Apa itu phishing – Phishing adalah teknik yang digunakan oleh penjenayah siber untuk menipu mangsa dengan cara mendapatkan maklumat sensitif seperti kata laluan, maklumat akaun bank, atau data peribadi lain.
Biasanya, serangan phishing menggunakan e-mel, mesej teks, atau laman web palsu yang kelihatan rasmi untuk mempengaruhi mangsa agar memberikan maklumat mereka.
Apa Itu Phishing?
Phishing merupakan jenis penipuan dalam talian yang melibatkan usaha penjenayah siber untuk memperoleh maklumat sensitif daripada mangsa, seperti nama pengguna, kata laluan, butiran kad kredit, atau maklumat perbankan.
Istilah “phishing” diambil daripada perkataan “fishing” (memancing), kerana penjenayah siber “memancing” mangsa dengan umpan berupa mesej atau laman web yang tampak sah untuk “menangkap” maklumat peribadi mereka.
Apa Tujuan Ancaman Phishing?
Tujuan utama phishing adalah untuk mencuri identiti atau wang daripada mangsa. Dengan maklumat yang diperoleh melalui phishing, penjenayah siber boleh mengakses akaun kewangan mangsa, membuat pembelian yang tidak sah, atau terlibat dalam jenayah kecurian identiti lain.
Phishing menggunakan teknik manipulasi psikologi dan kejuruteraan sosial untuk menipu mangsa. Serangan ini sering memanfaatkan emosi seperti ketakutan, urgensi, atau rasa ingin tahu mangsa, mendorong mereka bertindak dengan cepat tanpa berfikir dengan teliti.
Contohnya, mesej phishing mungkin mengandungi dakwaan bahawa akaun mangsa telah disusupi dan meminta mereka “mengesahkan” butiran mereka segera untuk mengelakkan kehilangan akses.
Untuk melindungi diri, adalah penting untuk berhati-hati, seperti tidak mengklik pautan atau membuka lampiran daripada sumber yang tidak dikenali, serta sentiasa memeriksa kesahihan komunikasi sebelum memberikan maklumat sensitif.
Apa Contoh Serangan Phishing?
Contoh serangan phishing yang umum melibatkan penjenayah siber yang menghantar e-mel, mesej teks, atau mesej segera yang kelihatan seperti berasal dari sumber yang sah, seperti bank, syarikat kad kredit, atau laman web terkenal.
Mesej ini biasanya mengandungi pautan ke laman web palsu yang direka supaya menyerupai laman web asli. Apabila mangsa memasukkan maklumat sensitif mereka di laman web palsu ini, penjenayah akan mengumpul data tersebut untuk tujuan penipuan atau kecurian identiti.
Jenis-Jenis Phishing
Terdapat beberapa jenis serangan phishing yang sering berlaku. Antaranya ialah:
Phishing E-mel
Ini adalah jenis phishing yang paling umum. Penjenayah siber menghantar e-mel yang kelihatan sah, sering kali berpura-pura menjadi organisasi yang dipercayai seperti bank atau syarikat kad kredit. E-mel tersebut biasanya mengandungi pautan ke laman web palsu yang meminta mangsa memasukkan maklumat sensitif.
Spear Phishing
Ini adalah bentuk phishing yang lebih terarah, di mana penjenayah siber menyasarkan individu atau organisasi tertentu. Mereka menggunakan maklumat khusus yang dikumpulkan tentang sasaran, seperti nama, jawatan, atau minat peribadi, untuk menjadikan e-mel lebih kelihatan sah.
Whaling
Jenis spear phishing ini mensasarkan eksekutif atasan atau individu berkuasa tinggi dalam sesebuah organisasi. Tujuannya adalah untuk menipu mangsa agar memindahkan wang atau mendedahkan maklumat sensitif.
Smishing
Ini melibatkan phishing melalui mesej teks (SMS). Penjenayah siber menghantar mesej teks yang kelihatan sah, sering kali berpura-pura menjadi bank atau penyedia perkhidmatan, dengan pautan ke laman web palsu.
Vishing
Jenis phishing ini berlaku melalui panggilan suara. Penjenayah siber menghubungi mangsa dan berpura-pura menjadi wakil dari organisasi yang sah, cuba menipu mereka agar mendedahkan maklumat sensitif melalui perbualan telefon.
Cara Kerja Phishing
Penyerang phishing biasanya menggunakan beberapa kaedah berikut:
a. Phishing melalui E-mel:
Penyerang menghantar e-mel yang kelihatan sah, sering kali dengan pautan atau lampiran yang mengarahkan kepada laman web palsu yang menyerupai institusi atau perkhidmatan yang dikenali oleh mangsa.
b. Phishing melalui SMS (Smishing):
Penyerang menghantar mesej teks yang mengandungi pautan atau arahan untuk mendedahkan maklumat peribadi.
c. Phishing melalui Telefon (Vishing):
Penyerang menggunakan panggilan telefon untuk mendapatkan maklumat sensitif dari mangsa dengan menyamar sebagai pihak yang dipercayai.
d. Phishing melalui Laman Web Palsu:
Penyerang mencipta laman web palsu yang menyerupai rupa dan fungsi laman rasmi untuk meminta pengguna memasukkan maklumat peribadi mereka.
Teknik-teknik Phishing
Penjenayah siber menggunakan pelbagai teknik untuk menjadikan serangan phishing kelihatan sah. Antaranya adalah:
Pemalsuan
Mereka sering meniru identiti visual organisasi yang sah, termasuk logo, warna, dan reka letak laman web, untuk membuat e-mel atau laman web phishing kelihatan hampir sama dengan yang asli.
Kejuruteraan Sosial
Teknik ini melibatkan manipulasi psikologi, seperti berpura-pura menjadi pihak berkuasa, membangkitkan rasa takut mengenai akaun yang terjejas, atau menawarkan ganjaran menarik untuk mendorong mangsa bertindak segera.
Pautan Palsu
E-mel phishing biasanya mengandungi pautan ke laman web palsu yang kelihatan sah. Pautan ini mungkin menggunakan subdomain atau teknik “typosquatting” untuk mengeksploitasi kesilapan ejaan domain popular dan mengelirukan mangsa.
Lampiran Berbahaya
Beberapa e-mel phishing menyertakan lampiran yang kelihatan tidak berbahaya, seperti invois atau dokumen, tetapi sebenarnya mengandungi perisian hasad yang boleh merosakkan komputer mangsa.
Cara Mengenal Phishing
Untuk melindungi diri daripada serangan phishing, adalah penting untuk sentiasa berwaspada. Berikut adalah beberapa cara untuk mengenal pasti percubaan phishing:
Alamat E-mel Mencurigakan
Periksa alamat e-mel penghantar dengan teliti. Penjenayah siber sering menggunakan alamat yang hampir sama dengan yang sah, tetapi mungkin mempunyai kesilapan ejaan atau domain yang sedikit berbeza.
Nampak Terdesak
Phishing sering cuba mendesak anda untuk bertindak segera dengan membangkitkan rasa takut atau menawarkan ganjaran menarik. Berhati-hati dengan e-mel yang meminta anda “bertindak sekarang” atau memberikan had masa yang singkat.
Permintaan Maklumat Peribadi
Organisasi sah jarang meminta maklumat sensitif melalui e-mel. Jika anda menerima e-mel yang meminta kata laluan, nombor keselamatan sosial, atau butiran akaun bank anda, ia mungkin percubaan phishing.
Pautan Mencurigakan
Sebelum mengklik sebarang pautan dalam e-mel, semak alamat URLnya. Pastikan ia mengarah ke domain yang sah. Untuk keselamatan tambahan, taip URL secara manual ke pelayar anda daripada mengklik pautan dalam e-mel.
Kesalahan Tatabahasa dan Ejaan
E-mel phishing sering mengandungi kesilapan tatabahasa dan ejaan, kerana ia biasanya ditulis oleh bukan penutur asli. Walau bagaimanapun, sesetengah serangan yang lebih canggih mungkin tidak menunjukkan kesilapan ini, jadi ia bukan petunjuk muktamad.
Kesan Phishing
Phishing boleh membawa pelbagai kesan negatif yang serius kepada individu dan organisasi. Kesan ini melibatkan aspek kewangan, emosi, dan reputasi. Berikut adalah beberapa kesan utama:
Kecurian Identiti
Kesan phishing yang paling merosakkan adalah kecurian identiti. Apabila penjenayah siber berjaya memperoleh maklumat peribadi mangsa, seperti nombor keselamatan sosial, tarikh lahir, atau butiran akaun bank, mereka boleh menggunakan maklumat ini untuk menyamar sebagai mangsa. Penjenayah mungkin membuka akaun bank baru, memohon kad kredit, atau melakukan aktiviti jenayah dengan identiti mangsa. Kecurian identiti boleh merosakkan kedudukan kredit mangsa dan memerlukan masa bertahun-tahun untuk diperbaiki.
Kerugian Kewangan
Phishing sering membawa kepada kerugian kewangan langsung. Bagi individu, penjenayah siber mungkin mengakses akaun bank atau kad kredit mangsa untuk mencuri wang atau membuat pembelian yang tidak dibenarkan. Bagi organisasi, kerugian kewangan boleh berlaku melalui pemindahan dana yang tidak sah, pengebilan palsu, atau kos yang berkaitan dengan pelanggaran data dan usaha pemulihan.
Gangguan Emosi
Menjadi mangsa phishing boleh menyebabkan gangguan emosi yang signifikan. Mangsa mungkin merasa tertekan, marah, dan tidak berdaya. Mereka mungkin bimbang tentang keselamatan kewangan dan identiti mereka, yang boleh menjejaskan kesejahteraan mental dan kehidupan peribadi serta profesional mereka. Mangsa juga mungkin merasa malu atau bersalah walaupun mereka sebenarnya tidak melakukan kesalahan.
Pelanggaran Data
Bagi organisasi, phishing boleh menyebabkan pelanggaran data yang besar dan mahal. Jika seorang pekerja ditipu untuk mendedahkan kelayakan log masuk atau maklumat sensitif lain, penjenayah siber mungkin memperoleh akses ke sistem korporat. Ini membolehkan mereka mencuri data pelanggan, harta intelek, atau maklumat sulit lain. Pelanggaran data boleh menyebabkan kerugian kewangan, tindakan undang-undang, dan kerosakan reputasi yang berpanjangan.
Kehilangan Reputasi
Phishing boleh merosakkan reputasi individu dan organisasi. Bagi individu, menjadi mangsa phishing boleh menjejaskan reputasi profesional mereka, terutama jika melibatkan akaun e-mel kerja atau data majikan. Bagi organisasi, pelanggaran data akibat phishing boleh membawa liputan media negatif, kehilangan kepercayaan pelanggan, dan kerosakan jenama. Pemulihan dari kerosakan reputasi memerlukan usaha yang besar dan masa yang lama.
Gangguan Produktiviti
Serangan phishing boleh mengganggu produktiviti individu dan organisasi. Mangsa mungkin perlu meluangkan masa untuk menguruskan kesan serangan, seperti menghubungi bank, memantau laporan kredit, atau memulihkan identiti yang dicuri. Bagi organisasi, menangani pelanggaran data boleh mengalihkan sumber daripada aktiviti perniagaan utama, menyebabkan kehilangan produktiviti yang ketara.
Risiko Liabiliti Undang-undang
Organisasi yang terjejas oleh phishing mungkin menghadapi risiko liabiliti undang-undang. Jika pelanggaran data mendedahkan maklumat pelanggan, organisasi mungkin dikenakan denda, penalti, dan tindakan undang-undang. Kegagalan untuk melindungi data pelanggan atau mematuhi peraturan privasi boleh membawa kepada implikasi undang-undang yang serius. Individu juga mungkin berdepan dengan risiko undang-undang jika maklumat yang dicuri digunakan untuk aktiviti jenayah.
Cara Menghindari Phishing
Setelah memahami apa itu phishing dan ciri-cirinya, berikut adalah beberapa tips untuk menghindarinya:
Memeriksa Keamanan Peranti Secara Berkala
Phishing boleh menyerang aplikasi di dalam peranti, termasuk aplikasi perbankan mudah alih. Jika anda menyimpan maklumat dalam peranti, seperti di aplikasi nota, data ini juga boleh terancam jika peranti anda terkena phishing. Oleh itu, lakukan pemeriksaan keselamatan secara rutin pada peranti anda. Semak sejarah penggunaan aplikasi, fail-fail yang mencurigakan, dan suhu peranti setiap kali anda mempunyai masa lapang.
Menyimpan Maklumat Log Masuk dengan Selamat
Tips seterusnya adalah menyimpan maklumat log masuk dengan berhati-hati. Elakkan meninggalkan maklumat log masuk di tempat yang tidak selamat, seperti pada komputer awam atau telefon orang lain. Gunakan kata laluan yang unik dan jika sukar diingat, catatkan di tempat yang selamat dan bukan di lokasi yang mudah dijumpai orang lain.
Mengabaikan E-mel atau Mesej Teks Mencurigakan
Jangan ikut arahan dari e-mel atau mesej teks yang mencurigakan. Anda mungkin menerima beberapa serangan phishing dalam sehari, jadi pastikan anda tidak mengikuti arahan dari pengirim yang meragukan. Jika pengirim mengaku sebagai seseorang yang anda kenali, cuba hubungi orang tersebut secara langsung untuk mengesahkan.
Mengakses Laman Web dengan SSL
SSL (Secure Socket Layer) melindungi laman web daripada serangan dalam talian. Untuk melindungi peranti anda daripada phishing dan malware, hanya lawati laman web yang mempunyai SSL. Anda boleh membezakan laman web SSL dengan melihat protokol aksesnya, yang sepatutnya “https://” berbanding “http://”.
Berhati-hati dengan Panggilan Telefon Tidak Dikenali
Jangan terima panggilan telefon daripada orang yang tidak dikenali. Jika anda perlu menerima panggilan tersebut, perhatikan tujuan mereka. Jika mereka meminta maklumat peribadi atau wang, abaikan panggilan tersebut.
Tidak Mudah Terpedaya dengan Hadiah dari E-mel atau Mesej Teks
Elakkan tergoda dengan tawaran hadiah melalui e-mel atau mesej teks. Sebahagian besar tawaran hadiah ini hanyalah taktik phishing. Jika anda tergoda, anda mungkin kehilangan data berharga termasuk maklumat akaun.
Memasang Aplikasi Perlindungan Phishing
Pasang aplikasi perlindungan phishing dan malware pada peranti anda. Terdapat banyak aplikasi yang tersedia di internet, sama ada untuk telefon pintar atau komputer. Pastikan aplikasi ini sentiasa terpasang untuk melindungi peranti anda daripada serangan phishing dan malware.
Itulah beberapa maklumat mengenai phishing, ciri-cirinya, dan cara untuk menghindarinya. Phishing adalah ancaman dalam talian yang perlu diwaspadai. Jika anda mengalami situasi ini, segera ambil tindakan pencegahan dengan mengabaikannya. Jika serangan phishing berlanjutan, laporkan kepada pihak berkuasa tempatan.
Contoh Phishing
Adakah Terdapat Undang-undang di Malaysia Berkaitan Dengan Phishing?
Ya, Malaysia mempunyai undang-undang yang berkaitan dengan phishing dan jenayah siber. Undang-undang utama adalah Akta Jenayah Komputer 1997 (Akta 563), yang meliputi pelbagai kesalahan berkaitan dengan penyalahgunaan komputer dan akses tanpa kebenaran ke sistem komputer. Walaupun istilah “phishing” tidak disebut secara khusus, aktiviti seperti akses tanpa kebenaran dan pengubahan data tanpa kebenaran adalah dilindungi di bawah peruntukan Akta ini.
Selain itu, undang-undang lain yang mungkin relevan termasuk:
- Kanun Keseksaan: Untuk kesalahan berkaitan pemalsuan, penipuan, atau kecurian.
- Akta Perlindungan Data Peribadi 2010: Jika melibatkan penyalahgunaan data peribadi.
- Akta Komunikasi dan Multimedia 1998: Mengawal aspek komunikasi dan multimedia yang mungkin berkaitan dengan jenayah siber.
Malaysia adalah salah satu daripada tiga negara teratas di Asia Tenggara dalam hal serangan phishing. Pada tahun 2022, sistem Anti-Phishing Kaspersky berjaya menyekat sebanyak 8,267,013 serangan phishing di Malaysia.
Menurut Cybersecurity Malaysia, negara ini menghadapi 4,741 ancaman siber pada tahun yang sama dan mencatatkan 456 kes penipuan pada Februari 2023. Kerugian akibat penipuan dianggarkan sekitar RM27 juta hingga Februari 2023.
Penguatkuasaan dan pendakwaan kes phishing menjadi lebih sukar kerana sifat jenayah siber yang melibatkan sempadan dan kesukaran dalam mengesan penjenayah.
Namun, kerajaan Malaysia terus berusaha memperkuat undang-undang siber dan kapasiti penguatkuasaan untuk menanggulangi ancaman yang semakin meningkat ini.
Untuk mengelakkan menjadi mangsa, pengguna disarankan agar sentiasa berhati-hati terhadap e-mel atau mesej yang mencurigakan dan tidak memasukkan maklumat peribadi di laman web yang tidak dikenali atau meragukan.
Kesimpulan
Phishing adalah ancaman besar dalam dunia siber yang terus berkembang, dengan penyerang mencipta kaedah baru untuk mencuri maklumat peribadi untuk tujuan yang jahat. Penting untuk kekal berjaga-jaga, mengamalkan langkah-langkah keselamatan yang sesuai, dan meningkatkan kesedaran mengenai phishing.
Dengan mengikuti langkah pencegahan yang betul, kita boleh melindungi diri kita dan melawan usaha penipuan dalam talian ini. Demikianlah ringkasan lengkap mengenai apa itu phishing dan langkah-langkah pencegahannya yang telah kami sediakan di loginmasuk.my. Semoga maklumat ini berguna untuk anda.