Sekadar informasi, phishing adalah metode penipuan yang dilakukan oleh orang-orang yang bertanggung jawab di dunia maya alias internet dengan menyamar sebagai entitas terpercaya untuk mencuri informasi pribadi, keuangan, atau login pengguna.

Mengenali e-mail phishing atau bentuk penipuan online lainnya penting agar Anda tidak menjadi korban kejahatan digital. Berikut ini jenis-jenis email phishing dan tips untuk menghindari aksi kejahatan siber tersebut.

Jenis-Jenis Phishing

Phishing tidak hanya terbatas pada e-mail yang dikirim secara massal. Berikut ini merupakan beberapa jenis phishing yang umum:

1. Email Phishing Tradisional
   Ini adalah bentuk phishing paling umum. Pelaku mengirim ribuan e-mail palsu secara acak dengan harapan beberapa penerima akan tertipu. E-mail ini biasanya berisi pesan mendesak seperti “Akun Anda akan diblokir” atau “Segera verifikasi data Anda”.
2. Spear Phishing
   Berbeda dari e-mail phishing massal, spear phishing menargetkan individu atau organisasi tertentu. E-mail ini terlihat personal dan sering menggunakan nama dan informasi pribadi korban agar terlihat lebih meyakinkan.
3. Whaling
   Sasaran dari whaling adalah orang-orang penting di organisasi, seperti direktur, CEO, atau manajer keuangan. E-mail dirancang dengan cermat agar tampak seperti berasal dari rekan bisnis atau pihak yang memiliki otoritas.
4. Smishing dan Vishing
   Ada jenis phishing yang menggunakan media SMS, disebut dengan Smishing. Selain itu, ada pula Vishing, yakni phishing yang dilakukan melalui panggilan suara, biasanya mengaku dari bank atau institusi resmi.
5. Clone Phishing
   Pelaku mengkloning email resmi untuk dikirim kepada korban. Email tersebut seolah-olah berasal dari pihak resmi, di mana pelaku menampilkan sebuah tautan atau lampiran yang mengarahkan korban ke situs palsu.

Cara Menghindari “Serangan” E-mail Phishing

Agar tidak menjadi korban dari “serangan” email phishing, tentu kamu harus mengetahui ciri-ciri email yang mencurigakan serta memeriksa terlebih dahulu siapa sebenarnya yang mengirimkan email tersebut.

Ada beberapa hal yang perlu kamu perhatikan:

1. Periksa Alamat E-mail
   Selalu periksa alamat e-mail atau domain pengirim, bukan hanya nama pengirim. Misalnya, jika kamu mendapatkan email dari salah satu perusahaan layanan e-commerce yang kamu gunakan, periksa dengan cermat alamat e-mail tersebut. Sebagai contoh, jika ini alamat e-mail yang benar “support@tokopedia.com”, maka waspada alamat e-mail yang mengatasnamakan perusahaan seperti “tokopedia@security-alert.com”.
2. Jangan Klik Sembarangan
   Sebelum klik sebuah tautan, arahkan kursor ke tautan dan perhatikan URL tujuan. Selain itu, hindari membuka lampiran dari email yang tidak dikenal.
3. Aktifkan Autentikasi Dua Faktor (2FA)
   Aktifkan fitur Autentikasi Dua Faktor yang memberikan lapisan keamanan tambahan meskipun password kamu berhasil dicuri.
4. Gunakan Antivirus dan Antispam
   Instal perangkat lunak keamanan yang mampu mendeteksi email mencurigakan.
5. Edukasi Terkait Keamanan Digital
   Pelajari dan ajarkan rekan kerja atau keluarga tentang cara mengenali phishing.

Penulis: Ahmad Luthfi

Tercatat, ada peningkatan sebesar 30% selama bulan Ramadan, terutama menjelang Lebaran, dibandingkan bulan-bulan lainnya. Situasi ini serupa dengan yang terjadi sejak akhir tahun 2024 secara global.

Di mana menjelang puncak musim bepergian, seperti mudik, rangkaian serangan phishing yang menyamar sebagai agen perjalanan online dan menargetkan organisasi di industri perhotelan marak terlihat.

Berdasarkan Microsoft Threat Intelligence, serangan phishing tersebut menggunakan teknik ClickFix dan CAPTCHA. Serangan ini pun masih berlangsung hingga Februari 2025 di berbagai wilayah, termasuk Asia Tenggara.

“Pada masa-masa liburan ketika transaksi digital meningkat dan kewaspadaan digital cenderung menurun, pelaku kejahatan siber kerap memanfaatkan rasa kepercayaan individu dan organisasi terhadap travel agency populer untuk mencuri data,” ujar Panji Wasmana, National Technology Officer, Microsoft Indonesia.

Ditambahkan oleh Panji bahwa dengan mengenali pola serangan dan mengambil langkah-langkah pelindungan, kita bisa mengurangi tingkat keberhasilan serangan, menjaga data, serta melindungi dunia digital kita. Oleh karena itu, tetap waspada selama musim mudik.

Bagaimana Modus Phishing Ini Bekerja?

Microsoft melacak serangan phishing yang terjadi sejak Desember 2024 sebagai Storm 1865, yaitu serangkaian aktivitas terkait serangan phishing yang mengarah pada pencurian data pembayaran dan transaksi penipuan.

Tak hanya menargetkan organisasi di sektor perhotelan, serangan tersebut juga menyasar individu yang berpotensi menggunakan jasa organisasi tersebut. Serangan ini dapat berlangsung dalam beberapa tahap.

Pada contoh serangan yang menargetkan organisasi di sektor perhotelan, umumnya:

• Hotel dan mitra bisnis menerima email palsu yang berpura-pura berasal dari platform pemesanan; meminta karyawan mereka untuk memperbarui akun, memverifikasi transaksi, mengkonfirmasi reservasi, atau segera menanggapi keluhan dan ulasan tamu, guna menjaga reputasi perusahaan.
• Email ini menyisipkan tautan atau lampiran PDF yang mengarahkan pengguna ke halaman login palsu. Untuk meningkatkan kredibilitas, halaman ini juga menampilkan CAPTCHA palsu, yang memberi ilusi bahwa pengguna sedang melakukan verifikasi tambahan.
• Selanjutnya, teknik ClickFix menginstruksikan korban untuk menjalankan perintah tertentu di komputer mereka, yang tanpa disadari akan mengunduh malware pencuri data serta memberi akses kepada peretas untuk melakukan transaksi tidak sah.

Serangan ini tidak hanya menargetkan karyawan hotel. Di tahun 2023, Storm-1865 juga menargetkan tamu hotel yang menggunakan platform pemesanan tertentu dengan teknik rekayasa serupa. Oleh karena itu, pemudik dan wisatawan perlu berhati-hati.

Cara Melindungi Bisnis & Individu dari Phishing

Microsoft merekomendasikan langkah-langkah berikut untuk melindungi bisnis maupun individu dari serangan phishing:

Untuk Bisnis Travel & Perhotelan:

• Gunakan multi-factor authentication (MFA) – Mengaktifkan MFA di semua akun dapat
  mengurangi risiko akses tidak sah, bahkan jika kredensial dicuri.
• Konfigurasi keamanan email seperti Microsoft Defender for Office 365 Safe Links –Mencegah karyawan mengklik tautan berbahaya dengan memeriksa ulang tautan secara otomatis saat diklik, termasuk dalam email dan aplikasi Microsoft 365.
• Pantau aktivitas login yang mencurigakan – Microsoft Defender XDR dapat membantu tim IT perusahaan mendeteksi dan merespons serangan phishing lebih cepat dengan investigasi otomatis.
• Gunakan proteksi berbasis cloud untuk respons cepat terhadap ancaman baru – Microsoft Defender dengan proteksi berbasis cloud dapat mendeteksi dan memblokir varian serangan phishing yang baru berkembang secara real-time.

Untuk Individu:

• Pastikan hanya berkomunikasi dengan akun resmi hotel atau agen perjalanan – Cek domain email pengirim dan pastikan sesuai dengan domain resmi penyedia layanan.
• Gunakan jaringan yang aman – Hindari login ke akun Anda melalui Wi-Fi publik atau tidak terenkripsi untuk mencegah serangan perantara (man-in-the-middle).
• Periksa alamat email pengirim – Waspadai tanda “[External]” pada email masuk dan domain yang tampak mencurigakan. Email yang mendesak pengguna untuk segera bertindak bisa jadi phishing.
• Verifikasi melalui situs resmi – Jika menerima email mencurigakan yang meminta login atau pembayaran, hindari mengklik tautan dan lakukan pengecekan langsung melalui situs web resmi layanan tersebut. Jangan lupa untuk mengarahkan kursor ke tautan tersebut sebelum mengklik apapun; jika URL tampak mencurigakan atau berbeda dari yang seharusnya, sebaiknya tidak diklik.
• Gunakan Microsoft Defender SmartScreen di web browser – Microsoft Edge dan browser lain yang mendukung SmartScreen dapat membantu mendeteksi dan memblokir situs berbahaya yang digunakan dalam serangan phishing.