Phishing, Salah Satu Upaya Pencurian Data Digital

Phishing (baca: fishing), adalah salah satu teknik mengelabui dengan tujuan untuk mendapatkan akses (credential) ke sebuah aplikasi atau website.

Ada beberapa jenis metode phishing. Salah satunya yang baru saja saya alami dan nyaris tidak saya sadari kalau saja ketika loading tidak muncul tulisan yang sangat familiar bagi orang Indonesia: "Jengkol". 

Walau tulisannya bukan benar-benar "jengkol", tetapi "jhenxkol", tetapi otak saya langsung membaca "jengkol". Entahlah mengapa otak saya langsung mengarah kepada "jengkol", padahal saya sama sekali bukan penggemar jengkol.

Awalnya saya memeriksa email Yahoo saya karena sudah beberapa hari tidak pernah saya periksa isinya. Tiba-tiba mata saya menangkap email yang dikirim dari sebuah website, yang mana memang saya punya akun disitu. Pengirim email benar-benar dari alamat domain yang benar, yang membuat saya nyaris kurang teliti. 

Email ini mengatakan bahwa akun saya, di website tersebut di-suspend untuk sementara waktu karena mereka mendeteksi adanya aktivitas mencurigakan. Saya pun teringat pada beberapa gift card yang saya dapat dari mereka namun belum saya pakai. Lumayan satu gift card nilainya USD 25. Walau tidak dapat dipakai di Indonesia, tetapi saya sudah punya rencana untuk membeli salah satu servis digital dari mereka.

Karena otak saya langsung mengarah pada gift card yang akan saya pakai, maka saya pun langsung membuka tautan yang diberikan untuk memeriksa akun saya sesuai permintaan dalam email. 

Email ditulis dalam bahasa Inggris yang rapi, membuat saya masih belum ngeh juga. Dan saya pun tidak ingat memeriksa link yang diberikan. Untungnya, kebetulan handphone yang biasa saya pakai sedang direparasi karena rusak dan untuk sementara saya menggunakan handphone jadul yang loadingnya lambat. 

Akibat kelambatan itu, maka saya membaca kata jengkol tadi. Nampaknya, tautan yang dikirim kepada saya, kemudian dikirimkan lagi ke alamat yang lain secara otomatis (redirect). 

Dalam pemrograman web hal ini memang mungkin. Metoda pemrogramannya dinamakan "redirect page". Sayangnya handphone saya yang lambat memungkinkan saya membaca sekilas link yang berisi kata jengkol tadi. Karenanya langsung saya sadar dan merasa ada yang janggal. 

Janggalnya karena redirect page itu. Ketika halaman web muncul, tampilannya benar-benar tampilan website yang benar yang sudah familiar buat saya. Namun akibat kata "jengkol", saya melihat lagi alamat pada browser. Ternyata tidak menunjuk kepada alamat yang sesuai. Saya pun tersadar dan tidak jadi "login".

ilustrasi: Upaya Pencurian Data | sumber: xpi.ma

Hal di atas adalah salah satu cara atau percobaan pencurian data dengan cara berusaha mendapatkan akses user id dan password. Penipu berusaha mengarahkan korban untuk membuka tautan yang mereka berikan, yang sudah dibuat sedemikan rupa menyerupai tampilan website aslinya dan mengarahkan korban untuk membuka akun dengan cara login. 

Dengan aktivitas login ini, maka penipu dibalik layar sana akan mendapatkan user id dan password korban. Dalam contoh kasus di atas, maka jika saya login dengan memasukan user id dan password, maka mereka akan mendapatkan user id dan password tersebut. 

Dengan kedua data itu, mereka sudah dapat login ke akun saya pada website yang dituju dan selanjutnya terserah mereka mau melakukan apa saja.

Pengambilan data credential ketika seseorang login ke akun palsu, dapat terjadi dengan teknik pemrograman. Sebuah program ditanam dalam website palsu tersebut dengan menyediakan login form, dan kemudian program tersebut akan membaca data yang masuk dan menyimpannya di suatu tempat untuk kemudian dipakai untuk aktivitas yang merugikan pemilik akun. 

Kira-kira analoginya seperti ini: pemilik rumah menyerahkan kunci rumahnya kepada orang tak dikenal karena tidak menyadari kalau orang yang diberi kunci rumah itu tidak ada hubungannya sama sekali dengan penghuni atau orang yang berkepentingan. 

Tidak menyadari mungkin karena sebelumnya diminta oleh salah seorang "penghuni" untuk menyerahkan kunci pada orang suruhannya. Padahal yang meminta itu adalah orang lain yang tidak dikenal alias penghuni palsu.

Mengapa alamat email pengirim bisa benar, seolah-olah email itu dikirim dari penanggung jawab website itu sendiri?

Dalam pemrograman, ada sebuah kemampuan untuk menuliskan email yang terdiri dari: pengirim yang terdiri dari nama dan alamat email, judul subjek, email tujuan, dan isi email. Nah pengirim ini bisa diisi apa saja, asal formatnya format email. Misalkan email diterima dari alamat admin@kompasiana.com 

Dalam hal ini penerima akan menerima email dari pengirim sesuai alamat yang tertulis. Padahal si pemilik akun tidak pernah mengirimkan email itu. Hal ini sebenarnya bila dilacak lebih detail oleh ahlinya, dan akan ketahuan bahwa email tidak dikirim dari/oleh alamat yang sama. Hanya saja tentu orang awam tidak akan menyadari hal itu.

Teknik pemrograman seperti itu, biasanya dipakai untuk mengirimkan email otomatis (robot), misal ucapan terima kasih setelah pelanggan mengirimkan review produk setelah berbelanja dan menerima barang. 

Begitu sistem mendeteksi ada komentar yang masuk, maka setelah "submit" sistem akan mengirimkan email tersebut secara otomatis. Nah, teknik inilah yang dimanfaatkan oleh orang-orang diluar sana yang tidak bertanggung jawab, untuk mengelabui targetnya, dengan memanfaatkan teknik pemrograman.

Jadi, berhati-hatilah ketika mendapatkan email atau permintaan untuk login ke sebuah akun. Pastikan website dari tautan yang diberikan adalah alamat yang benar. 

Secara teknis di belakang layar, jenis penipuan seperti ini pernah terjadi pada klikbca beberapa tahun silam. Bedanya, pada kasus klikBCA, si penipu memanfaatkan kemungkinan salah ketik dari para nasabah BCA. Jadi dia tidak dengan sengaja mengirimkan email untuk memancing calon korban. 

Jenis pencurian data seperti itu dinamakan typosquatting. Namun teknik dibelakang layarnya sama dengan phishing. Yaitu "menampung" data yang dimasukan via login form, yang berisi user id dan password sehingga si penipu dapat login ke website asli dengan data credential tersebut.

Jadi jika setelah login mendapati keanehan, misal tidak masuk-masuk ke tampilan yang seharusnya, padahal user id dan password sudah benar, pastikan lagi bahwa Anda masuk ke alamat website yang benar.

Jika ternyata salah alamat, sebaiknya segera ganti password saat itu juga di alamat website yang benar. Tujuannya adalah agar user id dan password yang sudah terlanjur diketahui oleh si penipu tidak akan dapat dipakai lagi untuk login ke akun asli.

Masih ada lagi beberapa metode phishing lainya. Intinya, gantilah password secara berkala, atau ketika mendapatkan "keanehan". Karena mungkin ada saat kita tidak sadar sudah "memberikan" akses kepada orang lain yang menyebabkan mereka dapat login ke akun kita.

Metode ini juga dapat dipakai untuk mendapatkan data kartu kredit atau debit kita lho. Karena tampilan website dan kode-kode perintah didalamnya dapat dibuat sesuai kebutuhan, oleh seorang programmer. 

Bisa saja tautan yang mereka berikan meminta target untuk memasukan nomor kartu kredit atau debit, lengkap dengan kode CVV nya. Jika ini yang terjadi, maka data-data itu akan mereka dapat ketika target memasukan data-data tersebut. Untungnya sekarang ada OTP yang dikirimkan ke handphone kita, sehingga mengurangi kemungkinan pencurian data. 

Maka itu, hati-hati ketika tiba-tiba ada orang menelepon meminta kita membacakan kode OTP yang baru saja kita terima, dengan berbagai alasan. Kode OTP itu tidak untuk diberitahukan kepada orang lain dengan alasan apapun. 

Kecuali orang yang meminta ada dihadapan kita dan atas sepengetahuan kita. Misal orang bank sedang membantu transaksi yang kita lakukan dan perlu OTP itu, bolehlah kita kasih, dengan catatan kita tahu apa yang dia lakukan.

Jika tidak yakin mengapa dia meminta OTP, maka sebaiknya tanyakan keperluannya untuk apa. Jika petugas bank tersebut tidak dapat menjelaskan maka nasa ah berhak menolak memberikan OTP tersebut. (VRGultom)