PHISHING ATAU IDENTIFY THEF

Ketika anda melakukan pengecekkan terhadap e-mail anda, mungkin anda sepertinya menerima e-mail dari bank anda, atau dari Internet Service Provider (ISP), atau dari bussiness entity yang lain yang biasanya memang sering berhubungan dengan anda. E-mail tersebut meminta agar anda memasukkan informasi-informasi sensitif, seperti misalnya nomor rekening bank, nomor kartu kredit, nomor social security, password, dan lain-lain data menyangkut pribadi anda. E-mail tersebut meminta kepada anda untuk misalnya "Just click on the link below". Apabila anda menerima e-mail seperti itu, berhati-hatilah, karena jika anda secara gegabah memenuhi begitu saja apa yang diminta atau diinstruksikan dalam e-mail itu maka besar kemungkinannya anda menjadi korban suatu kejahatan komputer yang disebut phishing.

PENGERTIAN PHISHING

Apa yang dimaksud dengan phishing? Phishing merupakan salah satu bentuk dari kejahatan internet yang disebut identify theft. Phishing adalah pengiriman e-mail palsu (dalam istilah atau jargon internet e-mail palsu tersebut (spoofed e-mail) kepada seseorang atau suatu perusahaan atau suatu organisasi dengan menyatakan bahwa pengirim adalah suatu entitas bisnis yang sah. Pengirim e-mail palsu itu bertujuan untuk menipu penerima agar mengungkapkan informasi mengenai diri penerima. Pengirim e-mail tersebut menampilkan e-mail itu dalam bentuk dan dengan isi seperti suatu e-mail yang bukan e-mail palsu. Penerima yang mengira bahwa e-mail yang diterimanya itu adalah e-mail yang bukan e-mail palsu akan menanggapi e-mail tersebut dengan mengunjungi website pengirim e-mail dan kemudian terpancing untuk mengungkapkan informasi mengenai diri penerima, antara lain berupa password, nomor credit card, nomor social security, dan nomor rekening bank sebagaimana yang diminta oleh pengirim e-mail dalam e-mail-nya itu. Website tersebut tidak lain adalah website palsu yang memang sengaja dibuat untuk mencuri informasi pribadi dari korbannya.

Pada umunya phishing memang dilakukan melalui e-mail, tetapi ada pula yang dilakukan melalui sms pada handphone. Sekalipun banyak e-mail palsu tersebut tampil meyakinkan (seperti yang asli), yaitu lengkap dengan logo perusahaan dan menampilkan links kepada website yang asli, tetapi banyak yang tampil sangat menggelikan karena dilakukan oleh amatir (bukan professional). Hal itu tampak dari formatnya yang acak-acakan, terjadinya kesalahan-kesalahan grammar dalam kalimat-kalimat yang ditulis, dan terjadinya kekeliruan spelling dari kata-kata yang digunakan.

ASAL MUASAL ISTILAH PHISHING

Istilah "phishing" tercatat pertama kali pada 2 Januari 1996 dalam the alt.online-service.america-online Usenet newsgroup sekalipun istilah tersebut tidak mustahil telah pernah muncul sebelumnya dalam edisi cetak (print edition) dari majalah hacker 2600. Bagaimana teknik "phishing" diuraikan secara jelas pada 1987 dalam suatu makalah dan presentasi yang disampaikan kepada International HP User Group. Internex. Istilah "phishing" merupakan suatu varian dari kata atau istilah "fishing" yang mungkin terpengaruh oleh kemunculan istilah "phreaking" (yang berasal dari kata  "freaking" yang diganti huruf "f" dengan "ph") dan merujuk secara tidak langsung kepada pemakain umpan (baits) yang makin canggih yang bertujuan dapat memperoleh tangkapan (catch) informasi keuangan (financial information) dan password dari pihak yang dituju.

Kata phishing juga mungkin dikaitkan kepada "leetspeak", dimana "ph" sering dipakai sebagai pengganti kata "f". Leetspeak, yang dikenal juga dengan istilah hakspeak, adalah suatu tipe komunikasi yang dimana pengguna mengganti huruf-huruf dengan angka atau huruf lain. Misalnya "leets" pada kata "leetspeak" diubah menjadi "1337".

KUANTITAS KEJAHATAN PHISHING

Jumlah dan makin hebatnya kecanggihan phishing dari waktu ke waktu makin meningkat. Dalam beberapa tahun terakhir ini, puluhan juta orang Amerika telah menjadi korban e-mail palsu, web pages palsu, dan pop-up palsu yang bertujuan untuk memperoleh data keuangan pribadi. Hal ini telah menjadikan kejahatan phishing sebagai salah satu cyber crime yang tumbuh dengan cepat.

Beberapa kasus pencurian data dapat dikemukakan sebagai berikut (Bisnis Indonesia, 26 Februari 2008) :

• 92 juta catatan e-mail dicuri dari server American Online, tahun 2004.
• Pencurian 50 juta data pensiunan Jepang - karena kecerobohan pembukuan di badan kemanan Jepang - membuat Shinzo Abe terdepak dari kursi perdana menteri, tahun 2007.
• Data 40 juta pelanggan MasterCard, American Express, Discover, dan Visa dicuri dari CardSystem Solution, perusahaan pemasok kartu elektronik, tahun 2005.
• Pemerintah Amerika Serikat kehilangan informasi berkaitan dengan keberadaan 26,5 juta bekas sukarelawan, tahun 2006.
• Pemerintah Inggris kehilangan data 25 juta orang - hampir separuh jumlah penduduk. Data itu meliputi nama, alamat, kelahiran, rekening bank, dan polis asuransi, terjadi tahun 2007.
• Kepolisian Indonesia pada tahun 2008 berhasil membekuk sindikat kejahatan asal Malaysia yang telah menyadap 7,2 juta data kartu kredit. Setelah data kartu kredit tersebut "dibersihkan" oleh dua perusahaan principal, yaitu Visa International dan MasterCard, diketahui bahwa 2 juta diantaranya berasal dari Indonesia. Hal ini merupakan kasus terbesai di Indonesia - bahkan disebut-sebut terbesar di Asia Pasifik.

MODUS OPERANDI PHISHING

Banyak teknik yang digunakan dalam phishing oleh para pelaku dunia virtual (cyberspace). Di bawah ini dikemukakan beberapa cara yang sering digunakan :

1. Dragnet Method. Melakukan phishing dengan menggunakan metode jala (dragnet method) adalah sebagaimana dicontohkan dalam kasus berikut ini. Pada 6 Januari 2004, The Federal Trade Commision Amerika Serikat untuk pertama kalinya mengajukkan suatu gugatan (secara perdata) terhadap seseorang yang diduga telah melakukan phishing. Tergugat adalah seorang remaja berumur 21 tahun penduduk negara bagian California. Tergugat diduga telah menciptakan dan menggunakan suatu webpage yang dibuat seperti website dari American Online. Tujuannya adalah untuk dapat mencuri nomor-nomor kartu kredit. 
2. Rod-and-Reel Method. Berbeda dengan dragnet method, pada rod-and-reel method para phisher menuliskan nama dari penerima dalam e-mail yang dikirimkannya itu. Seperti halnya dengan praktik-praktik phishing, sudah tentu e-mail yang dikirimkan berisi informasi palsu dan meminta agar penerima e-mail mengungkapkan data pribadi dan data keuangannya. 
3. Lobsterpot Method. Teknik ini hanya menggunakan website palsu yang tampak seperti website dari suatu perusahaan yang sah. Sasaran korban dengan para phisher dipilih terbatas kepada beberapa orang atau perusahaan tertentu. Para phisher sebelumnya sudah menidentifikasi beberapa calon korbannya. Para phisher tersebut tidak menunggu datangnya permintaan dari para korbannya itu untuk melakukan phishing yang bertujuan mengarahkan para korbannya mengunjungi website yang palsu yang diciptakan oleh mereka. Cukuplah bagi para phisher itu bahwa para korban menemukan website palsu tersebut sebagai website yang sah. Serangan yang dilakukan oleh para phisher itu adalah untuk dapat mengakses situs yang secured (secure site) atau untuk dapat menyembunyikan identitas para phisher itu, maka para phisher tersebut dapat memperoleh alamat korban (tanpa sepengetahuan korban) yang mereka lakukan dengan cara memalsukan jalur informasi dari e-mail tersebut agar tampak seakan-akan e-mail tersebut berasal dari rekening korban (bukan tanpa berasal dari rekening para phisher itu).
4. Gillnet Phishing. Pada 2004 di West Point (suatu akademi militer di Amerika Serikat), Aaron Ferguson yang menjadi guru dan ahli pada National Security Agency mengirimkan e-mail kepada 500 orang kadet (siswa West Point) yang isinya meminta agar para kadet itu melakukan klik (click) pada suatu link yang tertera pada suatu e-mail trsebut guna memverifikasi grade mereka. E-mail tersebut seakan-akan datang dari Colonel Robert Melville dari West Point. Lebih dari 80% penerima e-mail melakukan klik pada link yang disebutkan dalam e-mail tersebut. Sebagai responsnya, mereka menerima pemberitahuan bahwa mereka telah melakukan penipuan dan memperingatkan bahwa kelakuan mereka itu sama dengan melakukan download atas spyware, memasukkan Trojan horses, dan atau melakukan malware lainya. 

Apabila anda menghadapi hal-hal dibawah ini, maka anda sedang menghadapai suatu kejahatan phishing, yaitu apabila anda menerima hal-hal sebagai berikut :

1. E-mail yang meminta anda untuk memasukkan informasi pribadi, misalnya password, rincian dari nomor rekening bank, atau nomor asuransi dalam suatu formulir dalam e-mail yang disampaikan kepada anda.
2. E-mail yang meminta anda untuk melakukan klik (click) pada suatu link dan memasukkan informasi pribadi dalam suatu formulir yang tampil pada suatu website.
3. E-mail yang tampak seperti berasal dari suatu organisasi di mana anda memiliki rekening dan e-mail tersebut diawali dengan ucapan "Dear valued customer" atau serupa dengan itu dan bukan menyebutkan nama anda secara eksplisit."
4. E-mail berisi sesuatu yang mengerikan atau mengejutkan, misalnya memuat kalimat "Your account will be closed unless you enter your password and your name".
5. E-mail yang berisi suatu "order confirmation" atas suatu order yang tidak pernah anda lakukan dan apabila anda memang merasa tidak pernah melakukan order tersebut dan ingin membatalkannya, maka anda diminta untuk memasukkan kembali data mengenai kartu kredit anda.

Beberapa contoh e-mail palsu mungkin berbunyi sebagai berikut :

"We suspect an unauthorized transaction on your account. To ensure that your account is not compromised, please click the link below and confirm your identity."

"During our regular verification of accounts, we couldn't verify your information. Please click here to update and verify your information."

Pelaku phishing berupaya untuk menakut-nakuti anda agar memberikan informasi mengenai diri anda. Mereka membuat e-mail tersebut sedemikian rupa sehingga penerima e-mail akan merasa khawatir dan menanggapi e-mail tersebut dengan mengungkapkan data mengenai keadaan keuangannya.

PROTEKSI TERHADAP PHISHING

Apabila anda menerima e-mail yang anda khawatirkan atau anda curigai merupakan suatu kejahatan phishing, maka cukuplah apabila anda lakukan hal-hal sebagai berikut :

1. Menghapus (delete) e-mail yang menunjukkan adanya ciri-ciri tersebut diatas.
2. Apabila anda ragu-ragu bahwa kemungkinan e-mail tersebut bukan merupakan upaya phishing dan ingin menjawab e-mail tersebut bukan dengan cara mengirim e-mail kembali, hubungi dengan telepon atau dengan cara lain organisasi yang mengirimkan e-mail tersebut untuk menanyakan apakah mereka memang mengirimkan e-mail tersebut.

Apabila anda terlanjur telah memberikan data mengenai rekening bank atau nomor kartu kredit melalui suatu yang anda curigai merupakan upaya phishing, hendaknya anda secepat mungkin menghubungi bank anda atau perusahaan kartu kredit atau yang bersangkutan.

Penulis by : Tim Limited Edition