk selalu mewaspadai segala bentuk permintaan yang menginginkan informasi pribadi. Aturan sederhana seperti ini dapat menyelamatkan data pribadi Anda,” ujarnya.

Phising ibarat kejahatan jalanan nan ganas dan mematikan. Bukan hanya orang per orang atau korporasi yang pernah terperdaya ulah para peretas ini, negara pun pernah gigit jari. Kisah pahit ini dialami Pemerintah Puerto Rico.

Negara di kawasan Karibia itu menjadi korban penipuan bermodus phising. Akibatnya, mereka kehilangan uang USD2,6 juta atau setara Rp35,6 miliar.

Cerita bermula ketika Direktur Keuangan Perushaan Pengembangan Industri Puerto Rico, Ruben Rivera, mentransfer uang pada 17 Januari 2020 setelah menerima email yang mengatakan terjadi perubahan rekening perbankan terkait dengan pembayaran pengiriman uang. Seperti ditebak, email itu tak lebih ulah phiser.

Direktur Eksekutif lembaga pemerintah itu, Manuel Laboy mengatakan, para pejabat telah mengetahui insiden itu pada awal pekan ini dan segera melaporkannya kepada FBI.

"Ini adalah situasi yang sangat serius, sangat serius," katanya. "Kami ingin itu diselidiki sampai konsekuensi terakhir," imbuhnya sepertidikutipAP, Kamis (13/2/2020).

Investigasi Serius

Laboy menolak untuk mengatakan bagaimana para pejabat mengetahui tentang penipuan itu, apakah ada yang diberhentikan atau bagaimana operasi perusahaan telah dipengaruhi oleh dana yang hilang. Dia menyebut penyelidikan internal sedang dilakukan untuk mengetahui apakah ada kelalaian seseorang atau pelanggaran terhadap prosedur standar.

Dia juga tidak mau berspekulasi tentang bagaimana hal-hal tersebut bisa terjadi. Laboy menambahkan bahwa lembaganya memperlakukan pengelolaan dana publik dengan sangat serius. "Ini tanggung jawab besar," tegasnya.

Terkait kejadian ini, pihak polisi belum memberikan komentar. Kejadian ini terjadi ketika wilayah AS itu terperosok dalam 13 tahun resesi yang sebagian memaksa pemerintah untuk mengurangi beberapa layanan.

Tak tahu kapan serangan semacam itu akan berhenti. Para peretas tak seluruhnya memburu keuntungan dengan melakukan kejahatan. Ada pula phiser yang hanya sekadar bermain-main atau bersenang-senang. Terkadan mereka melakukan demi membuktikan sistem keamanan informasi suatu tempat masih begitu rapuh.

Analisis terbaru Kaspersky di 2021 menunjukkan sistem anti-phishing mereka berhasil memblokir sebanyak 253,365,212 tautan phishing secara global. Secara total, 8,20% pengguna Kaspersky di berbagai negara dan wilayah di seluruh dunia telah menghadapi setidaknya satu serangan phishing pada 2021.

Di Asia Tenggara, Filipina mencatat angka tertinggi terkait pengguna yang terkena upaya phishing pada 2021 dengan 9,90%. Kedua adalah Malaysia (8,49%), disusul Thailand (7,93%).

Ibarat menyiram jerami terbakar dengan bensin. Gambaran itu sepertinya tepat untuk melihat kejahatan siber pada 2021 lalu. Bukan hanya berbahaya, namun juga sangat cepat merambat dan terjadi liar di berbagai tempat.

Parta phiser atau penyeran juga tak hanya lebih terfokus dan agresif, mereka bahkan telah menggunakan kecerdasan buatan (AI), cloud, dan machine learning. Data Cyber Acronis Candid Wuest menunjukkan tren keamanan siber yang terjadi selama 2021 yakni malware yang dikirim lewat email.

Menurut Acronics, phishing telah menduduki posisi pelanggaran tertinggi bahkan sebelum pandemi. Pelanggaran phising terus berkembang pesat. Tahun ini Acronis melaporkan 23% lebih banyak pemblokiran email phishing dan 40% lebih banyak email malware di Q3, dibanding Q2.

Dari waktu ke waktu, serangan memang kian canggih. Para pelaku phising umumnya berupaya untuk meyakinkan korban agar mau mengikuti tautan di situs web phising dan memasukkan data penting seperti login dan kata sandi atau detail rekening bank. Lantas, bagaiaman agar terhindar dari kejahatan ini?

Tips Mencegah Phising
Pengguna internet perlu melindungi diri dari upaya phising. Perusahaan keamanan teknologi informasi, Kaspersky, menjabarkan sejumlah tips sebagai berikut:

1. Periksa dan cermati email.
Saat menerima email, jangan buru-buru membalas atau mengikuti instruksinya. Hal pertama yang harus dilakukan adalah mencari tanda-tanda phishing. Ada beberapa tanda bahwa pesan mengandung upaya phishing, seperti subjek pesan yang dramatis, banyak terdapat kesalahan ketik dan ejaan serta karakter aneh dalam teks, dan tautan dalam email jika ada.

2. Tetap waspada di aplikasi pesan atau jejaring sosial.
Email bukan satu-satunya hal yang perlu diwaspadai. Sebab pesan yang diterima di aplikasi perpesanan dan di jejaring sosial memiliki potensi bahaya yang sama besarnya. Tautan berbahaya dapat berada di pos teman di Facebook, di komentar yang diposting oleh brand ambassador palsu di Twitter, atau di DM di Discord.
Selain itu, lakukan pemeriksaan pada banner secara cermat, gambar yang ditampilkan mungkin tidak ada hubungannya dengan situs web. Seperti halnya email, periksa setiap tautan dengan cermat, dan jika mungkin jangan klik sama sekali.

3. Berhenti sejenak saat ingin memasukan rekening bank.
Detail kartu bank sangatlah sensitif karena memberikan akses langsung menuju uang pribadi. Itu sebabnya perlu memeriksa ulang dan berpikir dengan seksama sebelum memasukkan detail tersebut. Perhatikan baik-baik alamatnya. Masih dengan metode yang sama: kesalahan ketik, angka alih-alih huruf, tanda hubung di tempat yang tidak terduga, dan nama domain yang mencurigakan.

Jika melihat sesuatu seperti itu, tinggalkan situs web dan coba masukkan alamat secara manual. Kemudian, tetap di bilah alamat, klik ikon gembok di sebelah kiri. Gembok bukanlah jaminan keamanan, tetapi dari sana dapat mempelajari lebih lanjut tentang siapa yang memiliki situs web.