Media Sosial, Layanan Keuangan, dan E-Dagang Jadi Target Utama ”Phising”
Selama 2018 hingga triwulan I-2023 terdapat 69.117 laporan ”phising” domain .id yang berhasil dikumpulkan melalui dasbor IDADX. Media sosial merupakan target utama, selain layanan keuangan dan e-dagang.
Oleh
MEDIANA
·3 menit baca
Ancaman kejahatan siber berupa pengelabuan untuk mendapatkan informasi sensitif atau phising terus berkembang, baik modus maupun targetnya. Media sosial, layanan keuangan, dan e-dagang menjadi sasaran utama.
Perkembangannya diduga seiring dengan tren kenaikan penetrasi pengguna internet dan transformasi layanan digital yang dilakukan oleh berbagai lembaga. Untuk perkembangan phising, salah satunya bisa dilihat dari Indonesia Anti-Phishing Data Exchange (IDADX) yang dikelola oleh Pengelola Nama Domain Internet Indonesia (PANDI).
IDADX khusus memantau dan menerima laporan phising yang menggunakan dan menyasar domain .id. Sumber laporan phishing tersebut berasal dari keanggotaan IDADX, laporan masyarakat, dan penyedia jasa internet. IDADX juga mengumpulkan data dari APWG atau Anti-Phishing Working Group. IDADX telah menjadi anggota APWG sejak tahun 2021.
Di sela-sela konferensi pers dan buka puasa bersama PANDI, Jumat (14/4/2023) petang, di Jakarta, Deputi Bidang Pengembangan, Riset Terapan, Inovasi, dan Teknik PANDI Muhammad Fauzi mengatakan, selama periode 2018 hingga triwulan I-2023 terdapat 69.117 laporan phising domain .id yang berhasil dikumpulkan melalui dasborIDADX. Pada triwulan I-2023, khususnya, terdapat 26.675 laporan phising, naik 220 persen dibandingkan triwulan IV-2022.
Pada triwulan I-2023, khususnya, terdapat 26.675 laporan phising, naik 220 persen dibandingkan triwulan IV-2022.
Sektor yang paling banyak jadi sasaran phising pada saat itu adalah media sosial, diikuti lembaga keuangan dan e-dagang. Dia menduga, media sosial paling banyak diserang karena pelaku mudah mengambil informasi kredensial. Setelah itu, pelaku akan memakainya untuk tujuan negatif, termasuk memberikan komentar negatif ke akun orang lain.
Wakil Ketua Deputi Pengembangan, Riset Terapan, Inovasi, dan Teknik PANDI Isnawan berpendapat, tidak semua pengguna media sosial memiliki tingkat literasi yang tinggi. Kondisi ini yang dimanfaatkan oleh pelaku phising.
Pelaku menyasar lembaga keuangan karena ingin mendapatkan data user name nasabah, lalu dipakai untuk mengakses rekening dan memperoleh uang. Sementara phising terhadap e-dagang bertujuan untuk penyalahgunaan belanja.
Fauzi juga menyampaikan, saat ini ancaman phishing harus lebih diwaspadai karena banyak nama domain phishing yang menggunakan protokol HTTPS. HTTPS selama ini dipakai sebagai komunikasi yang aman.
”Pelaku phishing dapat mengelabui korban dengan menggunakan protokol HTTPS agar masyarakat percaya bahwa domain tersebut tepercaya dan aman untuk diakses. Pada triwulan I-2023 terdapat 99 persen domain phishing menggunakan protokol HTPPS,” imbuh Fauzi.
Ketua Umum PANDI Yudho Giri Sucahyo, yang hadir bersamaan, menyampaikan, fenomena phising tidak hanya terjadi melalui domain .id, tetapi juga memakai domain lain, misalnya domain .com.
Modus baru phising juga terus bermunculan, mulai dari memakai berbagi hyperlink dan .apk. Beberapa waktu lalu beredar viral phising undangan pernikahan yang ternyata pelakunya memakai .apk. Tidak lama kemudian viral modus phising yang seolah-olah warga menjadi korban tilang kepolisian. Yudho mengatakan, pihak Polri sempat menyebut bahwa viral ini menyebabkan kerugian Rp 12 miliar.
”Laporan phising melalui IDADX yang sebanyak 69.117 selama 2018-triwulan I-2023 termasuk besar. Besarnya laporan phising juga seiring tren kenaikan pengguna internet dan pemakai domain .id secara khusus. Kenaikan keduanya berarti risiko kejahatan siber turut naik,” kata Yudho.
Besarnya laporan phising juga seiring tren kenaikan pengguna internet dan pemakai domain .id secara khusus. Kenaikan keduanya berarti risiko kejahatan siber turut naik.
Jumlah pengguna domain .id saat ini sekitar 700.000 pengguna. Empat tahun lalu, jumlahnya hanya 300.000 pengguna. Untuk mengatasi permasalahan phising, PANDI mengupayakan sosialisasi literasi digital sampai ke komunitas guru dan murid.
Chairman Indonesia Cyber Security Forum (ICSF) Ardi Sutedja, saat dihubungi pada Sabtu (15/4/2023), di Jakarta, menjelaskan, phising merupakan bagian dari praktik social engineering atau rekayasa sosial, sebuah teknik manipulasi yang memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data berharga. Praktik rekayasa sosial sudah bertahun-tahun terjadi sehingga berbagai laporan mengatakan fenomena phising bukan sesuatu yang baru.
Kendati jumlah pengguna internet naik dan sejumlah lembaga swasta ataupun pemerintah melakukan transformasi digital, dia menilai hal itu tidak diikuti dengan tingkat literasi digital yang tinggi. Belum banyak warga dan pemerintah membahas risiko yang timbul dari ancaman kejahatan siber.
”Phising merupakan pintu masuk ke bentuk kejahatan lain. Sayangnya, diskusi- diskusi phising cenderung membahas hal yang ’kelihatan’, belum sampai menyoal bahwa phising telah berkembang pesat membentuk rantai pasok. Pelakunya bisa saja berjejaring, mengerti data, profiling, mengolahnya, dan melakukan aksi jual-beli yang berpotensi bukan hanya sekadar sebagai aksi kriminal biasa,” ujar Ardi.