Saya sangat sedih dan jengkel melihat postingan salah satu netizen di Facebook yang diminta mentransfer sejumlah uang oleh suaminya sendiri ke orang tidak dikenal, yang ternyata sang suami adalah korban phishing. Sang suami bekerja sebagai pelaut dan tengah bekerja di sebuah kapal di luar negeri sana, sedangkan istrinya dirumah. Celakanya, setelah uang beberapa juta sudah ditransfer, baru sang istri sadar kalau yang meminta transfer itu bukanlah suaminya, setelah dia berkomunikasi lewat Instagram dengan sang suami yang asli. Alhasil duit jutaan rupiah raib entah kemana dan account Facebook sang suami tidak bisa dibuka karena kemungkinan password sudah diganti oleh si pelaku. Di masa Corona seperti sekarang, kehilangan uang beberapa juta bukanlah hal yang menyenangkan. Jangankan jutaan, uang kita hilang 50 ribu saja kita udah naik darah. Pertanyaannya, kenapa sang istri mau begitu saja disuruh pelaku yang berpura-pura sebagai sang suami mentransfer beberapa juta ke orang yang tidak dikenal? “Ya jelas lah itu kan suaminya sendiri yang nyuruh”, mungkin ada yang berpendapat seperti itu. Tapi kalau dipikir pikir lagi seharusnya sang istri memiliki rasa curiga sebelum mentransfer sejumlah uang, apalagi ke orang yang tidak dikenal oleh sang istri. Kemudian bagaimana sang pelaku bisa masuk ke account Facebook sang suami? Nah disinilah letak kelihaian si pelaku. Trik apa yang digunakan? Saya bukanlah seorang ahli IT tetapi saya akan coba mengupasnya berdasarkan pengetahuan dan pengalaman saya pribadi.
Pertama, bagaimana cara pelaku masuk ke account Facebook orang yang ditarget? Kita semua tahu untuk login ke Facebook diperlukan user name (berupa nomor telephone atau alamat email) dan password. Kalau salah satunya tidak sesuai maka kita tidak akan bisa login. Sang pelaku harus mendapatkan keduanya dengan benar baru dia bisa masuk ke account Facebook kita. Apakah mungkin dia menanyakan langsung kepada sang pemilik account, gak mungkin lah. Apakah mungkin sang pelaku meretas langsung situs Facebook? Sangat tidak mungkin, karena Facebook adalah perusahaan raksasa, multibillion dollar company yang memiliki team enginer top dunia yang memastikan system perlindungan tinggi setiap hari. Sekelas hacker kaleng kalengan gak akan bisa meretas Facebook. Kalaupun ada yang bisa meretas Facebook, maka sang pelaku akan kesulitan menemukan username dan password kita bak mencari jarum ukuran 2mm ditengah Samudra Atlantik. Pelaku yang berhasil meretas Facebook juga akan dihubungi oleh Facebook ditanyain gimana caranya dia hack dan bisa dikasi duit, bukan jutaan lagi tapi bisa ratusan juta, bisa disearch di google tentang bug hunter.
Pasword yang kita buat tidak disimpan begitu saja oleh Facebook, jadi Facebook pun tidak tahu apa password kita karena telah terenskripsi (buset, istilah apa lagi itu haha seach aja sendiri). Ketika membuat account pertama kali, passwod kita tersimpan berupa sebuah kode enskripsi. Ketika kita login dan memasukan sebuah password misal: Passwod1234 maka oleh Facebook paswod ini akan dienskripsi terlebih dahulu menjadi sebuah code seperti BDC87B9C894DA5168059E00EBFFB9077, kemudian code ini dicocokan dengan code yang tersimpan pertama kali ketika kita buat account, kalau cocok kita akan bisa login. Kalau pelaku berhasil meretas situs Facebook maka dia hanya akan menemukan kode enskripsi ini. Kalau dimasukan kedalam paswod ketika login maka code ini akan dienskripsi lagi dan hasilnya tidak akan cocok dengan enskripsi yang pertama dibuat. Jadi kode ini tidak bisa dipakai sama sekali alias useless. Lha buktinya banyak kok account Facebook kena hack, trus itu gimana donk??
Hacker dalam praktinya mereka menggunakan coding untuk meretas sebuah situs (Ah teori aja lu emang lu bisa?). Saya memang tidak bisa tapi saya rajin baca hehehe. Kemampuan membuat coding untuk meretas sebuah situ hanya dimiliki oleh orang-orang jenius. Kalau orang-orang kaya kita-kita ini coba pelajarin bisa keluar asap kepalanya, karena susah dan rumitnya minta ampun. Kalau dibilang hacker Facebook itu sebenarnya tidak ada, yang ada adalah pencuri data atau password. Ada 4 trik yang umum digunakan untuk mencuri passoword kita yaitu phishing, key logger, social engineering, dan spy app (saya cuma bahas phishing, yang lainnya bisa disearch sendiri).
Phishing, bunyinya mirib kaya fishing (mancing), memang dalam praktiknya kaya memancing. Menurut mbah Wikipedia phishing adalah upaya penipuan untuk mendapatkan informasi sensitif seperti nama pengguna, kata sandi, dan detail kartu kredit dengan menyamar sebagai entitas yang dapat dipercaya dalam komunikasi elektronik. Biasanya dilakukan dengan email atau pesan instan, sering mengarahkan pengguna untuk memasukan informasi pribadi di situs web palsu yang cocok dengan tampilan dan nuansa situs yang sah. Intinya sang pelaku membuat sebuah website yang seolah olah menyerupai situs resminya kemudian mengirimkan linknya lewat email, pesan singkat dll. Kalau kita klik linknya dan memasukan user name dan password untuk login ke situs tersebut missal Facebook artinya kita sendiri menyerahkan username dan password kepada si pelaku tanpa susah-susah membuat coding segala macam.
Perhatikan gambar di atas, pada tanda panah merah, itu adalah URL atau alamat resmi situs Facebook kalau mau login.
Perhatikan lagi gambar di atas, tampilannya seolah-olah sama seperti halaman login Facebook, padahal itu adalah halaman yang sengaja dibuat untuk mendapatkan data kita. Kalau kita masukan username dan password, itu artinya kita menyerahkan secara cuma-cuma ikan ke mulut kucing. Artinya secara tidak sadar kita telah memberikan username dan password kita kepada si pelaku, jadi bukan si pelaku yang hack account anda tapi anda sendiri yang memberikan username dan password secara cuma-cuma.
Berdasarkan pengalaman yang paling banyak kena phising adalah kaum cowok, kenapa? Berdasarkan pengalaman pribadi kita sering iseng browsing-browsing ke suatu situs kemudian ujung-ujungnya mengarah ke situs game atau situs esek esek kemudian kita disuruh buat account dan dengan mudah kita masukan alamat email bahkan password yang sering kita gunakan karena kita ngebet pengen tahu apa di dalamnya. Nah situs yang aneh aneh ini adalah sarangnya pelaku phishing, berhati-hatilah memasukan data sensitive ke suatu situs. Contoh phishing yang marak lainnya:
- Lewat SMS atau WhatsApp yang mengatakan kita mendapatkan hadiah undian puluhan atau ratusan juta, mobil dll, setelah dihubungi kita disuruh transfer uang sebagai biaya administrasi, biaya kirim,dll setelah ditranfer hadiah yang dijanjikan tidak pernah datang. Dari mana si pelaku mendapatkan nomor HP kita?? Ada dua kemungkinan, pertama pelaku menggunakan semacam alat yang bisa menemukan nomor HP secara random, kedua anda sendiri yang memberikannya lewat media sosial, iklan jual-beli, pendaftaran seminar atau kegiatan lainnya yang mencantumkan nomor HP anda.
- Ditelephone langsung oleh pelaku yang mengatasnamakan pegawai dari sebuah perusahaan yang menyatakan anda mendapatkan hadiah dari suatu program tertentu dan untuk mendapatkan hadiah itu anda diminta mentransfer sejumlah uang sebagai pajak, biaya administrasi dll jika tidak hadiah tidak bisa dikirim. Pelaku biasanya menephone Ketika jam kerja untuk meyakinkan dia memang sedang bekerja di sebuah perusahaan.
- Dihubungi orang tidak dikenal yang mengaku sebagai anggota polisi yang mengatakan salah satu anggota keluarga kita terjerat sebuah kasus, seperti narkoba, nabrak orang dll. Si pelaku mengatakan berniat menolong, untuk itu kita diminta mentranfer sejumlah uang, jika tidak anggota keluarga kita yang kena masalah tidak akan ditolong. Si pelaku sebenarnya sedang memainkan alam bawah sadar kita dengan memanfaatkan sisi emosional kedekatan hubungan kita dengan anggota keluarga. Orang yang tidak sadar sedang ditipu akan dengan mudah mengikuti perkataan pelaku yang penting anggota keluarganya selamat. Waktu si pelaku menephone biasanya malam hari atau ketika kita telah tertidur untuk memberikan kita efek kejut dan panik.
- Menerima email yang mengatasnamakan sebuah bank, perusahaan dll yang logo, format email, dll terlihat sama persis dengan aslinya. Kita diberi informasi mendapatkan hadiah ratusan ribu dolar, atau mendapatkan bonus dari perusahaan kita. Ketika email dibalas kita akan diarahkan untuk memasukan detail kartu kredit. Saya pernah mendapatkan email semacam ini, saya tidak menyangka itu adalah phishing karena sangat tergiur dengan tampilan dan kata-kata kalau saya mendapat hadiah ratusan ribu dollar Amerika. Saya telah balas email dengan memasukan data diri lengkap, setelah itu diminta memasukan nomor kartu kredit katanya biar uangnya bisa ditransfer. Beruntungnya saya tidak punya kartu kredit, cuma ada rekening simpedes yang isi duit cuma 500 ribu. Setelah saya cek dan telusuri ternyata itu bukan dari website bank yang resmi. Saya pun mengirimkan email untuk mengajak hadiahnya dibagi dua saja 50:50 supaya tidak bayar ongkos apa-apa, tetapi malah dapat email ancaman mau dilaporin polisi dan FBI, kemudian saya kirim email maki-maki pakai bahasa Ingris biar dia ngerti. Ada juga email yang berisi sebuah link, jika link itu diklik entah bagaimana saldo di rekening gaji kita bisa dikuras habis, jadi harus berhati-hati jangan sembarangan klik link yang mencurigakan.
Tips lainnya menghidari phishing
- Usahakan login Facebook hanya memakai app saja, kalaupun kita login menggunakan web, pastikan alamat URL nya valid dan benar https://www.facebook.com/login/ dan jangan pernah simpan password secara otomatis di browser. Kalau menemukan alamat URL nya mencurigakan lebih baik pilih login pakai app.
- Username dan password di Facebook jangan pernah gunakan untuk register di situs yang lain, username dan password di Facebok itu, di situs B juga itu trus di situs C juga itu jadi orang gampang buat attack kita.
- Jangan punya alamat email satu doank, untuk sosial media itu alamat emailnya, trus untuk banking itu alamat emailnya, untuk nakal-nakalan itu juga alamat emailnya, sekali data dicuri kita bisa dibobol habis-habisan. Ini juga berlaku untuk nomor HP, satu normor HP kita gunakan khusus untuk keluarga dan tidak dibagikan ke orang lain, dan satunya kita gunakan untuk komunikasi umum.
- Ubah password secara berkala dan jangan gunakan password yang gampang ditebak, missal Agus1234, Budi1997.
- Jangan klik link sembarangan yang dibagikan orang di facebook, dikirim ke kita lewat email, WhatsApp, sms dan lain-lain.
- Jangan gampang main transfer duit ke orang lain meskipun kepada keluarga, sahabat, teman, selingkuhan dll. Sebelum tranfer duit kita tanya-tanya dulu ke orang orangnya langsung secara tatap muka lewat video call, kalau tidak mau video call dengan berbagai alasan berarti patut dicurigai, atau kita minta komunikasi dulu lewat WathSapp untuk memastikan. Atau push up dulu atau jongkok bangun dulu supaya aliran darah lancar ke otak, ketika kita dalam keadaan seperti terhipnotis mudah-mudahan bisa sadar dengan aktifitas fisik.
Yang menakutkan adalah si pelaku phising punya 1001 trik supaya dia bisa dapat uang dari kita. Dalam cerita saya di atas pelaku setelah berhasil masuk ke FB sasaran, dia kemudian memilih siapa yang akan ditarget. Dia memilih sang istri sebagai target dengan memanfaatkan alam bawah sadar target. Si pelaku mengirim pesan, seolah-olah sang suami berada pada keadaan tertekan dan stress di tengah lautan karena belum bisa pulang. Si pelaku kemudian menyuruh untuk meminta pertolongan kepada seseorang yang bertugas di Jakarta yang tidak lain adalah pelaku sendiri. Dalam keadaan seperti ini di alam bawah sadar sang istri akan aktif signal bahaya yang akan menimpa sang suami dan akan melakukan apapun untuk menolong sang suami, ini biasanya terjadi dengan cepat. Apalagi sang istri mencoba video call berkali-kali tapi tidak bisa, ini akan menambah kepanikan sang istri. Si pelaku juga sangat lihai bersilat lidah menyerupi suami aslinya (mungkin chat-chat sebelumnya sudah dipelajari). Uang jutaan rupiah pun biasanya akan dengan mudah ditranfer ke rekening pelaku. Cara lain yang digunakan pelaku adalah ancaman dan tekanan jika phishing terjadi lewat telephon, email, sms atau chat. Orang yang tidak sadar bahwa itu phishing biasanya dengan mudah menuruti perkataan pelaku. Cara menghindarinya adalah sebelum mengangkat telephone, membaca chat atau pesan, lihat dulu siapa pengirim atau penelephonnya, jangan terburu-buru mengangkat ketika telephone / hp berbunyi. Jika tidak berada di kontak kita maka perlu waspada, dengan kewaspadaan di awal mudah-mudahan kita akan bisa berfikir lebih rasional.
Semoga artikel ini bisa membantu, jika ada tips dan trik lainnya menghindari phishing bisa ditambahkan pada kolom coment, terima kasih.
Suka Melaut 