Sejarah, Cara Kerja, Dan Tool Phishing

aliyhafiz.com – phishing merupakan tehnik hacking yang biasanya dilakukan untuk mendapatkan informasi dari target. Hacker bisa menggunakan beberapa cara misal menggunakan email, website, suara dan lainnya. Kali ini aliyhafiz akan membahas mengenai phishing dimulai dari pengertian, sejarah, cara kerja dan tool yang digunakan hacker dalam melakukan phishing. Disimak ya…

Pengertian Phishing

Phishing adalah aktifitas untuk memperoleh informasi pribadi milik orang lain berupa username, password dan data pribadi lainnya dengan cara menyamar sebagai orang  atau organisasi yang sah melalui email atau website. Istilah phishing berasal dari bahasa inggris yaitu fishing yang artinya memancing. Kemudian istilah ini digunakan dalam keamanan komputer menjadi phishing. Dimana hacker memancing target menggunakan email atau web palsu untuk mendapatkan yang diinginkan.

Sejarah Phishing

Teknik Phishing ini dimulai pada tahun 1980 an, tepatnya pada tahun 1987 dimana kata Phishing digunakan dalam tulisan milik Hewlet packard (HP). Kemudian pada tahun 1990 an seorang hacker bernama Khan C Smith menggunakan teknik ini dengan mentargetkan pengguna American Online (AOL) untuk mendapatkan data akun bank penggunanya.

Pada tahun 2000 an phishing kembali merebak seiring dengan berkembangnya pembayaran elektronik. Dimana targetnya adalah akun pengguna e-gold. Pada tahun 2003 teknik phishing mulai dilaporkan oleh pihak bank retail. Lalu pada 2004 sebanyak 1.2 juta komputer diretas menggunakan phishing. Dan total kerugian yang ditimbulkan mencapai $2 milyar.

Negara inggris mulai mengklaim menjadi korban dari phising pada tahun 2005. Dimana mereka mengkliam 1 dari 20 komputer yang ada di Inggris telah diretas menggunakan phishing. Phishing semakin banyak korban ketika pada tahun 2006 bank bank mendapatkan laporan bahwa nasabahnya telah kehilangan uang. Setelah diselidiki ternyata menggunakan teknik phishing secara terorganisir.

Tahun 2007 dilaporkan sebanyak 3.6 juta orang telah kehilangan $3.2 milyar dalam waktu 12 bulan. Dan terus bertambah menjadi $60 milyar. Dilaporkan sebanyak 6.3 juta akun email diretas dimana data sensitif seperti username, password, nomor sosial, nama, tanggal lahir, alamat, nomot handphone dan lain lain.

Pada tahun 2008 website pengelola file sharing seperti rapidshare menjadi target phishing. Dimana yang menjadi target adalah pemilik premium akun. Lalu dengan muncul nya cryptocurrency seperti bitcoin membuat semakin mudahnya praktik phishing dilakukan. Dimana hasil data curian bisa diperjual belikan dengan mudah. Pada tahun 2009 mulai dilaporkan teknik phishing berhasil digunakan untuk melalukan transfer wecara wire di bank.  

Kemudian pada tahun 2010 an teknik ini mulai digunakan untuk mentargetkan pemerintah dan lawan politiknya.  Pada tahun 2013 phishing mulai mentargetkan pengguna kartu kredit dimana 110 juta pengguna kartu kredit terkena teknik hacking ini. Kemudian pada tahun 2015 semakin massif nya hacker menggunakan teknik ini  sehingga mulai mengkhawatirkan. Dimana fasilitas umum mulai menjadi dampaknya seperti menunda penerbangan maskapai, mematikan server, dan lain lain.

Baca Juga  Cara Menjadi Asesor

Pada tahun 2016 – 2017 mulai diciptakan sistem yang baik untuk mengatasi tehnik phishing ini. Perangkat lunak dan perangkat keras dikembangkan untuk mengatasinya, selain itu sumber daya yang mumpuni juga mulai dicetak untuk menghadapi phishing. Pada tahun 2018 perusahaan pengembang blockchain melaporkan bahwa seluruh pelanggannya terkena phishing.

Cara Kerja Phishing

Hacker dalam menjalankan phishing terlebih dahulu menentukan apa yang akan dicapai. Apakah dari sisi keuangan artinya ingin mendapatkan akun bank, pembayaran digital, atau hanya ingin mendapatkan akun saja. Jika target adalah akun bank, maka hacker akan membuat website tiruan yang sama persis dengan website bank tersebut, yang akan menjadi tujuan setelah url atau link yang dikirimkan ke email terklik oleh target. Di dalam website tersebut target akan memasukkan username dan password. Dari sini hacker sudah memiliki username dan password dari akun bank target.

Langkah selanjutnya adalah menggunakan vishing atau voice phishing untuk mendapatkan informasi yang lain. Atau menggunakan spear phishing untuk mendapatkan informasi lebih detail. Dengan mengorek informasi dari akun media sosialnya.

Jenis Phishing

Bedasarkan pola dan targetnya, phishing ada beberapa jenis yaitu:

#1.Spear phishing

Spear phishing adalah Jenis Phishing yang mencoba untuk mentargetkan secara spesifik baik pribadi maupun organisasi. Misal target yang sudah dikenal baik perorangan atau organisasi. Dimana kata spear memiliki arti lembing atau tombak, artinya target adalah orang yang benar benar spesifik. Tehnik  phishing ini memiliki tingkat keberhasilan yang tinggi. Karena target benar benar spesifik dan bisa memperoleh banyak data baik dari sosial media maupun dari sumber informasi yang lain.

#2.Whaling

Jenis Phishing ini hampir sama dengan spear phishing, tapi bedanya whaling adalah secara khusus mentargetnya orang yang memiliki jabatan tinggi dalam suatu organisasi. Para eksekutif perusahaan menjadi target utama pada tehnik whaling. Hacker menggunakan media subpoena pada tehnik ini. Subpoena adalah dokumen penggilan tertulis untuk menghadap sidang pengadilan. Biasanya seseorang akan takut untuk berhadapan dengan pengadilan. Selain itu tehnik ini menggunakan data pelanggan yang komplain, oleh karena itu para eksekutif mau tidak mau akan menghubunginya dan melayaninya.

#3.Clone phishing

Jenis Phishing ini menggunakan email sah yang telah terkirimkan sebelumnya. Clone phishing merupakan tehnik yang menggunakan isi email identik dengan isi email asli. Biasanya hacker mengganti file lampiran pada isi emailnya.

#4.Link manipulation

Jenis phishing link manipulation adalah teknik dengan memanipulasi link yang ditanam di dalam isi email. Link ini mengarah kepada website milik hacker. Contoh link yang telah dirubah misal anchor text suatu email mengarah ke https://namabank.login.com. Dimana domain nama bank disesuaikan dengan nama bank milik target. Dan domain login adalah domain buatan hacker untuk mengelabui target.

Selain itu hacker bisa memanipulasi domain dengan menggunakan DNS Spoofing atau IDN Spoofing (International Domain Names). Kemudian meredirect domain asli ke domain milik hacker.

#5.Filter Evasion

Teknik filter evasion adalah phishing menggunakan gambar untuk melewati software anti phishing. Namun saat ini tehnik filter evasion mudah dikenali oleh tool anti phishing menggunakan metode OCR (Optical Character Recognition) yaitu metode pengenalan karakter menggunakan optik.

#6.Website Forgery

Tehnik website forgery adalah tehnik phishing yang memanfaatkan celah pada website kemudian menggunakan celah tersebut untuk memasang link di file multi media. Biasanya celah yang dimanfaatkan adalah cross site scripting (xss). Tehnik ini memungkinkan hacker untuk menanamkan link yang tidak sah di website yang sah. Sehingga pengguna bisa terkecoh memasukkan data yang sensitif ke website tersebut. Untuk mengetahui celah keamanan apa saja yang bisa dimanfaatkan oleh hacker bisa membaca di artikel ini ya.

Baca Juga  Keamanan Teknologi Informasi

#7.Covert Redirect

Tehnik covert redirect adalah metode phishing yang sangat halus dimana hacker merubah link yang terlihat resmi tapi sebenarnya menuju ke link milik hacker melalui pop op login. Biasanya menggunakan tehnik hacking xss dan celah pada website pihak ke 3 (tiga). Bisa juga menggunakan redirect yang sangat halus menggunakan ekstensi browser target. Celah keamanan ini ditemukan oleh wang jing, seorang doktor matematika dari perguruan tinggi nanyang technology university (NTU).

Pada tehnik phishing yang sebelumnya biasanya pengguna atau target bisa mengetahui jika email atau link yang dikirim adalah tehnik phishing. Namun dengan menggunakan covert redirect ini korban akan lebih susah mengenali karena hacker menggunakan link yang sah, dan website yang sah namun terdapat pop up yang sudah dimodifikasi. Sehingga sangat tidak kentara apakah itu form login asli atau bukan.

Misalkan seseorang akan mengakses twitter.com, maka pengguna akan diarahkan untuk ke link twitter.com dan website twitter. Akan tetapi ketika akan login, hacker akan memunculkan pop up login yang bukan dari twitter. Begitu pengguna memasukkan username dan password maka hacker sudah mendapatkan username dan password pengguna yang menjadi target.

#8.Social Engineering

Tehnik ini terjadi ketika pengguna direkomendasikan untuk mengklik tautan dengan berbagai alasan seperti dimintai tolong, tautan download materi kuliah, materi belajar, tautan donasi dan lain lain. Misalkan yang sering digunakan adalah tautan download dari google doc yang sudah sangat umum dikenal sehingga pengguna tidak merasa curiga. Namun tautan tersebut telah dimanipulasi agar mengarah kepada komputer hacker. Untuk membaca secara lengkap mengenai tehnik social engineering bisa membaca di artikel ini ya.

#9.Voice Phishing

Adalah jenis phishing yang menggunakan suara. Misalkan menggunakan panggilan telephone palsu atau menggunakan Voice Over IP (VOIP). Karena tidak semua phishing menggunakan email dan website palsu. Maka tehnik phishing menggunakan suara kini sudah mulai dikenal dan kita harus berhati hati. Tujuan tehnik ini adalah mendapatkan data pribadi menggunakan panggilan seolah olah berasal dari bank resmi padahal bukan.

#10.Smishing

Adalah tehnik phishing yang menggunakan sort message servise (sms). Hacker menggunakan sms untuk mengirim pesan tertentu kepada target. Biasa menggunakan nomor handphone yang terdaftar atau bahkan menggunakan nomor yang seolah olah dari perusahaan ternama agar lebih dipercaya. Untuk mengatasi tehnik ini pengguna perlu memastikan bahwa nomor yang mengirim sms adalah benar benar berasal dari perusahaan yang resmi, bukan nomor asing.

#11.Pharming

Adalah tehnik phishing yang menggunakan metode DNS Chace Poisoning. Dengan metode ini hacker membanjiri chace yang dimiliki oleh browser dengan chace tertentu sehingga tautan atau link yang dituju akan dirubah ke link atau url yang telah disesuaikan oleh hacker. Untuk mengatasi hal ini pengguna perlu mengakses internet menggunakan SSL dan selalu menggunakan anti virus yang selalu diperbaharui. Selain itu pengguna perlu menggunakan ISP yang terpercaya.

Baca Juga  Kriptografi : Pengertian, Tujuan Dan Jenis Algoritmanya

12 Tool Phishing Yang Digunakan Oleh Hacker

Berikut ini adalah tool phishing yang digunakan oleh hacker untuk melakukan aksinya. Tool phishing ini bersifat free atau gratis, jadi untuk menggunakan hanya perlu mendownload dan memasang di sistem operasi yang digunakan. Tool phishing ini bisa digunakan untuk melakukan phishing, ini hanya untuk pembelajaran ya, jangan menjadikan siapapun target…berikut ini  12 tool phishing rekomendasi aliyhafiz.com

  1. Evilginx2
  2. SEToolkit
  3. HiddenEye
  4. King-Phisher
  5. Gophish
  6. Wifiphisher
  7. SocialFish
  8. BlackEye
  9. Shellphish
  10. Zphisher
  11. SpearPhisher
  12. SpeedPhish Framework (SPF)

Agar Tidak Menjadi Korban Phishing

Ada beberapa cara yang bisa digunakan untuk mencegah phishing,sehingga tidak terkenal korbannya. Ini adalah beberapa cara agar tidak terkena serangan phishing hacker;

#.Edukasi

Mengapa edukasi sangat penting dalam mengatasi tehnik phishing? Karena dengan edukasi bisa benar benar mengenali tehnik phishing. Jika karyawan atau pengguna sudah sangat aware atau sadar akan bahasa phishing, maka korban phishing bisa sangat berkurang. Di dalam edukasi ini biasanya diberikan beberapa materi seperti cara kerja phishing, contoh dan bagaimana mengatasinya.

#.Autentikasi 2 Lapis

Merupakan autentifikasi yang diperlukan untuk masuk ke dalam akun pribadi, misalkan email atau akun media sosial faseboo, twitter dan lain lain.  Autentifikasi yang kedua sebagai penentu keberhasilan hacker bisa masuk ke dalam sistem dengan mudah atau tidak. Biasanya autentifikasi yang kedua bisa berupa sms, telephone, pertanyaan rahasia, token dan lain lain.

#.Anti Virus

Merupakan software pihak ketiga yang bisa mendeteksi keberadaan phishing ini. Jika menggunakan anti virus jangan lupa untuk selalu mengupdatenya.

#.Anti Phishing

Merupakan software yang dirancang khusus untuk mengenali phishing. Banyak vendor yang menawarkan software anti phishing. Biasanya software anti phishing yang perlu diinstal sendiri (tanpa menempel pada software lain), ada juga yang menempel pada software lain seperti toolbar pada browser. Beberapa penelitian mengemukakan bahwa menggunakan software anti phishing dapat mengurangi serangan tehnik ini hingga 35 – 45 %. Contoh software anti phishing yaitu netcraft, zone alarm, web of trust, phish tank, pineApp, google safe browsing, quick heal, geo trust dan lain lain.

Cara Mengatasi Phishing

#1.Filter Email

Merupakan langkah teknis untuk mencegah email yang tidak terpercaya masuk ke email masuk utama. Sehingga email yang mencurigakan masuk ke email spam. Dengan masuknya email yang dicurigai sebagai email spam, maka pengguna akan lebih waspada untuk mengklik url atau tautan di isi email tersebut.

#2.Toolbar Browser

Dengan memasang toolbar pada browser biasanya akan ada notifikasi atau peringatan jika website yang sedang dikunjungi adalah website yang berbahaya. Sehingga pengguna bisa lebih berhati hati.

#3.Verifikasi Transaksi

Hendaknya selalu menggunakan verifikasi ketika akan melakukan transaksi. Verifikasi dimaksudnya untuk memastikan bahwa pemilik akun yang sebenarnya yang melakukan transaksi.

#4.Redaksi Email

Beberapa organisasi tidak menggunakan tautan langsung ketika mengirimkan email. Akan tetapi menggunakan url yang perlu di copy paste di browser. Hal ini tentu kurang nyaman karena perlu melakukan beberapa tindakan, akan tetapi mengurasi tehnik phishing.

Demikianlah Pembahasan mengenai pengertian, sejarah, cara kerja, cara mengatasi phishing, bagaimana agar tidak menjadi korban phishing, anti phishing, serta tool phishing yang digunakan oleh hacker. Semoga bermanfaat…

Share ke:

Leave a Reply

Your email address will not be published. Required fields are marked *