NAMA : DEMERIYO CHISTIAN PAI
NIM : 10 310 779
KELAS : E/IV
FATEK UNIMA
PHISING
LATAR BELAKANG PHISING
Dalam beberapa tahun terakhir, ada satu tindakan abuse internet yang sedang trend, yaitu phishing. Pernahkah anda mendengar kata phishing? Tidak ada definisi baku untuk kata ini, namun kata phishing adalah sebuah akronim singkatan dari Password Harvesting Fishing, yang artinya kurang lebih adalah memancing untuk mengumpulkan password. Berikutnya muncul banyak pertanyaan antara lain: Password apa yang dimaksud? Memancing bagaimana? Apa dan siapa saja yang bisa jadi korban? Siapa pelakunya? Bagaimana cara menghindari phishing? Mari kita bahas satu persatu.Dari manakah kata phishing datang? Kata phishing datang dari analogi pengguna internet nakal yang menggunakan tipuan email untuk 'fishing' atau memancing password dan data finansial dari lautan pengguna internet. Sedangkan "Ph" adalah pengganti huruf hacker untuk "f" dan merupakan huruf pertama dari kata asal hacking, yaitu "phreaking".Phising diperkenalkan pertama kali pdaa tahun 1995, dan menjadi masalah yang serius pada masa itu. Untuk menghindari menjadi korban phising, anda setidaknya harus mempunyai pemahaman dasar tentang phising. Dibawah ini merupakan sejarah phising untuk membuat anda sedikit mengerti tentang phising.Sebuah teknik phishing digambarkan secara rinci, dalam sebuah makalah dan presentasi yang disampaikan kepada International HP Users Group, Interex, menyebutkan tercatat pertama dari istilah “phishing” ada di alt.online-service.america-online Usenet newsgroup pada tanggal 2 Januari 1996, walaupun istilah ini mungkin telah muncul sebelumnya dalam edisi cetak dari majalah hacker 2600 .
Pengertian Phising adalah cara untuk mencoba mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phising biasanya dilakukan melalui e-mail spoofing atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan rincian di sebuah website palsu yang tampilan dan nuansa yang hampir sama dengan yang aslinya.
AKIBAT PHISING
Beberapa kerusakan akibat phishing berkisar dari penyangkalan akses ke e-mail ke kerugian finansial yang besar. Diperkirakan bahwa antara bulan Mei 2004 dan Mei 2005, 1,2 juta pengguna komputer kira-kira di Amerika Serikat menderita kerugian akibat phishing, dengan total nilai sekitar US $ 929.000.000. Amerika Serikat bisnis kehilangan sekitar US $ 2 miliar per tahun sebagai klien mereka menjadi korban. Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan US $ 3,2 miliar dalam 12 bulan yang berakhir pada bulan Agustus 2007. Microsoft mengklaim estimasi ini terlalu berlebihan dan menempatkan hilangnya phishing tahunan di AS pada US $ 60 juta. Di Britania Raya kerugian dari web penipuan perbankan-terutama dari phishing-hampir dua kali lipat menjadi GB £ 23.2m pada tahun 2005, dari GB £ 12.2m pada tahun 2004, sementara 1 dari 20 pengguna komputer mengaku telah kehilangan ke phishing di tahun 2005.
Sikap diadopsi oleh badan perbankan Inggris APACS adalah bahwa “pelanggan juga harus mengambil tindakan pencegahan yang masuk akal … sehingga mereka tidak rentan terhadap kriminal.” Demikian pula, ketika banjir pertama serangan phishing memukul sektor perbankan Republik Irlandia pada bulan September 2006, Bank Irlandia awalnya menolak untuk menutup kerugian yang diderita oleh pelanggan (dan masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya ), meskipun kerugian untuk lagu € 11.300 dibuat baik.
Cara Kerja Phishing,Phishing dapat dilakukan secara aktif maupun pasif. Phisher mengirimkan ribuan email (spoofed email) ke target sasaran dengan menipu sebagai email resmi suatu perusahaan kartu kredit, perusahaan pembiayaan atau instansi resmi. Email tersebut terlihat seperti dikirim dari pihak resmi, sehingga pelanggan target seringkali tidak menyadari kalau mereka sedang ditipu.
Pada email, sebagai contoh misalnya phisher memberitahukan tentang perlunya verifikasi account kartu kredit dengan mengirimkan nomor kartu kredit tersebut dengan cara mengklik link URL pada email. Link URL tersebut akan menuju situs palsu (fraudulent website) dimana user diminta menginput nomor kartu kreditnya dan mengirimkannya , dengan embel-embel agar accountnya dapat dipergunakan kembali dan ter-update dalam database perusahaannya. Setelah phisher berhasil mengantongi nomor kartu kredit user, lalu phisher dapat menggunakannya untuk berbelanja atau meminjam identitas kita.
Berikut adalah contoh email phishing yang menggunakan nama Citibank
Dengan mengaku pihak resmi bank atau perusahaan terpercaya, retailer online atau perusahaan kredit card, phisher bisa meyakinkan sampai 5% dari penerima email untuk mengikuti perintahnya. Hal ini dikarenakan tipuan mereka tidak terlihat , apalagi oleh orang yang kurang berhati-hati, tergesa-gesa atau awam terhadap internet.
Masih banyak cara yang ditempuh oleh para phisher untuk menjerat korbannya, antara lain melalui:
1. Faktor Pendekatan Sosial. Kebanyakan para korban diberi pesan menarik dan digiring kedalam jebakan dengan tujuan agar korban mau melakukan beberapa tindak lanjut dari email palsu tersebut dan si korban memberikan informasi berharga kepada si phisher.
2. Pengiriman Pesan. Bisa melalui email spam, web-based delivery, iklan jebakan dalam web, IRC dan Instant Messaging (Yahoo Messenger, MSN Msgr, AOL, ICQ dan lain-lain.). Bisa pula calon korban diajak untuk menuju situs buatan para phisher yang mengandung trojan, jadi saat si korban membuka situs jebakan, secara tidak sadar di belakang terjadi proses infeksi sistem oleh trojan.
Target
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.
LATAR BELAKANG PHISING
Dalam beberapa tahun terakhir, ada satu tindakan abuse internet yang sedang trend, yaitu phishing. Pernahkah anda mendengar kata phishing? Tidak ada definisi baku untuk kata ini, namun kata phishing adalah sebuah akronim singkatan dari Password Harvesting Fishing, yang artinya kurang lebih adalah memancing untuk mengumpulkan password. Berikutnya muncul banyak pertanyaan antara lain: Password apa yang dimaksud? Memancing bagaimana? Apa dan siapa saja yang bisa jadi korban? Siapa pelakunya? Bagaimana cara menghindari phishing? Mari kita bahas satu persatu.Dari manakah kata phishing datang? Kata phishing datang dari analogi pengguna internet nakal yang menggunakan tipuan email untuk 'fishing' atau memancing password dan data finansial dari lautan pengguna internet. Sedangkan "Ph" adalah pengganti huruf hacker untuk "f" dan merupakan huruf pertama dari kata asal hacking, yaitu "phreaking".Phising diperkenalkan pertama kali pdaa tahun 1995, dan menjadi masalah yang serius pada masa itu. Untuk menghindari menjadi korban phising, anda setidaknya harus mempunyai pemahaman dasar tentang phising. Dibawah ini merupakan sejarah phising untuk membuat anda sedikit mengerti tentang phising.Sebuah teknik phishing digambarkan secara rinci, dalam sebuah makalah dan presentasi yang disampaikan kepada International HP Users Group, Interex, menyebutkan tercatat pertama dari istilah “phishing” ada di alt.online-service.america-online Usenet newsgroup pada tanggal 2 Januari 1996, walaupun istilah ini mungkin telah muncul sebelumnya dalam edisi cetak dari majalah hacker 2600 .
Pengertian Phising adalah cara untuk mencoba mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. Phising biasanya dilakukan melalui e-mail spoofing atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan rincian di sebuah website palsu yang tampilan dan nuansa yang hampir sama dengan yang aslinya.
AKIBAT PHISING
Beberapa kerusakan akibat phishing berkisar dari penyangkalan akses ke e-mail ke kerugian finansial yang besar. Diperkirakan bahwa antara bulan Mei 2004 dan Mei 2005, 1,2 juta pengguna komputer kira-kira di Amerika Serikat menderita kerugian akibat phishing, dengan total nilai sekitar US $ 929.000.000. Amerika Serikat bisnis kehilangan sekitar US $ 2 miliar per tahun sebagai klien mereka menjadi korban. Pada tahun 2007, serangan phishing meningkat. 3,6 juta orang dewasa kehilangan US $ 3,2 miliar dalam 12 bulan yang berakhir pada bulan Agustus 2007. Microsoft mengklaim estimasi ini terlalu berlebihan dan menempatkan hilangnya phishing tahunan di AS pada US $ 60 juta. Di Britania Raya kerugian dari web penipuan perbankan-terutama dari phishing-hampir dua kali lipat menjadi GB £ 23.2m pada tahun 2005, dari GB £ 12.2m pada tahun 2004, sementara 1 dari 20 pengguna komputer mengaku telah kehilangan ke phishing di tahun 2005.
Sikap diadopsi oleh badan perbankan Inggris APACS adalah bahwa “pelanggan juga harus mengambil tindakan pencegahan yang masuk akal … sehingga mereka tidak rentan terhadap kriminal.” Demikian pula, ketika banjir pertama serangan phishing memukul sektor perbankan Republik Irlandia pada bulan September 2006, Bank Irlandia awalnya menolak untuk menutup kerugian yang diderita oleh pelanggan (dan masih bersikeras bahwa kebijakan adalah untuk tidak melakukannya ), meskipun kerugian untuk lagu € 11.300 dibuat baik.
Cara Kerja Phishing,Phishing dapat dilakukan secara aktif maupun pasif. Phisher mengirimkan ribuan email (spoofed email) ke target sasaran dengan menipu sebagai email resmi suatu perusahaan kartu kredit, perusahaan pembiayaan atau instansi resmi. Email tersebut terlihat seperti dikirim dari pihak resmi, sehingga pelanggan target seringkali tidak menyadari kalau mereka sedang ditipu.
Pada email, sebagai contoh misalnya phisher memberitahukan tentang perlunya verifikasi account kartu kredit dengan mengirimkan nomor kartu kredit tersebut dengan cara mengklik link URL pada email. Link URL tersebut akan menuju situs palsu (fraudulent website) dimana user diminta menginput nomor kartu kreditnya dan mengirimkannya , dengan embel-embel agar accountnya dapat dipergunakan kembali dan ter-update dalam database perusahaannya. Setelah phisher berhasil mengantongi nomor kartu kredit user, lalu phisher dapat menggunakannya untuk berbelanja atau meminjam identitas kita.
Berikut adalah contoh email phishing yang menggunakan nama Citibank
Dengan mengaku pihak resmi bank atau perusahaan terpercaya, retailer online atau perusahaan kredit card, phisher bisa meyakinkan sampai 5% dari penerima email untuk mengikuti perintahnya. Hal ini dikarenakan tipuan mereka tidak terlihat , apalagi oleh orang yang kurang berhati-hati, tergesa-gesa atau awam terhadap internet.
Masih banyak cara yang ditempuh oleh para phisher untuk menjerat korbannya, antara lain melalui:
1. Faktor Pendekatan Sosial. Kebanyakan para korban diberi pesan menarik dan digiring kedalam jebakan dengan tujuan agar korban mau melakukan beberapa tindak lanjut dari email palsu tersebut dan si korban memberikan informasi berharga kepada si phisher.
2. Pengiriman Pesan. Bisa melalui email spam, web-based delivery, iklan jebakan dalam web, IRC dan Instant Messaging (Yahoo Messenger, MSN Msgr, AOL, ICQ dan lain-lain.). Bisa pula calon korban diajak untuk menuju situs buatan para phisher yang mengandung trojan, jadi saat si korban membuka situs jebakan, secara tidak sadar di belakang terjadi proses infeksi sistem oleh trojan.
Target
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.
SOLUSINYA ADALAH :
10 Tips Mencegah Serangan Phising
Serangan phising atau jerat dunia maya belakangan ini menyerang pengguna Facebook. Satu-satunya cara mengatasi serangan yang memanfaatkan celah kelemahan sosial pengguna adalah dengan melakukan sikap hati-hati.
Dalam serangan tersebut penyebar phising berusaha mengambil alih akun Facebook dengan mengirimkan link halaman website palsu yang tampilannya benar-benar mirip Facebook. Bergitu pengguna Facebook terjebak dan dengan sukarela memasukkan nama logon dan password, otomatis informasi tersebut akan masuk ke data si penjahat dan akan dimanfaatkan untuk kepentingannya sendiri seperti menyebar spam alias iklan sampah ke akun-akun lain yang saling terkait.
Kaspersky lab memperkirakan distribusi kode jahat melalui situs jejaring sosial ini 10 kali lebih efektif menginfeksi dibandingkan dengan penyebaran melalui email. Sebab, pengguna internet jauh lebih tertarik untuk mengklik sebuah link yang diterima dari teman mereka, dibandingkan link dari pesan spam yang random.
“Tetap waspada dan lakukan tindakan pencegahan yang tepat merupakan kunci untuk tidak masuk ke dalam perangkap mereka,” ujar David Emm, anggota dari Tim Penelitian dan Analisa Global Kaspersky Lab.
Berikut 10 tips Kaspersky Lab untuk mencegah dari serangan phising:
1. Untuk situs sosial seperti Facebook, buat bookmark untuk halaman login atau mengetik URL www.facebook.com secara langsung di browser address bar.
2. Jangan mengklik link pada pesan email.
3. Hanya mengetik data rahasia pada website yang aman.
4. Mengecek akun bank Anda secara regular dan melaporkan apapun yang mencurigakan kepada bank Anda.
5. Kenali tanda giveaway yang ada dalam email phising:
- Jika hal itu tidak ditujukan secara personal kepada anda.
- Jika anda bukan satu-satunya penerima email.
- Jika terdapat kesalahan ejaan, tata bahasa atau sintaks yang buruk atau kekakuan lainnya dalam penggunaan bahasa. Biasanya ini dilakukan penyebar phising untuk mencegah filtering.
6. Menginstall software untuk kemanan internet dan tetap mengupdate antivirus.
7. Menginstall patch keamanan.
8. Waspada terhadap email dan pesan instan yang tidak diminta.
9. Berhati-hati ketika login yang meminta hak Administrator. Cermati alamat URL-nya yang ada di address bar.
10. Back up data anda.
KESIMPULAN
1. Phising juga didefinisikan sebagai sebuah kegiatan memancing pemakai komputer di internet (user) agar mau memberikan informasi data diri pemakai (username) dan kata sandinya (password) pada suatu website yang sudah di-deface.
2. Teknik yang ada pada modus phising terdiri dari manipulasi link, man in the middle dan phone phising.
3. Untuk menghindari kejahatan dunia maya maka seorang user perlu mengtahui beberapa cara untuk menghindari modus phising, karena kebanyakan kasus kejahatan dunia maya disebabkan oleh kelalaian user.
4. Cara Kerja Phishing,Phishing dapat dilakukan secara aktif maupun pasif. Phisher mengirimkan ribuan email (spoofed email) ke target sasaran dengan menipu sebagai email resmi suatu perusahaan kartu kredit, perusahaan pembiayaan atau instansi resmi. Email tersebut terlihat seperti dikirim dari pihak resmi, sehingga pelanggan target seringkali tidak menyadari kalau mereka sedang ditipu.
