Meksipun penipuan phising melalui pesan teks SMS bukanlah yang terbaru tetapi, menjadi jenis ancaman yang mendapatkan daya tarik dari pelaku kriminal siber. Mengapa terhubung dengan Smishing dan sebenarnya apa itu Smishing? Berikut PusatSSL akan menjelaskan definisi, contoh dan tips perlindungan dari Smishing.
Smishing, atau SMS phishing, adalah masalah siber yang berkembang karena semakin banyak orang menggunakan smartphone untuk tetap online dan terhubung dengan internet. GSMA memperkirakan bahwa 5,2 miliar orang secara global menggunakan layanan seluler. Dan itu adalah fakta karena kita sendiri menjadi semakin bergantung pada smartphone, bukan? Orang-orang menggunakan smartphone untuk segala hal mulai dari komunikasi jarak jauh, memesan makanan, aktivitas perbankan atau transaksi online hingga membayar tagihan. Peningkatan konektivitas terhadap internet ini menunjukan bahwa berarti kita sebagai pengguna menjadi lebih mudah dijangkau oleh penjahat dunia maya (dan scam). Faktanya, laporan 2020 Proofpoint; State of the Pish menunjukkan bahwa smishing adalah masalah global dan 84% organisasi menghadapi serangan besar pada 2019.
Tapi, sebenarnya apa sih smishing itu?
Dalam artikel ini kami akan menguraikan apa itu smishing, apa saja karakteristik umum dari penipuan teks atau smishing, apa yang membuatnya sangat berbahaya bagi bisnis dan konsumen. Dan hanya untuk menambahkan data yang akurat, kami punya banyak contoh pesan phishing SMS nyata yang dapat Anda lihat (baik dalam bahasa Inggris dan Indonesia).
Mari kita bahas.
Definisi Smishing : Apa Itu Smishing?
Smishing = Penipuan berbasis pesak teks SMS. Itu karena istilah smishing adalah gabungan dari “pesan teks SMS” dan “phishing”. Jadi, ini berarti bahwa smishing adalah jenis phishing yang terjadi melalui pesan layanan pesan singkat (SMS)– ini merupakan sistem paging dua arah yang digunakan operator untuk mengirimkan pesan). Tujuan dari smishing di sini adalah untuk menipu atau memanipulasi konsumen atau karyawan organisasi dan mengambil keuntungan bahkan mencuri data sensitif milik korban.
Jenis pesan phising ini biasanya melibatkan beberapa jenis tautan dan lampiran yang meminta Anda untuk membukanya. Jika Anda membukanya, Anda akan diarahkan ke browser dan ditampilkan sebuah situs web yang mencoba menginstruksikan Anda untuk memberikan detail email atau informasi rahasia (username, alamat email, password, pin, kode OTP, dll). Atau dengan kata lain mencuri data Anda secara halus dengan manipulasi situs berbahaya oleh penjahat untuk:
- Akses akun pribadi atau terkait pekerjaan Anda.
- Melakukan penipuan identitas.
- Terlibat dalam beberapa jenis aktivitas siber (cyber crime) berbahaya lainnya.
Apakah Smishing Itu Mirip Dengan Phising?
Jawabannya tentu YA! Itu karena smishing adalah bagian dari phishing–atau spesifiknya lagi, merupakan salah satu bentuknya. Sama halnya seperti bagaimana cherry pie yang termasuk salah satu dari banyak jenis pie yang dapat Anda beli di toko.
Phishing sendiri adalah istilah yang cukup luas yang menggambarkan aktivitas penipuan dan kejahatan dunia maya terhadap orang dan bisnis. Selain pesan teks SMS, phishing merupakan sesuatu yang dapat dilakukan melalui berbagai saluran, antara lain:
- Email(seperti: spear phising, whiling, CEO Palsu, pembayaran palsu, business email compromise (BEC), dan lain-lainnya).
- Panggilan telepon(vishing , atau voice phishing).
- Pesan media sosial(biasanya memlalui LinkedIn , Facebook, Twitter dan Instagram).
Jenis Umum Penipuan Phising Berupa SMS
Ingin tahu apa saja penipuan teks smishing yang paling umum? Berikut adalah beberapa jenis umum penipuan phishing SMS yang digunakan penjahat siber saat ini:
- Teks dari bank, perusahaan investasi, dan lembaga keuangan lainnya yang menyatakan ada masalah dengan akun Anda.
- Pesan yang menjanjikan uang, produk, atau layanan gratis.
- Pesan teks dari perusahaan & penyedia layanan yang menyatakan bahwa ada masalah dan Anda perlu memperbarui informasi akun pembayaran Anda.
- Pesan dari berbagai “otoritas tentang pembaruan pelacakan kontak COVID-19dan berbagai sumber terkait pandemi.
Cara Kerja Smishing : Gambaran Umum Proses Phising SMS
Smishing melibatkan penjahat dunia maya yang memiliki target dalam pikiran (atau tidak ada target sama sekali dalam beberapa kasus) dan beberapa teknologi yang ada. Serangan yang lebih bertarget melibatkan penggunaan taktik manipulasi psikologis.
Mari kita uraikan bagaimana serangan smishing sebenarnya terjadi:
- Seorang penjahat dunia maya mengirim pesan teks SMS kepada Anda dari nomor palsu.
- Anda menerima pesan di ponsel Anda yang memunculkan beberapa jenis respons.
- Apa yang Anda lakukan selanjutnya adalah faktor penentu bagaimana segala sesuatunya berjalan. Apakah mengabaikan atau mengikusi instruksi pesan tersebut.
- Anda akan diminta untuk memberikan info yang tidak akan Anda berikan. Anda akan menemukan diri Anda mengunduh sesuatu yang berisi perangkat lunak berbahaya.
Karakteristik Aktivitas Smishing
-
Teks Smishing Mencoba untuk Tampil Seolah-olah Realistis dan Legal
Penjahat yang mengoperasikan aktivitas smishing sebenarnya sangat bertarget atau terspesialisasi, yang mempersulit penerima untuk membedakannya dari pesan yang legal. Keberhasilan pesan teks yang sukses sering kali bermuara pada seberapa realistis pesan yang muncul.
Pieter VanIperen, pendiri dan Mitra Pengelola PWV Consultants , mengatakan bahwa legitimasi adalah kunci untuk jenis upaya phishing ini. Sebagai seorang arsitek perangkat lunak dan veteran pakar keamanan, dia telah melihat banyak korban melalui kliennya selama bertahun-tahun.
-
Isi Pesan Smishing Biasanya Berisi Tautan Yang Mengarah Ke Sebuah Situs Web Yang Ilegal
Seperti jenis phishing lainnya, tujuan teks smishing adalah membuat orang terlibat dengannya. Dengan tujuan agar korban mengeklik tautan yang akan membawa mereka ke situs web yang berbahaya. Kemudian memasukkan informasi sensitif seperti kredensial login mereka, atau mengunjungi situs yang menginstal perangkat lunak berbahaya ke perangkat mereka. Bagaimanapun, hasil akhirnya meneja berita buruk.
Satu catatan singkat, smishing biasanya menggunakan penyingkat tautan URL karena memungkinkan untuk menyamarkan URL berbahaya mereka.
-
Pesan Teks Smishing Menyampaikan Urgensi & Memancing Perhatian Target Mereka
Dengan menyampaikan pesan urgensi atau memunculkan respons emosional lainnya korban, para penjahat sering kali berhasil menghipnotis korban untuk mengklik tautan. Jika sebuah pesan tampak penting–seperti teks dari perusahaan tagihan yang mengatakan bahwa listrik Anda akan dimatikan karena tidak ada pembayaran–orang cenderung tidak mengabaikannya begitu saja, bukan?
-
Smishing Sering Menggunakan Spoofing Nomor Telephone
Seperti yang sekarang Anda pahami, spoofing tidak terbatas hanya pada phishing email. Spoofing juga merupakan alat untuk penipuan panggilan telepon dan pesan teks. Dengan menggunakan aplikasi seluler dan alat online lainnya, smisher dapat mengirim pesan teks phishing jahat mereka kepada orang-orang sambil membuatnya seolah-olah berasal dari nomor telepon orang lain.
Apa yang Membuat Smishing Begitu Berbahaya?
Serangan Yang Mudah dan Hemat Biaya
Mengapa smishing begitu populer di kalangan penjahat dunia maya? Morten Brøgger, CEO dari platform keamanan Wire , menjawab yang berikut:
“Smishing banyak digunakan oleh penjahat dunia maya karena ini adalah salah satu metode serangan dunia maya yang paling mudah, murah, dan efektif. Ia bekerja dengan mengeksploitasi kesalahan manusia, yang merupakan kelemahan keamanan siber terbesar pengguna biasa dan tidak pernah dapat benar-benar dicegah karena semua orang membuat kesalahan. ” – Morten Brøgger
Menargetkan Ponsel yang Memberikan Penjahat Peluang untuk Mencuri Informasi Pribadi Anda dan Menguasai Kunci Akses
Bukan rahasia lagi bahwa orang menggunakan smartphone sebagai alat komunikasi utama mereka. Bahkan hingga aktivitas vital dilakukan melalui smartphone karena kecanggihannya yang memangkas waktu serta tenaga kita.
VanIperen mengatakan inilah yang membuat serangan smishing begitu berdampak.
“Masalahnya terletak pada perangkat seluler yang tidak dilengkapi dengan program antivirus atau antimalware, jadi jika Anda mengeklik tautan yang dikirimkan kepada Anda melalui SMS, Anda membuka pintu bagi pencuri. Mereka dapat mencuri apa saja dari daftar kontak hingga informasi keuangan Anda, melalui malware yang disusup. Semenjak kita menyimpan semuanya di perangkat seluler, penyerang dapat memperoleh akses ke seluruh hidup kita juga. ” – Pieter VanIperen
Smishing Membuat Anda Menyerahkan Informasi Sensitif
Smishing adalah taktik yang digunakan penjahat dunia maya untuk menyusup ke organisasi melalui karyawan mereka. Dalam situasi ini, karyawan menjadi pelaku–baik dengan atau tanpa sepengetahuan mereka–dan dijadikan media antara penjahat dengan perusahaan.
Reuben Yonatan, pendiri dan CEO GetVoIP , menyoroti kekhawatiran ini dalam hal pemerasan dan bentuk pesan teks penipuan CEO:
“Penjahat dunia maya diketahui menggunakan smishing untuk memeras karyawan agar mengungkap rahasia perusahaan. Seorang karyawan akan mendapatkan pesan teks yang mendesak mereka untuk mengungkapkan x, y, z tentang perusahaan.
Alternatifnya, penjahat dunia maya dapat membuat karyawan tersebut mengungkapkan rahasia tanpa disadari. Mereka dapat mengirimkan teks yang meyakinkan dengan berpura-pura menjadi bos. ” – Ruben Yonatan
Smishing Memungkinkan Penjahat Dunia Maya Melewati Mekanisme Keamanan Tradisional
Brøgger mengatakan bahwa smishing memungkinkan penjahat dunia maya melewati banyak mekanisme keamanan yang dimiliki bisnis:
“Smishing dapat menyelundupkan malware berbahaya melalui firewall dan jaringan yang aman dengan menumpang telepon karyawan. Hal ini terutama berkaitan dengan transisi ke pekerjaan remote di mana karyawan berada dalam lingkungan tanpa jaringan, sistem, dan pengingat yang aman untuk memperkuat kepatuhan mereka.” – Morten Brøgger
Smishing Menimbulkan Konsekuensi Hukum dan Keuangan Bagi Konsumen & Bisnis
Kaelum Ross, pendiri What in Tech dan Senior Technical Project Manager di Fujitsu, melihat risiko dalam istilah yang lebih berfokus pada hukum dan kepatuhan:
“Smishing berbahaya bagi konsumen karena tujuan akhir penyerang hampir selalu untuk melihat data sebagai penipuan atau bahkan pemerasan jika data pribadi yang sensitif untuk diketahui.
Risiko yang paling mengkhawatirkan bagi bisnis adalah risiko pelanggaran undang-undang dan perjanjian hukum dengan pelanggan. Pelanggaran semacam itu dapat menyebabkan kerusakan hukum, reputasi, dan finansial yang serius. ” – Kaelum Ross
Smishing Merusak Reputasi dan Bisnis Anda
Masalah serangan smishing tidak berhenti dengan masalah hukum dan keuangan. Anda juga berisiko kehilangan kepercayaan pelanggan terhadap perusahaan atau organisasi Anda.
“Pelanggan mengharapkan organisasi untuk melindungi mereka dari penipuan dan pencurian data. Mereka tidak hanya akan menyalahkan organisasi jika upaya smishing yang sukses merugikan mereka, tetapi juga berusaha untuk menjauhkan diri dari perusahaan. Hilangnya kepercayaan dari pelanggan dapat dengan mudah menghancurkan bisnis Anda. ” – Ruben Yonatan
Bagaimana Tinakan Perlidungan untuk Menghindari Serangan Smishing?
Anda dapat melihat seperti apa ancaman smishing itu, tetapi apa yang dapat Anda lakukan untuk melindungi diri atau organisasi Anda darinya?
Bagaimana Seseorang Dapat Melindungi Perangkat dan Informasinya
- Jangan buka pesan teks dari pengguna yang tidak dikenal. Jika Anda mendapatkan teks dari nomor tak dikenal–terutama yang berisi tautan, jangan buka.
- Jika Anda membuka teks, jangan klik link apa pun. Oke, Anda telah membuka teks dari seseorang yang tidak Anda kenal dan berisi link yang sepertinya dari bank dan tidak yakin apakah bila pesan tersebut sah, jangan klik tautannya. Buka browser dan ketik manual link tersebut pada bilah URL untuk memastikannya.
- Jika Anda mengklik link tersebut, jangan berikan informasi apa pun. Jangan pernah memberikan informasi sensitif apa pun melalui pesan teks (data pribadi, info keuangan, pekerjaan atau kredensial pribadi, dll).
- Jika Anda mengklik link dan memberikan info, ambil tindakan. Cara ini mungkin perlu melibatkan perubahan informasi keamanan akun Anda (khususnya kata sandi), menghubungi bank atau layanan keuangan Anda untuk melaporkan dugaan penipuan atau membatalkan informasi kartu debit/kredit Anda.
- Lihat apakah ponsel Anda memiliki fitur blokir atau filter. Jika perangkat seluler Anda memiliki fitur blokir, tidak perlu berpikir panjang dan langsung saja blokir nomor yang mencurigakan.
- Hubungi penyedia seluler Anda untuk mengetahui apakah mereka memiliki alat atau layanan yang dapat memblokir total. Beberapa perusahaan telepon mungkin menawarkan layanan seperti itu kepada pelanggan mereka untuk membantu Anda memblokir pesan teks SMS dari nomor yang tidak dikenal.
Bagaimana Perusahaan atau Organisasi Dapat Melindungi Pelanggan, IT System, dan Data Mereka
Tentu saja, banyak poin pembicaraan dalam daftar di atas juga berlaku untuk bisnis melalui pelatihan karyawan. Namun berikut beberapa hal lain yang dapat dilakukan bisnis dan organisasi:
- Memberikan pelatihan kesadaran dunia maya kepada semua karyawan. Langkah pertama adalah mendidik pengguna Anda tentang berbagai bahaya siber yang ada. Ini termasuk mendidik tentang phishing, smishing, vishing, dan jenis ancaman dunia maya lainnya.
- Menerapkan kebijakan BYOD. Jika Anda adalah salah satu dari banyak organisasi yang mengizinkan (atau mengharuskan) karyawan Anda menggunakan perangkat pribadi mereka untuk bekerja, maka buat kebijakan yang menguraikan aturan yang harus diikuti karyawan Anda saat menggunakan perangkat pribadi. Ini dapat membantu Anda mengurangi risiko keamanan dengan mengontrol cara karyawan Anda menggunakan perangkat tersebut.
- Gunakan kontrol akses untuk membatasi akses hanya kepada mereka yang membutuhkannya. Anda harus membatasi akses ke situs web, database, jaringan, dan sistem penting lainnya hanya untuk mereka yang membutuhkan akses untuk melakukan pekerjaan mereka. Dengan membatasi akses, Anda mengurangi potensi data exposure jika akun seseorang disusupi melalui upaya smishing atau manipulasi psikologis lainnya.
- Berikan cara bagi pelanggan untuk memberi tahu Anda tentang potensi penipuan. Dalam dunia digital kita, sebagai organisasi selalu merupakan ide yang bagus untuk memberi pelanggan cara untuk melaporkan pesan yang mencurigakan atau dugaan penipuan.
- Beri tahu pelanggan tentang potensi penipuan phishing SMS. Jika Anda menerima kabar bahwa seseorang meniru organisasi Anda, pastikan untuk memberi tahu pelanggan Anda sesegera mungkin melalui email. Pastikan untuk menegaskan kembali bahwa organisasi Anda tidak akan pernah meminta pelanggan untuk memverifikasi informasi akun melalui pesan teks, saluran sosial, atau email.
Cara Melaporkan Serangan Phising SMS dan Penipuan Berbasis Teks
Jika Anda berada di Indonesia, Anda dapat melaporkan kasus ini kepada pihak kepolisian ataupun kementerian KOMINFO.