Sabtu, 17 Mei 2014

Phising



Belakangan ini jumlah malware yang menyasar bank (financial malware) semakin turun, tapi bukan berarti transaksi perbankan melalui Internet sudah aman. Kejahatan perbankan di Internet terlihat makin meningkat, hanya modusnya kini lebih berliku tapi kian "tak terasa". Adapun salah satu bentuk dari Kejahatan IT  di Perbankan adalah Phising.




A.  Asal Mula kata 'Phishing'
Dalam beberapa tahun terakhir, ada satu tindakan abuse internet yang sedang trend, yaitu phishing. Kata phishing datang dari analogi pengguna internet nakal yang menggunakan tipuan email untuk 'fishing' atau memancing password dan data finansial dari lautan pengguna internet. Sedangkan "Ph" adalah pengganti huruf hacker untuk "f" dan merupakan huruf pertama dari kata asal hacking, yaitu "phreaking".

B.   Pengertian Phishing dan Phisher
Phishing yaitu aktivitas seseorang untuk mendapatkan informasi rahasia user dengan cara menggunakan email dan situs web yang menyerupai aslinya atau resmi. Informasi rahasia yang diminta biasanya berupa password account atau nomor kartu kredit,SSN, detail pembayaran dll. Phisher adala pelaku dari phishing. Phisher kadang dapat menggunakan email,banner atau popup window untuk menipu user ke suatu situs web palsu, dimana disana user diminta untuk memberikan informasi pribadinya.

C.  Target
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.

D.   Cara Kerja Phishing
Phishing dapat dilakukan secara aktif maupun pasif. Phisher mengirimkan ribuan email (spoofed email) ke target sasaran dengan menipu sebagai email resmi suatu perusahaan kartu kredit, perusahaan pembiayaan atau instansi resmi. Email tersebut terlihat seperti dikirim dari pihak resmi, sehingga pelanggan target seringkali tidak menyadari kalau mereka sedang ditipu. Pada email, sebagai contoh misalnya phisher memberitahukan tentang perlunya verifikasi account kartu kredit dengan mengirimkan nomor kartu kredit tersebut dengan cara mengklik link URL pada email. Link URL tersebut akan menuju situs palsu (fraudulent website) dimana user diminta menginput nomor kartu kreditnya dan mengirimkannya , dengan embel-embel agar accountnya dapat dipergunakan kembali dan ter-update dalam database perusahaannya. Setelah phisher berhasil mengantongi nomor kartu kredit user, lalu phisher dapat menggunakannya untuk berbelanja atau meminjam identitas kita. Berikut adalah contoh email phishing yang menggunakan nama Citibank. Dengan mengaku pihak resmi bank atau perusahaan terpercaya, retailer online atau perusahaan kredit card, phisher bisa meyakinkan sampai 5% dari penerima email untuk mengikuti perintahnya. Hal ini dikarenakan tipuan mereka tidak terlihat , apalagi oleh orang yang kurang berhati-hati, tergesa-gesa atau awam terhadap internet. Masih banyak cara yang ditempuh oleh para phisher untuk menjerat korbannya, antara lain melalui :
1. Faktor Pendekatan Sosial. Kebanyakan para korban diberi pesan menarik dan digiring kedalam jebakan dengan tujuan agar korban mau melakukan beberapa tindak lanjut dari email palsu tersebut dan si korban memberikan informasi berharga kepada si phisher.
2.  Pengiriman Pesan. Bisa melalui email spam, web-based delivery, iklan jebakan  dalam web, IRC dan Instant Messaging (Yahoo Messenger, MSN Msgr, AOL, ICQ  dan lain-lain.). Bisa pula calon korban diajak untuk menuju situs buatan para phisher yang mengandung trojan, jadi saat si korban membuka situs jebakan,    secara tidak sadar di belakang terjadi proses infeksi sistem oleh trojan.

E.   Mengenali Phishing
Melakukan serangan phishing sangatlah mudah, dan tidak memerlu-kan banyak kemampuan teknis. Salah satu syaratnya adalah dapat mengirimkan email dalam jumlah banyak, ratusan atau ribuan serangan email, dan membuat situs palsu untuk mendapatkan informasi dari pelanggan target.
 
Bagaimanakah Ciri-Ciri Phishing?
1.  Email phishing mengatasnamakan instansi resmi / bereputasi 
·     Menggunakan logo/branding perusahaan, banner atau ciri khas perusahaan.
·      Memiliki link ke situs resmi perusahaan tersebut.
·      Alamat email seperti alamat email aslinya
2.   Alamat Reply berbeda dengan alamat Sender
Pada email, pengirim mengklaim dari perusahan resmi, tetapi harus direply atau dibalas ke alamat lain. Berikut adalah contoh dari  email phishing : From: Citibank , Reply-To: citibank3741@collegeclub.com
3.   Menggunakan Alasan yang masuk Akal
Setelah mengaku dari perusahaan resmi, biasanya email akan    berisi alasan yang membujuk user agar menuliskan informasi    yang diinginkannya dengan alasan bahwa kartu kredit anda telah   kadaluarsa, atau account secara acak sedang diverifikasi sehingga   anda harus memperbaharui account tersebut. Kadang bisa  juga   mereka memberitahukan bahwa anda telah terkena phishing dan diminta untuk memasukan informasi finansial agar account anda   tetap aman.
4.   Email bersifat Urgent / harus cepat dibalas
Email berisi subjek yang harus cepat ditindak lanjuti dan jika tidak   account akan dihapus atau tidak dapat digunakan lagi.
5.   Meminta informasi dalam email
Biasanya meminta inforamsi kartu kredit , password, dll.
6.   Menyertakan link ke situs palsu untuk menipu user
Misalnya, salah satu email dari ebay dengan link :
http://ebaysecuritycheck. easy.dk3.com/Ebayupdatessl.html Situs ebay sendri beralamat di    www.eBay.com. Pisher berharap domain http://ebay-securitycheck.easy.dk3.com” adalah domain milik ebay.
7.  Link situs yang dituju pada email berbeda dengan link pada   address bar situs tersebut.
Pada email, link yang terlihat di email biasanya berbeda dengan link tujuannya. Misal di email “ http://account.earthlink.com” tetapi setelah diklik sebenarnya menuju ke http://www.memberupdating.com.”




Sumber :


 

0 komentar:

Posting Komentar