Apa persamaan dari email berjudul "Anda telah memenangkan satu juta dolar" dan "Akun Anda diblokir"? Keduanya hampir selalu merupakan tanda-tanda penipuan online yang dilakukan penjahat siber.
Tujuan para penjahat siber adalah meyakinkan penerima untuk mengikuti tautan ke situs web phishing dan memasukkan informasi penting seperti login dan kata sandi atau detail rekening bank.
Agar terhindar dari serangan phising, berikut ini enam tips untuk mengenali dan cara melindungi perangkat Anda dari phising seperti yang diungkapkan Kaspersky:
1. Periksa dan cermati email dengan seksama
Saat Anda menerima email, jangan buru-buru membalas atau mengikuti instruksinya. Hal pertama yang harus Anda lakukan adalah mencari tanda-tanda phishing. Berikutt beberapa tanda bahwa pesan mengandung upaya phishing:
- Subjek pesan yang dramatis. Tema umum biasanya seperti mentransfer sejumlah uang dalam jumlah besar, kompensasi finansial, notifikasi akun yang telah diretas, dan transaksi penipuan lainnya — topik yang menarik perhatian cenderung memicu respons emosional, sering kali bermain dengan rasa tekanan atau ketakutan. Menekankan pada keseriusan situasi. Frasa seperti "Pemberitahuan terakhir!" atau “Hanya 3 jam lagi” serta penggunaan tanda seru yang berlebihan dimaksudkan untuk membuat Anda terburu-buru, panik, dan menurunkan kewaspadaan Anda.
- Berbagai kesalahan ketik dan ejaan, hingga karakter aneh dalam teks. Beberapa pelaku kejahatan siber benar-benar berjuang dengan bahasa Inggris, meskipun penyerang terkadang dengan sengaja membuat kesalahan seperti "milion (juta)" atau menggunakan huruf dari abjad yang berbeda dalam upaya untuk melewati filter spam. Alamat pengirim tidak konsisten. Alamat email dengan banyak huruf dan angka acak atau nama domain yang salah adalah tanda-tanda pasti email palsu ketika pengirim mengaku berasaldari organisasi besar.
- Tautan dalam email jika ada — atau situs web yang mereka tuju, lebih tepatnya. Anda dapat memeriksa tautan dengan mengarahkan kursor ke atasnya dan membaca alamatnya dengan cermat. Pelaku kejahatan siber biasanya menganggap korban tidak memperhatikan secara detil untuk mendeteksi keanehan yang terdapat pada nama perusahaan atau merek terkenal — contohnya seperti sumsung.com atau qoogle.com. Periksa setiap tautan dengan cermat.
Pemeriksaan seperti itu seharusnya cukup untuk membuat pengguna terhindar dari upaya phishing dari email.
Namun, nama dan alamat pengirim dapat dipalsukan, tautan dapat dipersingkat agar tidak dapat dibaca, dan rantai pengalihan otomatis dapat diatur untuk mengarahkan dari alamat Web yang tidak terlalu mencurigakan ke situs web phishing yang sebenarnya.
Itulah mengapa sebaiknya hindari mengikuti tautan yang dikirim dalam email sama sekali jika memungkinkan — kecuali Anda secara pribadi yang memberikan permintaan untuk itu.
Misalnya, ketika Anda mendapatkan pemberitahuan hadiah yang tampaknya berasal dari bank atau toko online, hubungi bank atau toko tersebut untuk mengonfirmasi.
Anda juga dapat memeriksa apakah hadiah itu nyata dengan menggunakan mesin pencari untuk mencari situs web resmi perusahaan yang seharusnya memberikannya. Kemudian Anda dapat memeriksa informasi hadiah di situs tersebut.
2. Tetap waspada di aplikasi perpesanan atau di jejaring sosial
Email bukan satu-satunya hal yang perlu Anda waspadai. Pesan yang Anda terima di aplikasi perpesanan dan di jejaring sosial memiliki potensi bahaya yang sama besarnya; Anda dapat menemukan tautan berbahaya di pos teman di Facebook, di komentar yang diposting oleh brand ambassador palsu di Twitter, atau di DM di Discord.
Selain itu, lakukan juga pemeriksaan pada banner secara cermat; gambar yang mereka tampilkan mungkin tidak ada hubungannya dengan situs web yang Anda kunjungi.
Platform tempat banner dipasang biasanya tidak mengontrol apa yang dilihat pengguna atau ke mana mereka diarahkan.
Bahkan situs web yang bereputasi sangat baik dapat menayangkan iklan yang mengarah ke situs web phishing. Apa yang bisa dilakukan? Seperti halnya email, periksa setiap tautan dengan cermat, dan jika mungkin jangan klik sama sekali.
3. Berhenti sejenak sebelum memasukkan info rekening bank
Detail kartu bank sangatlah sensitif karena memberikan akses langsung menuju uang pribadi. Itu sebabnya, terlepas dari bagaimana Anda mencapai situs web, Anda harus memeriksa ulang dan berpikir dengan seksama sebelum memasukkan detail tersebut.
Pertama, perhatikan baik-baik alamatnya. Masih dengan metode yang sama: kesalahan ketik, angka alih-alih huruf, tanda hubung di tempat yang tidak terduga, dan nama domain yang mencurigakan. Jika Anda melihat sesuatu seperti itu, tinggalkan situs web dan coba masukkan alamat secara manual.
Kemudian, tetap di bilah alamat, klik ikon gembok di sebelah kiri. Gembok bukanlah jaminan keamanan, tetapi dari sana Anda dapat mempelajari lebih lanjut tentang siapa yang memiliki situs web (browser memiliki nama berbeda untuk tab yang relevan, seperti sertifikasi atau Koneksi aman).
Jika Anda melakukan banyak belanja online, termasuk pembelian dari perusahaan kecil dan penjual pribadi, sebaiknya gunakan kartu terpisah. Simpan sejumlah kecil uang di dalamnya dan transfer uang ke tempat yang dituju sesuai dengan kebutuhan. Dengan begitu, meskipun detail kartu dicuri, Anda tidak akan kehilangan nominal yang besar.
4. Gunakan kata sandi yang berbeda
Jika Anda menggunakan kata sandi yang sama untuk akun yang berbeda, meskipun itu adalah kata sandi yang sangat andal, itu berisiko membuat semua akun disusupi jika suatu saat Anda memasukkannya ke situs web phishing. Penting untuk menggunakan kata sandi unik dan berbeda untuk setiap situs web dan aplikasi.
Jika Anda merasa sulit untuk menemukan dan mengingat lusinan kata sandi baru untuk setiap platform dan toko online, gunakan pengelola kata sandi.
Pengelola kata sandi juga bertindak sebagai pemeriksaan tambahan untuk mencegah phishing. Jika Anda membuka aplikasi atau situs dan mendapati itu tidak mengisi login dan kata sandi Anda secara otomatis, maka kemungkinan situs tersebut palsi. Ini mungkin terlihat sama dengan situs web asli bagi pengguna, tetapi jika memiliki alamat yang berbeda, pengelola kata sandi tidak akan mengisi kredensial akun.
Kedua, pengelola kata sandi dapat menghasilkan kata sandi yang sulit diretas. Ketiga, beberapa pengelola kata sandi memiliki fitur tambahan yang berguna.
Misalnya, Kaspersky Password Manager dapat memeriksa kata sandi Anda dan memberi tahu jika kata sandi tersebut lemah, telah digunakan untuk akun yang berbeda, atau sudah ada dalam basis data kata sandi yang disusupi.
5. Siapkan otentikasi dua faktor untuk melindungi akun
Banyak serangan phishing bertujuan untuk membajak akun, tetapi bahkan ketika penyerang mendapatkan login dan kata sandi, Anda masih dapat menghentikan mereka masuk ke akun.
Caranya dengan menerapkan otentikasi dua faktor jika memungkinkan. Setelah melakukannya, Anda memerlukan kode verifikasi sementara tambahan untuk masuk. Anda akan menerimanya melalui email, teks, atau di aplikasi autentikator. Setelah itu para penyerang tidak akan mendapatkannya.
Namun, perlu diingat bahwa para penyerang juga dapat membuat halaman login palsu yang meminta kode autentikasi dua faktor satu kali.
Itulah mengapa lebih baik untuk melindungi akun penting menggunakan autentikasi berbasis perangkat keras dengan kunci USB seperti YubiKey atau Titan Security Key oleh Google.
Beberapa autentikator menggunakan NFC dan Bluetooth untuk terhubung ke perangkat seluler. Keuntungan menggunakan kunci keamanan berbasis perangkat keras adalah itu tidak akan pernah mengungkapkan rahasia di situs web palsu.
Sebuah situs web perlu mengirimkan permintaan yang tepat untuk mendapatkan jawaban yang benar dari autentikator, dan itu adalah sesuatu yang hanya diketahui oleh situs web yang asli.
6. Gunakan perlindungan yang andal
Tentu saja sulit untuk terus-menerus mencari tanda bahaya dan memeriksa setiap alamat, tautan, dan sebagainya.
Tetapi ini adalah tugas yang dapat di-otomatisasi, dan Anda dapat mengandalkan solusi keamanan seperti Kaspersky Security Cloud untuk melindungi diri dari bahaya phishing.
Perlindungan berbasis cloud akan memberi tahu secara tepat waktu jika pengguna mencoba membuka halaman berbahaya dan akan memblokir ancaman tersebut.
Baca Juga: Google Hapus Jutaan Juta Email Phising, Siapa Pelakunya?
Baca Juga: Setara dengan Phishing, Penipuan Vishing Juga Incar Data Sensitif