Jumat, 21 Agustus 2009

Phising

Istilah ini mungkin masih terdengar asing, namun sebenarnya bukanlah hal baru. Masih ingat dengan kasus web site BCA yang diplesetkan? Dengan memanfaatkan salah ketik dari nasabah misalnya www.kilkbca.com atau www.klicbca.com dan berbagai variasi lainnya, dimana link sebenarnya adalah www.klikbca.com

Sehingga pengguna BCA internet Banking yang tidak teliti dalam mengetikkan link asli tersebut akan masuk ke situs yang sengaja dibuat untuk mendapatkan account dan password ingternet banking. Aksi ini sendiri sebenarnya sudah bisa dikategorikan dengan tindakan ‘hacking’ dengan menggunakan cara ‘social engineering’.

Pishing atau Password Harvesting Fishing arti sebenarnya adalah tindakan dengan menggunakan alamat email ataupun alamat situs yang dipalsukan dan dirancang untuk mengelabui sang penerima untuk mendapatkan data-data berupa nomor kartu kredit, account transaksi dan password, beserta informasi penting lainnya. Dengan meniru atau membajak nama bank terkenal, penjual on-line yang terkenal dan perusahaan kartu kredit, para pisher (istilah pelaku pishing) dapat meyakinkan sejumlah 5 % dari target korban mereka untuk merespon terhadap undangan mereka.

Misalnya asumsi phiser mengirimkan email 1000 calon korban berarti yang akan merespon terhadap ajakan mereka misalnya melakukan update informasi atau data mereka akan ada sekitar 50 orang. Hasil ini merupakan penelitian yang pernah dilakukan terhadap perkiraan korban pishing.

Umumnya yang terjadi pada tindakan phising adalah seseorang menerima email yang menggiring sipenerima untuk melakukan update informasi yang sifatnya personal seperti password, user account, nomor kartu kredit, tanggal lahir, nomor account di bank dan sebagainya.

Situs ini sendiri sebenarnya adalah situs palsu dan dibuat dengan tujuan untuk mengelabui pengunjungnya. Sebagai contoh pada tahun 2003 lalu, para pengguna ebay ada yang menerima email seakan-akan dikirim oleh ebay. Email tersebut menyuruh user untuk melakukan update informasi personal seperti nomor kartu kredit dsb, yang apabila tidak dilakukan maka account mereka akan dibekukan. Dan cukup banyak yang tertipu pada saat itu.

Untuk membuat situs yang persis sama dengan aslinya merupakan hal yang sangat mudah dilakukan seperti halnya yang pernah dilakukan oleh Steven yang memplesetkan alamat situs internet banking BCA dengan memanfaatkan ‘human error’ dan mengetik alamat situs.

Bagaimana Menghindari Pishing?

Tindakan pishing dari hari ke hari jumlahnya semakin meningkat dan bertambah terus. Intinya kita harus selalu berhati-hati dalam memberikan informasi kita terutama yang menyangkut informasi keuangan seperti user account, password online banking, nama ibu kandung, tanggal lahir, nomor kartu kredit dan informasi lainnya.

Berikut ada beberapa tips yang bisa dijadikan sebagai pedoman untuk menghindari atau mencegah phishing ini :

  • Berhati-hati dan tidak memberikan data pribadi di internet terutama yang menyangkut informasi keuangan seperti user account, password online banking, nama ibu kandung, tanggal lahir, nomor kartu kredit dan informasi lainnya.
  • Email dari phisher ini umumnya tidak di-personalized sementara kalau email yang legal umumnya bersifat lebih personal.
  • Selalu curiga dengan email yang berisi permintaan penting atau urgent untuk data keuangan atau informasi pribadi. Para phisher umumnya memasukkan informasi yang menarik agar korban merespon cepat setelah membaca email tersebut.
  • Jika anda menerima email semacam ini yang meminta data pribadi terutama data financial, telpon ke perusahaan yang bersangkutam untuk konfirmasi atau masuk ke situs tersebut secara langsung tanpa link yang disediakan di email.
  • Selalu menggunakan situs yang aman ketika memberikan informasi atau dat financial melalui web browser. Situs yang secure biasanya menggunakan SSL (enkripsi) dan selalu mulai dengan https:// dan bukan http://
  • Log0on secara rutin ke situs online-account dan cek data transaksi untuk memastikan data transaksi kita benar.
  • Pastikan bahwa web browser yang digunkan selalu ter-update dengan patch terbatu.
  • Pertimbangkan untuk menggunakan atau meng-install web browser tool-bar untuk membantu memproteksi terhadap situs-situs phishing.
  • Gunakan anti spam, karena umumnya email yang berisikan phishing bersumber dari alamat IP yang termasuk dalam kategori RBL (Real-Time Blackhole Lists). Artinya alamat IP yang terdaftar di RBL merupakan sumber spam.

Sumber :
Harianto Rusmin, Hack Attack : Konsep, Penerapan dan Pencegahan, 2005, Jasakom.

Tidak ada komentar: