Minggu, 13 Februari 2011

Phishing

Menurut definisi dalam Wikipedia, phishing adalah usaha untuk mendapatkan suatu informasi penting, misalnya sandi lewat atau informasi kartu kredit, dengan cara memanfaatkan seseorang atau sebuah perusahaan bisnis yang sudah dikenal dan dipercaya oleh masyarakat, seperti bank, online retailer, dan perusahaan penerbit kartu kredit ternama. Sarana yang umumnya digunakan adalah pesan elektronik, pesan instan, dan situs jaringan palsu.
Melalui sarana tersebut korban dikendalikan untuk menyerahkan informasi-informasi rahasia yang diinginkan. Karena itu, phising tergolong dalam bentuk social engineering. Nama ini sebetulnya merupakan akronim dari sebuah jargon, yaitu password harvesting fishing. Serangan phishing menggunakan penipuan email untuk memikat penerimanya menuju situs jaringan yang tidak benar. Penipuan e-mail pengubahan metadata/header email melalui protokol SMTP (simple mail transfer protocol) sehingga pengirim dapat memalsukan identitas dirinya menjadi pihak lain yang dikenal oleh penerima. Masalah utama terjadinya praktek phishing adalah ketiadaan pemeriksaan asal e-mail. SMTP (Simple Mail Transfer Protocol) alamat apapun, sehingga phishers dapat memanfaatkannya untuk memperdaya penerima e-mail . Celakanya, sebesar 5% dari seluruh target phishing menanggapi penipuan e-mail ini. Akibatnya, banyak pengguna menderita berbagai kerugian berupa pemakaian kartu kredit oleh pihak yang tidak bertanggung jawab, pencurian indentitas, dan kerugian lainnya.
Di samping itu, pengguna jasa e-commerce juga merasa dirugikan oleh pihak perusahaan yang tidak dapat melakukan suatu tindakan pencegahan terhadap tindakan phishing. Mereka menuntut perusahaan tersebut untuk memakai teknologi baru yang dapat menjamin keaslian e-mail dan situs jaringan.
Aksi Phishing ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing. Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian
Teknik umum yang sering digunakan oleh phisher adalah sebagai berikut:
• Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan pengguna internet sehingga pengguna internet terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit
• Membuat situs palsu yang sama persis dengan situs resmi, atau pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
• Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
Trik yang dilakukan Phisher semakin bervariasi saja. Setelah ‘memancing’ data pribadi (phishing), kini makin ramai variasi phishing yang bernama spear-phishing (menombak) alias trojan bertarget
Spear-phishing lebih berpotensi untuk mengancam daripada phishing biasa. Pasalnya pelaku menargetkan korban-korban spesifik dan bukan sekadar ‘menebar jala’.
Hal itu misalnya terjadi di Israel belum lama ini. Rekan dan murid dari seorang profesor bernama Ammon Jackont tiba-tiba menerima e-mail yang seakan-akan ditulis oleh Jackont. Tapi bukan hanya itu, potongan-potongan paragraf dari buku karangan Jackont tiba-tiba bermunculan di berbagai situs Israel. Padahal buku itu belum diterbitkan dan masih dalam proses penulisan. Demikian dituliskan oleh New York Times yang dikutip detikinet, Senin (5/12/2005). Setelah melalui pemeriksaan polisi ternyata dalam komputer Jackont terdapat Trojan yang tak dikenal. “Mereka (yang berwajib-red) hanya mengatakan bahwa mereka menemukan sesuatu yang besar, lebih besar dari sekadar pihak yang ingin mengganggu diriku,” ujarnya.
Ternyata, polisi Israel menemukan, kasus yang menimpa Jackont juga terjadi pada beberapa perusahaan besar di Israel. Trojan tersebut diperkirakan sengaja dilepas ke target tertentu melalui e-mail atau cakram digital (CD) yang seakan-akan berasal dari orang yang dipercaya.
Beberapa perusahaan terkemuka di Israel saat ini diberitakan sedang diselidiki terkait kasus tersebut. Beberapa pelaku bahkan telah masuk bui. Meski kasus spear-phishing besar baru terjadi di Israel, pakar keamanan memperingatkan kemungkinan metode serupa akan, atau telah, digunakan oleh penjahat cyber di tempat lain. Hal itu disampaikan SANS Institute, sebuah lembaga peneliti keamanan komputer dari Amerika Serikat.
Di Inggris, lembaga pemerintah pengawas keamanan komputer The National Infrastructure Security Coordination Centre, juga telah mengeluarkan peringatan serupa bahwa Spear phishing dikhawatirkan mengancam jaringan computer milik industri atau pemerintah.

0 komentar:

Posting Komentar

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites