1. Pengertian Phising
Phising adalah singkatan
dari Password Harvesting Phising yang artinya adalah tindakan memancing dengan
tujuan untuk mengumpulkan password.
Phishing yaitu
aktivitas seseorang untuk mendapatkan informasi rahasia user dengan cara
menggunakan email dan situs web yang menyerupai aslinya atau resmi. Informasi
rahasia yang diminta biasanya berupa password account atau nomor kartu
kredit,SSN, detail pembayaran dll.
Phisher adala pelaku
dari phishing. Phisher kadang dapat menggunakan email,banner atau popup window
untuk menipu user ke suatu situs web palsu, dimana disana user diminta untuk
memberikan informasi pribadinya.
Target phishing
adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli
online, internet banking, online shopping dan sejenisnya yang melibatkan
transaksi secara online melalui situs internet atau layanan telepon selular.
2. Teknik Phising
Teknik umum pishing
yang sering digunakan adalah:
1. Penggunaan alamat e-mail palsu dan
grafik untuk menyesatkan user sehingga user terpancing menerima keabsahan
e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali
memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; facebook,
yahoo, bank atau penerbit lainnya. Pemalsuan ini dilakukan untuk memancing
korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
·Membuat situs palsu yang sama persis
dengan situs resmi atau pelaku phising mengirimkan e-mail yang berisikan link
ke situs palsu tersebut.
· Membuat hyperlink ke web-site palsu atau
menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
3. Contoh Kasus
1. Phising Pada E-Banking BCA
Pada tahun 2001, internet banking
diributkan oleh kasus pembobolan internet banking milik bank BCA, Kasus
tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung dan juga merupakan
salah satu karyawan media online (satunet.com) yang bernama Steven Haryanto.
Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika, melainkan
Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah mengetikkan
alamat website. Kemudian dia membeli domain-domain internet dengan harga
sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah
mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA.
Kemudian dia membeli
domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan
kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan
situs internet banking BCA, www.klikbca.com, seperti:
1. wwwklikbca.com
2. kilkbca.com
3. clikbca.com
4. klickbca.com
5. klikbac.com
Steven melakukan hal itu
murni atas keingintahuannya mengenai seberapa banyak orang yang tidak sadar
menggunakan situs klikbca.com, Sekaligus menguji tingkat keamanan dari situs
milik BCA tersebut.
Steven Haryanto dapat
disebut sebagai hacker, karena dia telah mengganggu suatu system milik orang
lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebut sebagai
hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat
hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa
besar tingkat keamanan yang dimiliki oleh situs internet banking Bank
BCA.
Disebut white-hat
hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID
dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun
tindakan yang dilakukan oleh Steven, juga termasuk black-hat hacker karena
membuat situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal
yang dilakukan Steven antara lain scans, sniffer, dan password crackers.
Karena perkara ini
kasus pembobolan internet banking milik bank BCA, sebab dia telah mengganggu
suatu system milik orang lain, yang dilindungi privasinya dan pemalsuan
situs internet bangking palsu. Maka perkara ini bisa dikategorikan sebagai perkara
perdata. Melakukan kasus pembobolan bank serta telah mengganggu suatu system
milik orang lain, dan mengambil data pihak orang lain yang dilindungi
privasinya artinya mengganggu privasi orang lain dan dengan diam-diam
mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet
banking palsu.
2. Email Phishing
Menggunakan Nama Citibank
Belakangan
ini, phishing banyak dilakukan dengan menggunakan nama Citibank. Seiring dengan
kegiatan kriminal tersebut, Citibank di seluruh dunia memberikan edaran dan
pemberitahuan kepada seluruh nasabahnya, termasuk Citibank Indonesia. Sebagian
informasi berikut diambil dari edaran dari Citibank Indonesia, agar seluruh
nasabah dapat lebih waspada terhadap kegiatan phishing.
Contoh phishing email
dan cara mengenalinya
.jpg)
4. Cara
Mengenalinya
1. Phishing e-mail
biasanya dikirim secara acak ke banyak orang sekaligus, jadi biasanya tidak
mencantumkan nama Anda secara spesifik.
2. E-mail tersebut
biasanya meminta Anda untuk memperbaharui informasi pribadi atau mengkonfirmasi
status rekening Anda.
3. Bisa juga e-mail
tersebut memperingatkan bahwa rekening Anda akan ditutup bila tidak segera
melakukan hal yang diminta.
4. Umumnya tercantum
alamat URL ke website palsu
contoh website palsu
yang menggunakan nama Citibank
5. Cara Mencegah Phising
1. Berhati-hati dan
tidak sembarangan memberikan data pribadi di Internet terutama data keuangan
seperti nomor account di bank, nomor kartu kredit, account internet banking dan
password.
2. Email dari phisher
ini umumnya tidak di personalized sementara kalau email yang legal (valid)
umumnya lebih personal.
3. Selalu berprasangka
curiga dengan email yang intinya berisi permintaan penting atau urgen untuk
informasi atau data keuangan pribadi. Pada phisher (orang yang melakukan
phishing) umumnya memasukkan unsur yang mengasyikkan lewat kalimat-kalimat
dalam emailnya sehingga menarik orang untuk bertindak atau me-respon secepatnya
begitu dia membaca email tersebut.
4. Jika anda menerima
email semacam ini yang meminta data pribadi terutama data finansial, telpon ke
perusahaan yang bersangkutan untuk konfirmasi atau masuk ke situs tersebut
secara langsung tanpa melalui link yang disediakan di email.
5. Selalu menggunakan
situs yang aman (secure) ketika memberikan informasi atau data financial
melalui web browser. Situs yang secure biasanya mengunakan SSL (enkripsi) dan
selalu mulai dengan https:// dan bukan http://
6. Log-on secara rutin
ke situs online-account anda dan cek datanya misalnya data transaksi kredit
maupun debet untuk memastikan bahwa data transaksi itu benar.
7. Pastikan bahwa web
browser yang digunakan selalu ter up to date dengan patch terbaru.
8. Pertimbangkan untuk
menggunakan atau meng-install web browser tool-bar untuk membantu memproteksi
terhadap situs-situs phishing.
9. Sebelum memasukkan
informasi yang sifatnya personal seperti informasi finansial kita. Kartu kredit
dan sebagainya. Ada baiknya lakukan klarifikasi terlebih dahulu. Misalnya situs
visa menyatakan bahwa mereka tidak pernah mengirimkan email, untuk meminta
update informasi atau klarifikasi. Informasi detilnya bisa lihat di
www.corporate.visa.com.
10. Gunakan atau
implementasi Anti-Spam, karena umumnya email yang berisikan phishing bersumber
dari alamat IP yang termasuk dalam kategori RBL (Real-Time Blackhole Lists).
Artinya alamat IP yang terdaftar di RBL merupakan sumber spam. RBL di-develop
oleh MAPS LLC, alamat webnya adalah
www.mail-abuse.com.
6. Undang-undang Hukum
Tentang Phising
Adapun undang-undang yang akan dilimpahkan kepada pelanggar kasus Phising
adalah sebagai berikut :
1. Pasal 30
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses
Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh
Informasi Elektronik dan/atau Dokumen Elektronik. Setiap Orang dengan sengaja
dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik
dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol
sistem pengamanan.
2. Pasal 35
Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan
manipulasi, penciptaan, perubahan, penghilangan, pengrusakan, informasi
Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik
dan/atau Dokumen Elektronik tersebut dianggap seolah-olah data otentik.
3. Pasal 46
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1)
dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling
banyak Rp.600.000.000,00 (enam ratus juta rupiah). Setiap Orang yang memenuhi
unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana
penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak
Rp.700.000.000,00 (tujuh ratus juta rupiah). Setiap Orang yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara
paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp.800.000.000,00
(delapan ratus juta rupiah).
4. Pasal 51
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 35
dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda
paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah)
0 komentar:
Posting Komentar