3.1. Pengertian Phising
Phising adalah singkatan dari Password Harvesting Phising yang artinya adalah tindakan memancing dengan tujuan untuk mengumpulkan password. Bentuk penipuan melalui phising, baik untuk mendapatkan informasi yang sensitif seperti password, nomor kartu kredit dan lain-lain atau menggiring orang untuk melakukan download file palsu yang berisi virus dengan menyamar sebagai orang atau lembaga bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti email atau pesan singkat lainnya.
Phishing yaitu aktivitas seseorang untuk mendapatkan informasi rahasia user dengan cara menggunakan email dan situs web yang menyerupai aslinya atau resmi. Informasi rahasia yang diminta biasanya berupa password account atau nomor kartu kredit,SSN, detail pembayaran dll.
Phisher adala pelaku dari phishing. Phisher kadang dapat menggunakan email,banner atau popup window untuk menipu user ke suatu situs web palsu, dimana disana user diminta untuk memberikan informasi pribadinya.
Target phishing adalah kecerobohan dan ketidaktelitian para pengguna jasa situs-situs jual-beli online, internet banking, online shopping dan sejenisnya yang melibatkan transaksi secara online melalui situs internet atau layanan telepon selular.
3.2. Teknik Phising
Teknik umum pishing yang sering digunakan adalah:
1. Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan user sehingga user terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; facebook, yahoo, bank atau penerbit lainnya. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit
·Membuat situs palsu yang sama persis dengan situs resmi atau pelaku phising mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
· Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.
3.3. Contoh Kasus
1. Phising Pada E-Banking BCA
Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet banking milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama Steven Haryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika, melainkan Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah mengetikkan alamat website. Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA.
Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA, www.klikbca.com, seperti:
1. wwwklikbca.com
2. kilkbca.com
3. clikbca.com
4. klickbca.com
5. klikbac.com
Orang tidak akan sadar bahwa dirinya telah menggunakan situs aspal tersebut karena tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu mendapatkan User ID dan password dari pengguna yang memasuki situs aspal tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan kriminal seperti mencuri dana nasabah. Hal ini murni dilakukan atas keingintahuannya mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut.
Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu system milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebut sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa besar tingkat keamanan yang dimiliki oleh situs internet banking Bank BCA.
Disebut white-hat hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun tindakan yang dilakukan oleh Steven, juga termasuk black-hat hacker karena membuat situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain scans, sniffer, dan password crackers.
Karena perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia telah mengganggu suatu system milik orang lain, yang dilindungi privasinya dan pemalsuan situs internet bangking palsu. Maka perkara ini bisa dikategorikan sebagai perkara perdata. Melakukan kasus pembobolan bank serta telah mengganggu suatu system milik orang lain, dan mengambil data pihak orang lain yang dilindungi privasinya artinya mengganggu privasi orang lain dan dengan diam-diam mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu.
2. Email Phishing Menggunakan Nama Citibank
Belakangan ini, phishing banyak dilakukan dengan menggunakan nama Citibank. Seiring dengan kegiatan kriminal tersebut, Citibank di seluruh dunia memberikan edaran dan pemberitahuan kepada seluruh nasabahnya, termasuk Citibank Indonesia. Sebagian informasi berikut diambil dari edaran dari Citibank Indonesia, agar seluruh nasabah dapat lebih waspada terhadap kegiatan phishing.
Contoh phishing email dan cara mengenalinya
 |
| Email Fishing Citibank |
Cara Mengenalinya
1. Phishing e-mail biasanya dikirim secara acak ke banyak orang sekaligus, jadi biasanya tidak mencantumkan nama Anda secara spesifik.
2. E-mail tersebut biasanya meminta Anda untuk memperbaharui informasi pribadi atau mengkonfirmasi status rekening Anda.
3. Bisa juga e-mail tersebut memperingatkan bahwa rekening Anda akan ditutup bila tidak segera melakukan hal yang diminta.
4. Umumnya tercantum alamat URL ke website palsu
contoh website palsu yang menggunakan nama Citibank
1. Phishing e-mail biasanya dikirim secara acak ke banyak orang sekaligus, jadi biasanya tidak mencantumkan nama Anda secara spesifik.
2. E-mail tersebut biasanya meminta Anda untuk memperbaharui informasi pribadi atau mengkonfirmasi status rekening Anda.
3. Bisa juga e-mail tersebut memperingatkan bahwa rekening Anda akan ditutup bila tidak segera melakukan hal yang diminta.
4. Umumnya tercantum alamat URL ke website palsu
contoh website palsu yang menggunakan nama Citibank
 |
| Contoh Website Palsu Citibank |
3.4. Cara Mencegah Phising
1. Berhati-hati dan tidak sembarangan memberikan data pribadi di Internet terutama data keuangan seperti nomor account di bank, nomor kartu kredit, account internet banking dan password.
2. Email dari phisher ini umumnya tidak di personalized sementara kalau email yang legal (valid) umumnya lebih personal.
3. Selalu berprasangka curiga dengan email yang intinya berisi permintaan penting atau urgen untuk informasi atau data keuangan pribadi. Pada phisher (orang yang melakukan phishing) umumnya memasukkan unsur yang mengasyikkan lewat kalimat-kalimat dalam emailnya sehingga menarik orang untuk bertindak atau me-respon secepatnya begitu dia membaca email tersebut.
4. Jika anda menerima email semacam ini yang meminta data pribadi terutama data finansial, telpon ke perusahaan yang bersangkutan untuk konfirmasi atau masuk ke situs tersebut secara langsung tanpa melalui link yang disediakan di email.
5. Selalu menggunakan situs yang aman (secure) ketika memberikan informasi atau data financial melalui web browser. Situs yang secure biasanya mengunakan SSL (enkripsi) dan selalu mulai dengan https:// dan bukan http://
6. Log-on secara rutin ke situs online-account anda dan cek datanya misalnya data transaksi kredit maupun debet untuk memastikan bahwa data transaksi itu benar.
7. Pastikan bahwa web browser yang digunakan selalu ter up to date dengan patch terbaru.
8. Pertimbangkan untuk menggunakan atau meng-install web browser tool-bar untuk membantu memproteksi terhadap situs-situs phishing.
9. Sebelum memasukkan informasi yang sifatnya personal seperti informasi finansial kita. Kartu kredit dan sebagainya. Ada baiknya lakukan klarifikasi terlebih dahulu. Misalnya situs visa menyatakan bahwa mereka tidak pernah mengirimkan email, untuk meminta update informasi atau klarifikasi. Informasi detilnya bisa lihat di www.corporate.visa.com.
10. Gunakan atau implementasi Anti-Spam, karena umumnya email yang berisikan phishing bersumber dari alamat IP yang termasuk dalam kategori RBL (Real-Time Blackhole Lists). Artinya alamat IP yang terdaftar di RBL merupakan sumber spam. RBL di-develop oleh MAPS LLC, alamat webnya adalah
www.mail-abuse.com.
3.5. Undang-undang Hukum Tentang Phising
Adapun undang-undang yang akan dilimpahkan kepada pelanggar kasus Phising adalah sebagai berikut :
1. Pasal 30
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.
2. Pasal 35
Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan, informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap seolah-olah data otentik.
3. Pasal 46
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp.600.000.000,00 (enam ratus juta rupiah). Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp.700.000.000,00 (tujuh ratus juta rupiah). Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp.800.000.000,00 (delapan ratus juta rupiah).
4. Pasal 51
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah)
0 komentar:
Posting Komentar