Pengelabuan

Istilah phishing (Pengelabuan) disampaikan dalam seminar TI di sebuah forum internasional di AS oleh International HP Group Interex pada tahun 1987. Istilah phishing pertama kali dicatat pada tanggal 2 Januari 1996 oleh AOL Usenet Newsgroup. Istilah dari phishing adalah phreaking. Istilah ini dipakai untuk mendapatkan informasi-informasi yang berjenis finansial, tetapi istilah ini tidak begitu popular di kalangan hacker.

Phishing merupakan salah satu bentuk kejahatan cybercrime yang paling digemari di Jepang. Hal ini disampaikan oleh Masaki Kubo, JPCERT/CC dalam seminar keamanan informasi “Arsitektur dan Keamanan Informasi Pelanggan” di Surabaya beberapa waktu lalu. Memang bukan orang Jepang yang membuat phishing ini, tetapi bencana tsunami di Jepang merupakan sarana para hacker luar Jepang untuk mencari keuntungan tersendiri. Caranya dengan membuat phishing atau aneka email palsu berserta server untuk menampung dananya (biasanya server ini online untuk menerima sumbangan dari para donatur).

Bila jumlah server palsu (fake server) ini mencapai ribuan dengan donatur berjumlah jutaan, sehingga dana mengalir kepada para penipu ini cukup besar juga. Dana ini akan digunakan sebagai “amunisi” untuk memperbesar skala kegiatannya.

Phishing: Definisi dan Cara Kerjanya

Dalam ruang lingkup keamanan komputer, phishing salah satu bentuk kejahatan elektronik dalam bentuk penipuan. Proses phishing ini bermaksud “menangkap” informasi yang sangat penting seperti username, password, dan detail kartu kredit. Caranya, dengan menyamar sebagai sebuah lembaga/entitas yang dapat dipercaya/legitimate dan biasanya berkomunikasi secara elektronik. Sarana komunikasi yang dipakai beraneka ragam, mulai dari aneka situs sosial, situs-situs lelang/auction, sampai ke pengelolaan aktivitas online payment.

Bentuk phishing yang lain adalah pengiriman email “resmi” dan pesan instan (instant messaging) ke user. Phishing semacam ini biasanya menggunakan situs-situs resmi/legitimate dan situs-situs besar yang dikenal masyarakat (dilengkapi dengan logo perusahaan, kop email resmi sampai dengan cap dan tanda tangan salah satu pimpinan perusahaan tersebut.

Tujuan dari kegiatan phishing semacam ini bermacam-macam: misalnya pertama, hanya untuk mencuri user account dan password, mengeksploitasi data user dan administrator. Kedua, memberikan tawaran investasi palsu, dengan tujuan untuk menipu. Ketiga, memberikan informasi sesat kepada user, dengan tujuan memberikan kesan buruk terhadap perusahaan lain (black campaign). Teknik yang terakhir ini dapat dikatakan social engineering, sebuah teknik yang jarang dilakukan oleh hacker tetapi sangat ampuh untuk membuat opini buruk terhadap perusahaan pesaingnya.

Berbagai Teknik Phishing.

1.   Social Engineering

Masyarakat memiliki reaksi terhadap aneka kejadian penting. Teknik ini dipandang ampuh  oleh hacker untuk mendapatkan informasi penting tanpa usaha yang rumit. Contohnya, pengiriman header email berbunyi “Bantulah Rakyat Aceh yang tertimpa tsunami, kirimkan informasi Anda sebagai relawan”. Header lain yang cukup menyentuh berbunyi “Bantulah korban bencana alam Situ Gintung. Kirimkan secuil harta Anda bagi mereka”. Yang paling banyak mengeruk dana donasi tentu saja adalah slogan “Pray For Japan”.

2.   Manipulasi Link

Teknik ini akan menipu user agar meng-klik salah satu URL yang ada di email “resmi” yang dikirim oleh hacker. Seluruh isi email ini berasal dari perusahaan yang mengirimkannya. Namun, ada salah satu link yang “dibelokkan” hacker menuju ke server lain yang bukan server sebenarnya (server palsu/unlegitimate/fake server). Nah, jika user “terbujuk” untuk meng-klik lini ini, informasi tentang user tersebut akan tertangkap oleh server palsu.

3.   Filter Evasion

Seorang ahli phishing/hacker akan menggunakan teknik ini untuk menghindari jeratan/filter phishing. Biasanya hacker akan menempelkan image untuk phishing, sehingga filter phishing yang dibuat oleh developer tidak dapat mendeteksi adanya phishing.

4.  Website Forgery

 Seorang korban yang mengunjungi web phishing tidak dapat mengetahui secara pasti apakah situs ini asli atau palsu. Pasalnya, situs ini dibuat sedemikian rupa sehingga sama dengan aslinya. Mungkin Anda masih ingat kasus situs Web palsu clickbca.com atau kilkbca.com yang digunakan untuk mendapatkan username dan password pengguna yang salah masuk ke situs tersebut. Teknik ini sangat ampuh dan sudah lama digunakan oleh hacker untuk mengelabui user. Teknik hacking ini terkenal dengan sebutan Man-in-the middle.

5.   Phone Phishing

Tidak semua serangan phishing menggunakan situs Web palsu. Seringkali hacker menggunakan media lain yang digunakan untk phishing. Model phone phishing digunakan para  hacker untuk mengelabui para user. Caranya dengan mengirim email dengan logo bank yang dipakai user.

Dengan menggunakan dalih perawatan atau peningkatan keamanan akun banknya, si user dipersilahkan memasukkan kembali username dan password akunnya (termasuk akun internet banking). Ini ditambah dengan pencantuman nomor telepon administrator atau customer service sebagai kontak helpdesk masalah ini. Tetapi semua fasilitas ini adalah palsu, dengan harapan user terbujuk untuk memasukkan semua informasi rahasianya, bahkan mentransfer sejumlah dana kepada pembuat phone phishing tersebut.

6.   Teknik Phone Phishing Yang Lain

Misalnya menempatkan skrip kecil ke situs-situs perbankan resmi. Bila user tidak teliti, ia akan terkena jebakan yang akan menggiringnya ke sebuah situs palsu. Situs ini bisa dikatakan aspal (asli tapi palsu), karena user tidak menyadari sedang mengakses situs palsu di dalam situs asli. Tentu saja skrip ini diletakkan di sela-sela dan di belakang halaman utama (homepage) situs Web (karena halaman utama ini biasanya akan diperiksa berulang-ulang oleh para designer Web).

Penutup

Tujuan utama phishing yang digunakan hacker adalah, pertama mendapatkan semua informasi rahasia si user. Dengan bocornya semua informasi penting ini, hacker ini akan melakukan aksi phishing berikutnya kepada user lain, bahkan memperjualbelikan informasi tersebut. Tujuan kedua adalah menghimpun dana via alamat email palsu (fake email) dan web server palsu (fake server), baik secara sedikit demi sedikit maupun secara besar-besaran. Tujuan kedua ini biasanya dimaksudkan untuk memperkaya pribadi/organisasi serta untuk memperbesar kegiatan hacking tersebut.