Monday, July 19, 2021

Tiga bentuk kejahatan cyber: Phishing, Smishing/Waishing dan Vishing


Fishing atau Phishing?


Kita sudah lama mengetahui suatu bentuk cybercrime yang dinamakan phishing. Yakni penipuan lewat instrumen digital PCs atau smartphones dan devices lain dengan menggunakan tampilan gambar-gambar atau images pada layar LCD yang dibuat menyerupai atau menyamai halaman LOGIN suatu email atau suatu m-banking dan lain-lain. 

Phishing menampilkan halaman tiruan pada layar devices anda, sehingga anda, di saat baru membuka email anda (spam atau bukan spam) misalnya, merasa (seolah) sedang terhubung dengan lembaga-lembaga atau perusahaan-perusahaan penyedia dan pengguna teknologi informasi dan komunikasi resmi yang sudah terkenal, katakanlah Yahoo mail, Gmail, atau bank-bank terkenal, dlsb.

Umumnya kita tidak tahu, di saat pertama kalinya, bahwa halaman yang dapat muncul begitu saja pada devices smartphones atau PCs dll kita itu adalah halaman phishing, halaman palsu yang tampilannya lazimnya dibuat sangat persis dengan tampilan halaman LOGIN yang asli. Untuk meyakinkan anda, halaman phishing ini muncul dengan tingkat resolusi yang tinggi, yang dibuat dengan profesional.

Jika kita tidak sadar bahwa yang tampil pada layar LCD (meski kita tidak bermaksud membukanya) adalah gambar phishing, dan kita berpikir bahwa tampilan halaman palsu itu tampilan yang resmi (yang disampaikan ke kita dengan tujuan yang baik), kita akan tanpa ragu mengisi info sensitif dan data kita (misalnya yang terkait dengan info bank dan kartu kredit, dan khususnya password yang kita gunakan), lalu mengirimnya. 

Kalau hal itu kita lakukan, info dan data rahasia pribadi kita sudah jatuh ke tangan orang lain, dan akibat-akibat selanjutnya akan muncul. Kecuali anda cepat menyadari penipuan cara phishing ini, lalu secepat mungkin anda mengganti password anda dan info lain yang berkaitan pada tampilan halaman yang asli yang secepat kilat anda buka dan mengaksesnya. 

Phishing pada halaman Login m-banking juga bisa berupa image kolom Login kedua yang baru muncul pada satu tampilan halaman asli yang sama. Jadi, ada dua kolom Login. Yang satu asli, dan yang lainnya produk kejahatan phishing. Biasanya, phishing cara ini yang bertujuan untuk mengambil info dan data sensitif pribadi anda pada aplikasi m-banking anda, akan langsung membuat anda, pertama, bingung, lalu segera sadar bahwa anda sedang digiring jatuh ke tangan para penjahat cyber.

Phishing tidak terbatas pada bentuk halaman bergambar tiruan yang sangat menyerupai halaman Login asli suatu media sosial atau suatu email atau suatu aplikasi. 

Phishing juga digunakan untuk memperoleh data dan info pribadi anda terkait dengan Smartphone ID anda (misalnya Samsung Account anda dll.). Phishing jenis ini dapat muncul begitu saja ketika anda sudah mengisi password smartphone anda untuk mulai menjalankannya, atau ketika anda disodorkan pembaruan Syarat dan Ketentuan serta Kebijakan Privasi yang harus anda AGREE. 

Smartphone yang di dalamnya terpasang anti-malware ("anti-malicious ware") atau memiliki fitur yang mampu mendeteksi aktivitas yang mencurigakan pada smartphone anda, akan menjegal kejahatan cyber jenis ini jika tersedia waktu cukup bagi aplikasi anti-malware dan anti kegiatan yang mencurigakan tersebut untuk mendeteksi dan menggagalkannya. 

Supaya pencegahan otomatis ini terjadi, anda harus tidak boleh spontan meng-AGREE setiap Syarat dan Ketentuan serta Kebijakan Privasi yang baru. Bacalah semuanya dengan seksama, dus memberi cukup waktu bagi sistem perlindungan dalam smartphone anda untuk bekerja dan menemukan aktivitas kejahatan lalu mengeliminirnya.

Jika lewat phishing pencurian smartphone ID anda sukses dilakukan si penjahat cyber, cara phishing ini bekerja sebagai ransomware. Lewat kejahatan ransomware yang berhasil dilakukan, akses personal anda ke berkas-berkas anda dan bahkan ke smartphone atau device anda lainnya akan terkunci. 

Untuk bisa membuka kembali akses anda, para penjahat pemakai ransomware yang anonimus akan memberi anda jalan-jalan, di antaranya anda diperas untuk membayar sejumlah uang ke mereka lewat jalur-jalur yang sangat sulit atau tak mungkin dapat ditelusuri dan identitas pemiliknya tak dapat diketahui.

Nah, bentuk kedua yang dekat dengan phishing adalah smishing

Penipuan cara smishing tidak dilakukan lewat gambar-gambar atau images, tetapi lewat SMS palsu yang dikirim acak ke sangat banyak orang lewat smartphones. Jika ribuan SMS palsu mereka kirim acak, maka pasti akan ada banyak nomor smartphones yang masuk ke dalam jala yang telah mereka tebarkan.







Contoh-contoh smishing


Dengan berbasis pengetahuan tentang apa yang sedang berlangsung dalam masyarakat, yang dibangun dan dirancang mereka sendiri lewat "enjiniring sosial", para penjahat smishing mengirim SMS-SMS ke sangat banyak nomor smartphones. 

Bunyi SMS smishing disiapkan begitu rupa sehingga para penerima SMS-SMS palsu itu umumnya akan terdorong untuk mempercayai pesan SMS palsu tersebut dan melaksanakan apa yang diminta para pelaku kejahatan smishing.

Lazimnya, SMS smishing berisi pesan netral atau tidak langsung terlihat sebagai suatu tipu muslihat atau sebagai suatu kejahatan cyber.

Pesan SMS smishing umumnya menggiring penerima dan pembacanya untuk mengklik satu (atau dua) tautan ("link") palsu yang akan membawanya ke suatu situs web.

Nah, di situs web itulah data dan info pribadi dan rahasia si penerima SMS smishing akan jatuh ke tangan pihak lain yang sedang melakukan suatu kejahatan cyber. Atau para calon korban diberi instruksi-instruksi tertentu lewat situs web kejahatan smishing.

Selain mencantumkan suatu tautan palsu yang dapat diklik, para pelaku smishing juga memendekkan alamat URL yang diberi mereka untuk menghindari pelacakan. 

Jika smishing dilakukan lewat WA (WhatsApp), maka namanya berubah menjadi waishing. Cara kerja kejahatan waishing sama dengan smishing.

Ada banyak pesan palsu yang disampaikan lewat smishing dan waishing. Misalnya, SMS atau pesan WA tentang pemberian diskon belanja yang besar atau diskon tagihan jika tautan yang dicantumkan anda klik lalu anda memenuhi semua hal yang diminta pada situs web yang tautannya anda telah klik. Atau anda menerima pesan SMS atau pesan WA yang seolah akrab tentang perpanjangan kontrak rumah dan nomor rekening bank yang harus anda pakai jika anda mau membayar uang kontrak rumah tersebut.

Di masa pandemi Covid-19 saat ini, aktivitas belanja online meningkat tajam. Para kriminal smishing dan waishing memanfaatkan sikon pandemi lewat kegiatan ekonomi belanja online. 

Mereka mengirim pesan SMS dan pesan WA (termasuk yang dilengkapi dengan gambar/image, misalnya logo hijau WA) yang mencantumkan nama perusahaan online yang terkenal, dengan disertai tautan ke situs web tertentu. Anda diminta mengklik tautan tersebut jika anda mau mendapatkan diskon besar atau hadiah yang sangat menarik atau percepatan proses pemesanan dan pengiriman. Biasanya dilengkapi juga dengan suatu notifikasi bahwa paket pesanan anda akan dipulangkan ke si penjual online jika ongkos kirim ("shipping fee") dalam jumlah tertentu tidak segera anda bayar lewat cara-cara yang telah diatur dalam keterangan di situs web yang tautannya telah dipasang pada SMS atau pesan WA palsu tersebut.

Karena, sekali lagi, pesan-pesan smishing atau waishing berbunyi netral atau tidak menimbulkan kesan mau menipu atau berisi ancaman, kita harus memberi reaksi sigap waspada jika kita tidak ingin menjadi korban pelaku-pelaku kejahatan smishing dan waishing yang bermoral bobrok (mereka dapat sangat beragama, juga bisa ateis).

Kita harus jangan langsung percaya begitu saja pada pesan SMS atau pesan WA apapun, atau file WA apapun, menggiurkan sekalipun, atau tampak misterius dan mencurigakan, lebih lagi jika pesan tersebut datang dari orang atau pihak yang kita tidak kenal. 

Ingat, suatu pesan SMS atau suatu pesan WA yang datang dari seseorang atau suatu perusahaan yang kita tidak pernah bangun hubungan, yang bunyinya terlalu memberi harapan, terlalu bagus, atau terlalu murah hati jarak jauh, sangat mungkin adalah pesan-pesan smishing atau waishing yang berisi tipu muslihat kebaikan. Kita katakan, pesan-pesan tersebut "too good to be true" atau "too bad to be true". Ujung-ujungnya, penipuan atau pemerasan, atau intimidasi.

Nah, jika kita menerima smishing dan/atau waishing, tautannya jangan sekali-sekali diklik, dan jangan sekali-sekali meng-input info dan data rahasia pribadi anda pada situs web terkait. Instruksi-instruksinya, jika anda sudah terlanjur membuka tautannya, jangan diikuti.

Juga jangan menjawab atau me-reply SMS smishing atau pesan WA waishing.

Tetapi jika karena tidak menyadari keadaan, anda membalas SMS smishing atau pesan WA waishing, lalu SMS balasan atau pesan WA balasan anda itu mental balik ke anda, atau tidak pernah terkirim, berhubung nomor smartphone mereka tidak real, anda masih beruntung.

Tetapi adalah hal yang tidak menguntungkan, jika balasan anda itu masuk ke smartphones mereka, lantaran nomor smartphone anda jadi terkonfirmasi di tangan mereka. Selanjutnya, nomor smartphone anda akan dimasukkan ke dalam daftar spam mereka lalu anda akan diganggu selanjutnya lewat jalur Internet dan device anda.

Nah, jika phishing, smishing dan waishing yang telah dibeberkan di atas dilakukan lewat dering telpon lalu percakapan lisan terjadi, cara penipuan cyber ini dinamakan vishing. Lazimnya, para penjahat cyber dapat memakai tiga cara ini sekaligus, berurutan, kepada para calon korban mereka.

Akhir kata, setelah anda memahami kejahatan-kejahatan di atas, dan anda tahu anda sedang diincar, langkah terbaik adalah memblokir dan melaporkan nomor smartphones mereka. Ada caranya pada masing-masing aplikasi. 

Jika anda menjadi target kejahatan phishing lewat tampilan halaman Login aplikasi m-banking anda, yang dengan tiba-tiba saja terpasang dua tombol Login di situ (sebelumnya selalu hanya muncul 1 tombol Login asli), segeralah buat screencapture halaman tersebut, lalu secepatnya anda laporkan dengan disertai screencapture tersebut sebagai bukti.

Semoga bermanfaat.

Jakarta, 19 Juli 2020

ioanes rakhmat


https://www.proofpoint.com/us/threat-reference/smishing

https://blog.malwarebytes.com/cybercrime/mobile/2021/04/what-is-smishing-the-101-guide/

https://www.howtogeek.com/526115/what-is-smishing-and-how-do-you-protect-yourself/