MAKALAH KEAMANAN KOMPUTER PHISING. Oleh : ARIS WINANDI ( ) 2011 E

Transkripsi

1 MAKALAH KEAMANAN KOMPUTER PHISING Oleh : ARIS WINANDI ( ) 2011 E PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNIK UNIVERSITAS PGRI RONGGOLAWE TUBAN

2 BAB I PENDAHULUAN 1.1 Latar Belakang Pada saat ini perkembangan Ilmu Pengetahuan dan Teknologi (IPTEK) yang cukup pesat sudah menjadi realita sehari-hari bahkan merupakan tuntutan masyarakat yang tidak dapat ditawar lagi. Tujuan utama perkembangan iptek adalah perubahan kehidupan masa depan manusia yang lebih baik, mudah, murah, cepat dan aman. Perkembangan iptek, terutama teknologi informasi (Information Technology) seperti internet berkembang begitu pesatnya. Hampir semua bidang kehidupan memanfaatkan teknologi informasi dalam menjalankan aktifitasnya. Mulai dari bidang ekonomi, pendidikan, kesehatan, pemerintahan, perbankan, agama dan juga sistem pertahanan dan keamanan suatu Negara. Dengan kemajuan teknologi informasi yang serba digital membawa orang ke dunia bisnis yang revolusioner (digital revolution era) karena dirasakan lebih mudah, murah, praktis dan dinamis berkomunikasi dan memperoleh informasi. Akan tetapi di balik manfaat-manfaat itu semua, terkadang ada beberapa pihak tertentu yang menyalahgunakan penggunaan teknologi informasi dan komunikasi (TIK) khususnya internet ini. Mereka sengaja masuk kedalam web suatu instansi/lembaga tertentu kemudian melakukan kejahatan didalamnya baik itu mencuri data ataupun mengacaukan data, bahkan tidak sedikit mencuri uang melalui internet seperti pembobolan nomor pin ATM. Kejahatan-kejahatan seperti inilah yang disebut sebagai Cybercrime. Masalah kejahatan dunia maya dewasa ini sepatutnya mendapat perhatian semua pihak secara seksama pada perkembangan teknologi informasi masa depan, karena kejahatan ini 2

3 termasuk salah satu extra ordinary crime (kejahatan luar biasa) bahkan dirasakan pula sebagai serious crime (kejahatan serius) dan transnational crime (kejahatan antar negara) yang selalu mengancam kehidupan warga masyarakat bangsa dan Negara berdaulat. Banyak jenis dan ragam cybercrime salah satunya phising. Phising merupakan cara untuk mencoba mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Komunikasi yang mengaku berasal dari populer situs web sosial, situs lelang, prosesor pembayaran online atau IT administrator biasanya digunakan untuk memikat publik tidak curiga. 1.2 Rumusan Masalah Adapun rumusan masalah dari makalah ini adalah : 1. Apa itu phising. 2. Apa saja bentuk teknik phising dan bagaimana cara kerjanya. 3. Apa saja contoh kasus phising. 4. Bagaimana cara menghindari dan melawan phising. 1.3 Tujuan 1. Untuk mengetahui pengertian phising. 2. Untuk mengetahui bentuk-bentuk dari teknik phising dan cara kerjanya. 3. Untuk mengetahui contoh-contoh kasus phising. 4. Untuk mengetahui cara menghindari dan melawan phisisng serta mampu menganalisa suatu sistim yang terjadi baik dari segi bentuk dari suatu situs 3

4 ataupun dari atau pengisian suatu form dengan alamat apapun yang tidak jelas keaslian dari situs tersebut, sehingga seorang phissers mempunyai kesempatan untuk memperdaya suatu form yang telah diisi. 1.4 Ruang Lingkup Dalam penyusunan makalah ini, penulis hanya memfokuskan pada kasus Phising yang merupakan salah satu tindak kejahatan yang dilakukan didunia maya dan pelanggaran hukum pada dunia maya. 1.5 Sistematika Penulisan Sistematika penulisan diuraikan dalam beberapa bab yang akan dibahas sebagai berikut. BAB I : PENDAHULUAN Bab ini berisi tentang latar belakang, rumusan masalah, tujuan penulisan, ruang lingkup, dan sistematika penulisan. BAB II : PEMBAHASAN Bab ini berisikan pembahasan yang menyangkut tentang phising, bentuk teknik phising dan cara kerja phising, contoh-contoh kasus phising, serta cara menghindari dan melawan phising. BAB III : PENUTUP Bab ini berisikan kesimpulan dari bab-bab sebelumnya, sehingga dari kesimpulan tersebut penulis mencoba memberi saran yang berguna untuk melengkapi dan menyempurnakan dari pembahasan tentang materi tersebut. 4

5 BAB II PEMBAHASAN 2.1 Pengertian Phising Menurut wikipedia phising itu adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi rahasia, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan. Jadi Phising atau Fake Login adalah cara mencoba untuk mendapatkan informasi seperti username, password, dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Sebagian besar metode phishing menggunakan beberapa bentuk penipuan teknis yang dirancang untuk membuat link dalam sebuah (dan situs web palsu itu mengarah) tampaknya milik organisasi palsu. Dalam dunia komputer pengelabuan dalam bahasa Ingrisnya phishing adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan data profil penting, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan istan. Istilah phishing dalam bahasa Inggris berasal dari kata fishing ( memancing ), dalam hal ini berarti memancing informasi data profil dan kata sandi pengguna. Metode ini sering kita jumpai di situs jejaring sosial seperti Facebook, friendster, yahoo messenger, dan lain-lainya. Jadi berhati hatilah karena cara hack facebook dengan 5

6 metode phising atau fake login sangat sulit untuk di cegah oleh pihak penyedia layanan dan bisa menyerang pengguna internet siapa saja karena sangat mudahnya dalam membuat phising dan hampir tidak memerlukan tehnik yang khusus. 2.2 Teknik Phising / Spam : Phisher akan mengirim yang sama ke jutaan pengguna, meminta mereka untuk mengisi informasi pribadi. Rincian ini akan digunakan oleh phisher untuk kegiatan ilegal mereka. Phising dengan dan spam adalah Phising scam yang sangat umum.sebagian besar pesan memiliki catatan yang mendesak yang mengharuskan pengguna untuk memasukkan kredensial untuk memperbarui informasi account, rincian perubahan, dan memverifikasi account. Kadang-kadang, mereka mungkin akan diminta untuk mengisi formulir untuk mengakses layanan baru melalui link yang disediakan dalam . Pengiriman Berbasis Web : Web berbasis pengiriman adalah salah satu teknik Phising yang paling canggih. Juga dikenal sebagai man-in-the-middle, hacker terletak di antara situs web asli dan sistem Phising.Phisher Jejak rincian selama transaksi antara situs yang sah dan pengguna. Sebagai pengguna terus menyampaikan informasi, itu dikumpulkan oleh phisher, tanpa pengguna mengetahui tentang hal itu. Pesan Instan : Olah pesan cepat adalah metode di mana pengguna menerima pesan dengan link yang mengarahkan mereka ke situs web Phising palsu yang memiliki tampilan yang sama dan merasa sebagai situs yang sah. Jika pengguna tidak melihat URL, mungkin sulit untuk membedakan antara situs palsu dan sah. Kemudian, pengguna diminta untuk memberikan informasi pribadi pada halaman. 6

7 Trojan Hosts : Trojan Hosts, hacker terlihat mencoba untuk login ke account pengguna Anda untuk mengumpulkan kredensial melalui mesin lokal. Informasi yang diperoleh kemudian dikirim ke phisher. Manipulasi Tautan : Manipulasi link adalah teknik di mana phisher mengirimkan link ke sebuah website. Bila pengguna mengklik pada link menipu, itu membuka website phisher, bukan dari situs yang disebutkan di link. Salah satu anti-phising teknik yang digunakan untuk mencegah manipulasi link adalah untuk memindahkan mouse ke link untuk melihat alamat yang sebenarnya. Key logger : Key logger mengacu pada malware yang digunakan untuk mengidentifikasi input dari keyboard. Informasi ini dikirim ke hacker yang akan memecahkan password dan jenis-jenis informasi. Untuk mencegah Key logger dari mengakses informasi pribadi, situs web aman memberikan pilihan untuk menggunakan klik mouse untuk membuat entri melalui keyboard virtual. Session Hacking : Dalam Session Hacking, phisher memanfaatkan sesi web mekanisme kontrol untuk mencuri informasi dari pengguna. Dalam prosedur sesi sederhana hacker dikenal sebagai sesi mengendus, phisher dapat menggunakan sniffer untuk mencegat informasi yang relevan sehingga ia dapat mengakses server Web secara ilegal. 7

8 Sistem rekonfigurasi : Phisher akan mengirim pesan dimana pengguna diminta untuk mengkonfigurasi ulang setting dari komputer. Pesan tersebut mungkin berasal dari alamat web yang menyerupai sumber yang dapat dipercaya. Konten Injeksi : Injeksi Konten adalah teknik di mana phisher mengubah bagian dari konten pada halaman situs diandalkan. Hal ini dilakukan untuk menyesatkan pengguna untuk pergi ke halaman luar situs yang sah di mana pengguna diminta untuk memasukkan informasi pribadi. Phising melalui Search Engine : Beberapa penipuan Phising melibatkan mesin pencari mana pengguna akan diarahkan ke situs produk yang dapat menawarkan produk dengan biaya rendah atau jasa. Ketika pengguna mencoba untuk membeli produk dengan memasukkan rincian kartu kredit, itu dikumpulkan oleh situs Phising. Ada banyak situs bank palsu yang menawarkan kartu kredit atau pinjaman kepada pengguna pada tingkat yang rendah tetapi mereka sebenarnya situs Phising. Phone Phising : Dalam Phone Phising, phisher membuat panggilan telepon ke pengguna dan meminta user untuk dial nomor. Tujuannya adalah untuk mendapatkan informasi pribadi dari account bank melalui telepon. Telepon Phising banyak dilakukan dengan caller ID palsu. Malware Phising : 8

9 Penipuan Phising melibatkan malware memerlukannya untuk dijalankan pada komputer pengguna. Malware ini biasanya melekat pada yang dikirimkan kepada pengguna oleh phisher. Setelah Anda klik pada link, malware akan mulai berfungsi. Kadang-kadang, malware juga dapat disertakan pada file download. Phisher mengambil keuntungan dari kerentanan keamanan web untuk mendapatkan informasi sensitif yang digunakan untuk tujuan penipuan. Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut: Penggunaan alamat palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit Membuat situs palsu yang sama persis dengan situs resmi atau pelaku phishing mengirimkan yang berisikan link ke situs palsu tersebut. Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada yang dikirim. Berikut adalah beberapa frase mungkin Anda temui di phishing : Verifikasi account Anda. situs yang sah tidak akan pernah meminta Anda untuk mengirim password atau informasi pribadi lainnya melalui . Jika Anda tidak merespon dalam waktu 48 jam, account Anda akan ditutup. 9

10 Pesan ini menyampaikan rasa urgensi sehingga Anda akan merespons dengan cepat tanpa berpikir. Pelanggan Yang Terhormat. Phishing biasanya dikirim dalam andoften massal tidak mengandung nama pertama atau terakhir. 2.3 Contoh Kasus Phising Salah satu contoh kasus phishing di Indonesia dialami oleh pelanggan / pengguna situs internet banking milik Bank BCA yaitu klikbca.com. Pada saat itu tahun 2001, ada situs internet palsu yang sangat mirip penulisannya dengan situs klikbca.com, yaitu kilkbca.com. Sekilas, calon korban tidak akan sadar bahwa salah tulis satu huruf saja akibatnya sangat fatal, yang akibatnya banyak pengguna internet banking Bank BCA memasukkan username, password dan nomor pin kedalam situs yang bukan seharusnya. Anda pasti tahu apa yang terjadi berikutnya, yaitu si pemilik situs palsu dengan leluasa menggunakan identitas korban untuk masuk ke situs klikbca yang sebenarnya dan mentransfer seluruh uang korban ke rekening miliknya. Kunci utama keberhasilan kejadian ini adalah tampilan situs asli dan yang palsu persis sama, sehingga korban tidak akan sadar sama sekali. Contoh lain terjadi pada pelanggan internet banking milik Westpac Banking Corporation, sebuah bank senior di Australia. Modusnya adalah mengirimkan spam yang berisi seakan-akan situs internet banking mereka akan melakukan upgrade software sistem, sehingga calon korban diminta meng-klik link yang tersedia dalam tersebut dengan dalih mempermudah akses agar tidak perlu mengetik sendiri alamat yang harus dituju. User yang ceroboh tentunya akan langsung klik saja link yang disediakan, padahal secara tidak sadar link itu tidaklah menuju situs yang 10

11 dibicarakan, melainkan ke situs jebakan milik penjebak, hanya saja tampilannya situs palsu itu sangat mirip dengan yang asli. Tidak hanya di internet, phishing juga bisa berlaku dalam dunia jaringan komunikasi seluler, modusnya kebanyakan adalah mengenai pembelian voucher prabayar, tapi ada juga yang menggunakan kebohongan bahwa calon korban mendapatkan hadiah undian melalui SMS. 2.4 Mencegah dan Melawan Phising Berikut adalah beberapa tips yang bisa dijadikan sebagai pedoman untuk menghindari atau mencegah phishing ini : 1. Ceklah dengan teliti URL atau address yang sedang Anda tuju, pastikan bahwa alamat yang tertera di Address bar adalah benar bahwa alamat tersebut adalah alamat yang Anda tuju. 2. Biasakan mengetik URL atau alamat situs yang Anda tuju, hindari link dari Web yang Anda rasa mencurigakan. 3. Gantilah password Anda secara berkala, baik 1 minggu, 2 minggu, 1 bulan atau pada periode tertentu, hal ini bermanfaat agar password Anda sulit dilacak. 1. Jangan pernah membalas yang mencurigakan apalagi memasukkan sandi pada situs yang mencurigakan atau tidak anda percayai serta mengirimkan password dan data pribadi penting anda melalui . Situs atau bisnis yang sah umumnya tidak akan meminta informasi melalui Jika anda menerima permintaan informasi sensitif, buka jendela browser baru dan pergi kesitus organisasi dengan mengetik alamat website organisasi untuk meyakinkan bahwa anda sedang berhadapan dengan situs organisasi real dan 11

12 bukan dengan website phiser. Jika ada sesuatu yang diperlukan dari anda, biasanya ada pemberitahuan disitus organisasi ini atau jika anda tidak yakin dengan permintaan ini sebaiknya menghubungi situs organisasi tersebut untuk bertanya. 3. Jangan pernah membuka situs yang mencurigakan atau tidak anda percayai. Periksa URL untuk memastikan halaman sebenarnya adalah bagian dari situs organisasi dan bukan halaman penipuan pada domain yang berbeda seperti mybankk.com atau g00gle.com 4. Berhati-hati terhadap tawaran yang fantastis yang tampaknya terlalu mudah untuk menjadi kenyataan, ini mungkin PHISER. 5. Gunakan browser yang memiliki filter phising yang akan membantu anda mengetahui serangan phising potensial. Alamat situs yang aman dimulai dengan dan menampilkan icon Gembok terkunci diperamban anda Cara yang paling populer untuk melawan serangan phishing adalah dengan mengikuti perkembangan situs-situs yang dianggap sebagai situs phishing. Berikut ini adalah beberapa extensions Firefox yang bisa digunakan untuk melawan serangan phishing : PhishTank SiteChecker SiteChecker memblokir semua situs phishing berdasarkan data dari Komunitas PhishTank. Ketika Anda mengunjungi situs yang dianggap situs phishing oleh PhishTank, maka akan muncul halaman blocking. Google Safe Browsing 12

13 Google Safe Browsing memberikan peringatan kepada Anda jika suatu halaman situs mencoba untuk mengambil data pribadi atau informasi rekening Anda. Dengan menggabungkan kombinasi algoritma dengan data-data tentang situs-situs palsu dari berbagai sumber, maka Google Safe Browsing dapat secara otomatis mengenali jika Anda mengunjungi situs phishing yang mencoba mengelabui seperti layaknya situs asli. WOT WOT membantu Anda mengenali situs-situs phishing dengan memperlihatkan reputasi situs tersebut pada browser Anda. Dengan mengetahui reputasi suatu situs, diharapkan Anda akan semakin mudah menghindari situs-situs phishing. Reputasi suatu situs diambil berdasarkan testimoni dari komunitas WOT. Verisign EV Green Bar Ekstensi ini menambahkan validitasi certificate pada browser Anda. Ketika Anda mengakses situs secure, maka address bar akan berubah warna menjadi hijau dan menampilkan pemilik dan otoritas sertifikat. Ekstensi ini berguna untuk mengenali situs-situs palsu. ITrustPage itrustpage mencegah pengguna internet mengisi form pada suatu situs palsu. Ketika mengunjungi situs yang terdapat halaman form, itrustpage menghitung nilai dari TrustScore halaman form tersebut, untuk mengetahui apakah situs tersebut dapat dipercaya atau tidak. Finjan SecureBrowsing 13

14 Finjan SecureBrowsing meneliti link pada hasil pencarian Anda dan memberi peringatan kepada Anda mengenai link-link yang berpotensi sebagai link phishing. Finjan akan mencoba mendeteksi kode berbahaya dan script-script berbahaya. Setelah itu akan diberi tanda hijau untuk yang aman dan merah untuk link yang berbahaya. FirePhish FirePhish memperingatkan Anda ketika Anda mengunjungi situs yang dianggap situs phishing atau yang terdapat script dan kode yang mencurigakan. CallingID Link Advisor CallingID Link Advisor memverifikasi apakah suatu link yang Anda lihat aman atau tidak sebelum Anda membukanya. Ketika mouse Anda berada pada link tersebut maka akan muncul keterangan mengenai detil link tersebut sehingga memudahkan Anda untuk mengenali apakah situs tersebut layak untuk dipercaya. SpoofStick SpoofStick memudahkan Anda mengetahui apakah situs tersebut situs palsu dengan memperlihatkan hanya informasi domain yang valid dan relevan. TrustBar TrustBar memberikan kemudahan kepada user untuk memberi nama atau logo pada suatu situs. Sehingga memudahkan untuk mengetahui apakah situs tersebut palsu, atau situs kloning. 14

15 BAB III PENUTUP 3.1 Kesimpulan 1. Phishing adalah tindakan memperoleh informasi pribadi seperti User ID, Password dan data-data sensitif lainnya dengan menyamar sebagai orang atau organisasi yang berwenang melalui sebuah Kebanyakan dari teknik phising adalah melakukan manipulasi sebuah link di dalam yang akan dikirimkan ke korbannya. Dengan adanya , praktek phising terbilang mudah hanya dengan melakukan spam pada dan kemudian menunggu korbannya untuk masuk kedalam tipuannya. 3. Penggunaan alamat palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit. 15

16 4. Tidak hanya di internet, phishing juga bisa berlaku dalam dunia jaringan komunikasi seluler, modusnya kebanyakan adalah mengenai pembelian voucher prabayar, tapi ada juga yang menggunakan kebohongan bahwa calon korban mendapatkan hadiah undian melalui SMS. 5. Phisher mengambil keuntungan dari kerentanan keamanan web untuk mendapatkan informasi sensitif yang digunakan untuk tujuan penipuan. 6. Beberapa extensions Firefox yang bisa digunakan untuk melawan serangan phishing : PhishTank SiteChecker, Google Safe Browsing, WOT, Verisign EV Green Bar, ITrustPage, Finjan SecureBrowsing, FirePhish, CallingID Link Advisor, SpoofStick, dan TrustBar. 3.2 Saran 1. Pemerintah diharapkan lebih menindak lanjuti mengenai kejahatan dunia maya (cybercrime) termasuk phising. 2. Kepada pihak yang lebih mengerti atau menguasai sistem keamanan internet untuk lebih mengoptimalkan pengamanan data-data sehingga dapat meminimalisir tindak kejahatan dunia maya. 3. Untuk menangani dan menghindari cybercrime dibutuhkan kerjasama individual, pemerintah dan masyarakat bahkan kerjasama antar negara-negara di dunia. 4. Untuk menghindari dari kasus phising para pengguna internet khusunya e- commerce untuk lebih berhati-hati saat login. 5. Melakukan verifikasi account dengan hati-hati dan mengganti username atau password secara berkala. 16

17 6. Dengan banyaknya kasus phising, metode tambahan atau perlindungan sangat dibutuhkan. Upaya-upaya itu termasuk pembuatan undang undang, pelatihan pengguna, dan langkah-langkah teknis agar terhindar dari serangan phising. DAFTAR PUSTAKA

18