Apa Itu Phishing?

Asal Usul dan Evolusi Phishing

Istilah "phishing" merupakan variasi dari "fishing", yaitu memancing korban, tetapi menggunakan umpan berupa komunikasi palsu. Istilah "ph" konon dipinjam dari budaya hacker awal, di mana istilah seperti "phreaking" (peretasan sistem telepon) umum digunakan.

Phishing berawal dari tahun 1990-an, awalnya menargetkan pengguna America Online (AOL). Penyerang akan menyamar sebagai staf AOL dan meminta pengguna untuk memverifikasi informasi akun, seringkali mengelabui mereka agar menyerahkan kredensial login. Sejak saat itu, phishing telah berkembang pesat dan kini mencakup banyak variasi dan teknik yang semakin canggih.

Cara Kerja Phishing

Serangan phishing pada umumnya mengikuti pola dasar berikut:

1. Bait: Penyerang mengirimkan pesan yang tampaknya berasal dari sumber tepercaya—seperti bank, layanan online, instansi pemerintah, atau bahkan teman atau kolega.

2. Hook: Pesan tersebut menciptakan rasa urgensi atau kewaspadaan. Pesan tersebut mungkin mengklaim adanya aktivitas mencurigakan pada suatu akun, masalah pembayaran, atau penawaran khusus yang memerlukan perhatian segera.

3. Capture: Korban mengklik tautan berbahaya atau mengunduh lampiran. Tautan tersebut dapat mengarah ke website palsu yang meniru website resmi dan meminta pengguna untuk memasukkan informasi sensitif.

4. Exploit: Setelah penyerang memperoleh data, data tersebut dapat digunakan untuk mencuri uang, mengakses akun pribadi, atau melancarkan serangan lebih lanjut (seperti penipuan identitas atau spionase perusahaan).

Jenis-jenis Umum Serangan Phishing

Phishing bukanlah taktik yang cocok untuk semua orang. Phishing hadir dalam beberapa bentuk, masing-masing dengan metode penipuannya sendiri, seperti:

Email Phishing

Ini adalah jenis yang paling umum. Penyerang mengirimkan email yang tampak seperti berasal dari perusahaan atau orang yang sah. Email ini sering kali berisi tautan ke website palsu atau lampiran berbahaya. Mereka mungkin menggunakan logo, merek, dan bahasa yang sangat mirip dengan organisasi asli.

Spear Phishing

Tidak seperti phishing massal, spear phishing menargetkan individu atau organisasi tertentu. Penyerang menyesuaikan pesan berdasarkan informasi yang tersedia untuk umum—seperti jabatan, nama, atau aktivitas terbaru—untuk meningkatkan kredibilitas. Spear phishing umumnya digunakan dalam serangan business email compromise (BEC).

Whaling

Ini adalah jenis spear phishing yang menargetkan individu-individu terkemuka seperti CEO, CFO, atau pejabat pemerintah. Kontennya sering kali disamarkan sebagai pemberitahuan hukum, komunikasi eksekutif, atau dokumen keuangan. Karena potensi keuntungannya yang tinggi, serangan whaling direncanakan dan dijalankan dengan cermat.

Smishing (SMS Phishing)

Dalam smishing, penyerang menggunakan pesan teks, alih-alih email, untuk mengelabui pengguna. Pesan-pesan ini dapat berisi tautan ke website palsu atau nomor telepon yang dapat dihubungi, dan seringkali tampak berasal dari layanan tepercaya seperti perusahaan pengiriman, bank, atau bahkan operator seluler.

Vishing (Phishing Suara)

Vishing melibatkan panggilan telepon, alih-alih pesan tertulis. Penelepon menyamar sebagai figur otoritas—seperti dukungan teknis, agen pemerintah, atau pegawai bank—dan membujuk korban untuk mengungkapkan informasi sensitif atau melakukan tindakan berisiko seperti mentransfer uang.

Phishing Kloning

Di sini, email yang sah diambil, disalin, dan sedikit diubah. Penyerang mengganti tautan atau lampiran asli dengan tautan berbahaya dan mengirimkannya kembali dari sumber yang tampaknya sah. Ini sangat efektif jika korban telah menerima email serupa dan mengharapkan komunikasi lebih lanjut.

Teknik yang Digunakan dalam Phishing

Penyerang phishing menggunakan kombinasi penipuan dan trik teknis untuk menghindari deteksi dan mengelabui pengguna. Beberapa di antaranya meliputi:

Spoofing email: Membuat email seolah-olah berasal dari domain atau pengirim tepercaya.

Domain serupa: Menggunakan URL yang sangat mirip dengan perusahaan asli (misalnya, "paypa1.com", bukan "paypal.com").

Bahasa yang mendesak: Menciptakan kesan darurat palsu untuk mendorong tindakan tergesa-gesa.

Formulir palsu: Menyematkan formulir langsung ke dalam email atau website untuk menangkap masukan sensitif.

Lampiran berbahaya: Menggunakan dokumen yang berisi malware, seperti ransomware atau keylogger.


Perangkat phishing—alat dan templat yang sudah dikemas—sering kali dijual atau dibagikan di web gelap, sehingga memudahkan penjahat, bahkan yang tidak memiliki pengetahuan teknis, untuk melancarkan serangan.

Contoh Nyata Phishing

Serangan phishing telah menyebabkan beberapa pelanggaran data paling dahsyat dalam beberapa tahun terakhir, seperti:

Google dan Facebook (2013–2015): Seorang peretas Lituania menipu karyawan di kedua perusahaan agar mentransfer lebih dari $100 juta dengan menyamar sebagai vendor perangkat keras melalui email.

Sony Pictures (2014): Email phishing menyebabkan salah satu peretasan terbesar di Hollywood, mengungkap data sensitif, email, dan film yang belum dirilis.

Target (2013): Penyerang menggunakan phishing untuk membahayakan vendor pihak ketiga, yang akhirnya menyebabkan pencurian informasi kartu pembayaran dari lebih dari 40 juta pelanggan.


Insiden-insiden ini menunjukkan bagaimana satu pesan penipuan dapat menyebabkan kerusakan yang sangat besar.

Cara Mengenali Upaya Phishing

Meskipun email phishing semakin meyakinkan, masih ada beberapa tanda bahaya umum yang perlu diperhatikan pengguna, seperti:

Salam umum: "Yang terhormat pengguna", bukan nama asli kita.

Urgensi dan ancaman: Pesan yang mengklaim akun kita akan segera ditangguhkan.

Permintaan yang tidak biasa: Meminta kata sandi, PIN, atau memverifikasi data sensitif melalui email.

Tata bahasa atau ejaan yang buruk: Banyak email phishing berasal dari penutur asing.

Tautan mencurigakan: Mengarahkan kursor ke tautan akan menampilkan URL yang tidak cocok atau menyesatkan.


Jadi, jika ada yang terasa "aneh" pada sebuah pesan—percayalah pada insting Anda.

Melindungi Diri Kita dari Phishing

Mencegah phishing membutuhkan kombinasi kewaspadaan pengguna dan pertahanan teknis. Berikut beberapa langkah yang dapat dilakukan individu dan organisasi:

Menggunakan filter spam: Klien email modern menggunakan pembelajaran mesin untuk mendeteksi dan memblokir upaya phishing.

Memverifikasi pesan yang mencurigakan: Selalu periksa kembali dengan pengirim melalui metode lain jika kita menerima permintaan yang aneh.

Memeriksa URL: Hindari mengklik tautan yang dipersingkat atau tampak mencurigakan.

Mengedukasi karyawan: Bagi organisasi, pelatihan rutin dan simulasi kampanye phishing dapat sangat mengurangi risiko.


Phishing terus berkembang. Dengan munculnya AI dan deepfake, penyerang mungkin akan segera dapat menciptakan upaya phishing yang lebih meyakinkan—seperti panggilan suara realistis atau pesan video yang menyamar sebagai eksekutif. Namun, perangkat pertahanan juga semakin maju. Filter email berbasis AI, perlindungan berbasis peramban, dan intelijen ancaman waktu nyata membantu pengguna dan bisnis tetap selangkah lebih maju. Namun, pertahanan terbaik tetaplah edukasi. Pengguna yang terinformasi dengan baik jauh lebih kecil kemungkinannya untuk tertipu, betapa pun canggihnya umpannya.

Jadi, phishing adalah salah satu ancaman tertua namun paling persisten di dunia siber. Keberhasilannya terletak pada eksploitasi kepercayaan dan urgensi manusia, alih-alih teknologi itu sendiri. Selama masih ada orang yang dapat ditipu, phishing akan tetap menjadi risiko serius. Memahami cara kerja phishing, tetap waspada, dan menerapkan praktik terbaik keamanan dapat sangat membantu dalam melindungi diri Anda dan organisasi Anda agar tidak menjadi korban serangan yang semakin cerdik ini.