Phishing adalah salah satu bentuk serangan siber yang paling umum digunakan untuk mencuri informasi pribadi. Faktanya, teknik ini memanfaatkan manipulasi psikologis untuk membuat korban merasa panik, tergesa-gesa, atau percaya bahwa pesan yang mereka terima berasal dari pihak resmi.
Contoh phishing yang paling populer adalah melalui WhatsApp atau SMS, di mana korban disuruh membuka link mencurigakan padahal itu adalah jebakan bagi mereka. Tiga saluran yang paling sering digunakan pelaku phishing adalah email, telepon, dan WhatsApp. Yuk, kita bahas satu-persatu!
Kamu menerima email dengan tampilan profesional lengkap dengan logo bank dan alamat pengirim yang mirip domain resmi (misalnya info@bank-service.com). Dalam email disebutkan bahwa akunmu dibekukan sementara dan kamu diminta untuk klik link agar bisa mengaktifkannya kembali.
Saat link diklik, kamu diarahkan ke halaman login palsu yang terlihat seperti situs bank. Setelah kamu memasukkan PIN, password, bahkan nomor kartu, datamu langsung masuk ke tangan pelaku. Motif phishing ini dilakukan untuk mencuri kredensial bank dengan tujuan menguras saldo.
Contoh phishing lewat email ini biasanya ditujukan pada individu yang sedang aktif melamar kerja. Biasanya, tanpa sadar ia memberikan informasi pribadi di website pencari kerja atau saat mengikuti job fair.
Modusnya, seorang pencari kerja mendapat email dari perusahaan terkenal berisi jadwal interview dengan lampiran PDF atau dokumen Word. Ternyata, file tersebut berisi malware yang bisa mengambil alih komputer korban.
Malware ini menginfeksi perangkat korban dan mencuri data sensitif seperti dokumen atau kata sandi.
Berdasarkan dua contoh phishing email di atas, berikut ciri-cirinya:
Seseorang mengaku dari bank menelpon dan mengatakan ada aktivitas mencurigakan di akunmu. Dia menyuruh kamu menyebutkan OTP yang baru saja dikirim ke HP kamu agar bisa memblokir transaksi tersebut. Jika kamu menyebutkan kode OTP itu, justru pelaku berhasil login dan mengambil alih akun bank-mu.
Penipuan seperti ini sedang marak terjadi. Kamu ditelepon oleh orang yang mengaku dari kantor pajak. Katanya kamu memiliki tunggakan dan bisa dijatuhi denda atau tindakan hukum. Agar tidak kena masalah, kamu diminta mentransfer uang ke rekening “resmi” atau kamu harus memperbarui akun pajak melalui link aplikasi yang mereka kirim.
Berdasarkan contoh phishing lewat telepon ini, ciri-cirinya biasanya mereka mengaku dari instansi resmi (bank, pajak, polisi), namun nomor yang menghubungi adalah nomor individual. Lalu biasanya mereka memakai nada mendesak dan mengancam supaya korban merasa panik. Lalu, mereka meminta informasi pribadi dengan dalih membantumu menyelesaikan masalahmu. Modus lainnya, kamu disuruh mentransfer sejumlah dana.
Hati-hati, contoh phishing telepon ini sangat mudah membuat panik korban. Pastikan kamu tetap tenang dan pelajari ciri-ciri penelepon tersebut.
Kamu mendapat pesan dari nomor tidak dikenal yang mengaku sebagai teman lama atau rekan kerja yang kehilangan HP. Setelah berbasa-basi, mereka minta tolong transfer dana untuk keperluan mendesak dan berjanji akan menggantinya nanti.
Nah, mereka sedang menipumu secara emosional dan cepat sebelum kamu sadar. Berbekal mengaku sebagai “teman”mu, mereka membuatmu panik dan tergesa-gesa.
Kalau contoh phishing ini pasti pernah kamu terima. Kamu mendapat pesan berantai beredar di WhatsApp, mengatasnamakan brand terkenal yang mengklaim kamu menang undian. Kamu diminta mengklik link dan mengisi data pribadi. Jangan percaya, data kamu sedang dicuri, tuh!
Modusnya, pelaku membuat akun bisnis palsu yang mirip CS resmi e-commerce. Saat kamu komplain tentang pesanan, pelaku minta data lengkap termasuk OTP untuk “verifikasi”. Padahal yang sebenarnya dia lakukan adalah mengambil alih akun pengguna. Nomor asing mengaku orang terdekat atau instansi resmi, link mencurigakan, akun bisnis tanpa centang hijau tapi mengaku CS resmi, dan yang harus diwaspadai adalah meminta OTP atau data pribadi lewat chat.
Tidak ada instansi resmi yang akan memintamu menyebutkan OTP melalui telepon, email, atau chat.
Jika ragu, hubungi langsung nomor resmi atau situs resmi yang bersangkutan. Jangan balas pesan atau klik link yang diberikan secara langsung.
Pelaku sering menggunakan rasa panik atau empati agar kamu segera melakukan tindakan tanpa berpikir panjang. Tetap tenang pada kondisi ini.
Gantilah OTP dengan teknologi yang tidak bisa dipalsukan, seperti biometrik dan device-based authentication.
Phishing akan terus berkembang dan makin canggih, bahkan kini memanfaatkan teknologi deepfake untuk menipu korban secara visual dan audio. Perusahaan perlu beralih ke sistem autentikasi yang lebih aman yakni berbasis biometrik dan perangkat untuk mencegah penggunanya memberikan kredensial seperti OTP dan password.
Ini otentikasi anti-phishing dari VIDA:
Otentikasi Biometrik dengan Liveness Detection (VIDA FaceToken)
VIDA FaceToken menggunakan teknologi pengenalan wajah dan deteksi liveness untuk memastikan hanya pengguna asli yang bisa mengakses akun. Teknologi ini mampu mengenali wajah asli dan menolak manipulasi seperti deepfake atau video palsu. Tanpa menggunakan OTP, proses ini lebih aman dari phishing, social engineering, dan SIM swap.
Otentikasi Perangkat yang Aman (VIDA PhoneToken)
VIDA PhoneToken menautkan akun ke perangkat pengguna menggunakan Public Key Infrastructure. Artinya, sebuah akun hanya bisa diakses dari perangkat yang sama dengan yang digunakan pada saat mendaftar. Jadi, ketika OTP atau PIN dicuri, pelaku tidak bisa mengakses akun karena menggunakan perangkat lain.
PhoneToken dikombinasikan dengan FaceToken untuk tetap membutuhkan verifikasi biometrik ketika mengakses akun.
Ketika sebuah perusahaan melindungi akses penggunanya dengan otentikasi biometrik dan perangkat, itu menandakan bahwa mereka sudah sadar akan risiko contoh phishing yang telah disebutkan di atas.