Alangkah kagetnya Dita ketika pagi itu dia mendapat inbox pada akun Facebooknya. Pesan pada inbox itupun sangatlah menyeramkan, "saya menemukan foto pornomu dipajang di website www.xyz.com, ternyata kamu seksi sekali". Begitulah kira-kira pesan dari seorang teman Facebooknya. Sontak saja Dita pun panik, dia bukan seorang anak yang suka berbuat aneh-aneh seperti itu. Tapi di saat itu, yang ada di pikirannya hanya kepanikan. Diapun berusaha mengklik link tersebut, disana dia melihat halaman login Facebook, Ditapun berusaha login, tapi email dan passwordnya selalu ditolak. Akhirnya dengan putus asa, diapun menelpon teman facebook tersebut untuk marah-marah. Alangkah kagetnya dia ketika temannya menjawab "Maaf Dit, FBku dihack, aku juga ga pernah kirim message seperti itu". Namun cerita ini tidak berhenti begitu saja. Beberapa hari kemudian, ketika Dita mau membuka akun facebooknya, dia mendapatkan satu lagi kejutan tidak menyenangkan. Akun facebooknya telah diacak-acak dan tidak bisa diakses. Dita hanya bisa pasrah dan menyalahkan seorang "hacker" tak bernama tersebut. Ya, Dita adalah seorang korban phising. Di antara berbagai jargon keamanan IT, saya pribadi merasa phising mungkin adalah istilah yang paling dikenal masyarakat umum. Bagaimana tidak, pada selebaran himbauan berbagai bank, phising adalah metode hacking yang paling banyak mendapat sorotan. Padahal, menurut definisi saya pada tulisan saya sebelumnya (http://teknologi.kompasiana.com/terapan/2012/01/19/hacker-media-massa-dan-orang-awam/), Phising termasuk dalam metode hacking mie instan. Mudah (bisa dilakukan semua orang yg pernah belajar IT), murah (modal gratisan) dan ampuh (tetap bisa kena ke orang yang belum mengerti). Sebagaimana layaknya memancing, phising menggunakan "umpan" dan "tali pancing" untuk menarik si "ikan", umpannya bisa banyak hal. Misalnya umpan menakut-nakuti dengan menyatakan akun social media atau akun bank anda bermasalah dan anda harus segera login melalui link yang diberikan. Atau anda baru saja terpilih untuk mengikuti program upgrade facebook supaya anda bisa melihat siapa saja yang berkunjung ke halaman anda. Tapi tentu saja, semua ini pada ujung2nya hanyalah upaya untuk membuat anda menggigit mata kail si pelaku. Biasanya, begitu anda tertarik dan mengklik link yang diberikan, anda akan dibawa ke halaman website bank/social media yang dimaksud. Ketika anda login, tidak terjadi apa-apa. Andapun bingung, kemudian mencoba beberapa kali lagi. Karena tidak berhasil, andapun meninggalkan halaman itu, dan melupakan semuanya. Beberapa hari kemudian, ketika anda berniat login ke akun social media anda, ternyata password yang biasa digunakan sudah tidak bisa. Teman-teman anda pun menyampaikan komplain kalau akun social media anda bertindak aneh-aneh. Di saat itu, anda cuma bisa menyatakan, "akun saya dihack ! pasti ada hacker hebat yang mengincar saya !" Benarkah demikian ? Sayangnya (dan untungnya), tidak demikian. Perhatikan gambar dibawah ini [caption id="attachment_166337" align="alignnone" width="640" caption="Contoh Phising"][/caption] Bagaimana ? sepintas lewat, kecuali tulisan besar-besar never loginnya, halaman diatas mirip sekali dengan halaman login pertama facebook. Tentu saja, ini sangat mudah dilakukan, anda hanya perlu menyimpan halaman login facebook yang asli untuk mendapatkan ini, yang menjadi trik "sulap" ini adalah, ketika anda melakukan login, data login anda tidak dikirimkan ke facebook, tapi ke suatu tempat penyimpanan data curian (bisa jadi hostingan gratis). Si empunya tempat penyimpanan nantinya bisa dengan mudah melihat satu persatu semua username dan password yang sudah tertangkap, login, dan menyatakan diri sebagai seorang hacker yang hebat. Pada address bar (tulisan yang diberi kotak merah), anda bisa melihat dengan jelas kalau memang halaman tersebut ternyata bukan halaman facebook. Tentu saja, halaman contoh ini sengaja dibuat mudah sekali diketahui. Pada prakteknya, biasanya nama yang dipilih seringkali dibuat semirip mungkin dengan aslinya. Misalnya alih-alih Facebook.com, para pencuri akan menggunakan Facebook.co.cn, Faebook.com, Fcebook.com, Facebook.co.cc dan berbagai varian lainnya. Biasanya, teknik pencegahannya cukup sederhana. Jika anda merasa perlu login, jangan menggunakan link dari sumber yang kurang jelas. ketik sendiri halaman yang anda tuju atau (lebih baik lagi), buatlah bookmark untuk halaman yang sering anda kunjungi. Jika ingin login, cek alamatnya. Sebisa mungkin, jika format yang digunakan adalah "Http://www.facebook.com", tambahkanlah huruf "s" menjadi "Https://www.facebook.com". Ini kedengarannya sederhana, tapi sangatlah penting, karena "s" diatas membuat anda masuk melalui jalur aman, sehingga menambah keamanan anda secara keseluruhan. Belum semua situs mendukung ini, tapi saya kira situs-situs besar (kelas nasional/internasional) sudah, minimal untuk halaman dimana anda melakukan login. Tapi tentu saja, dalam perkembangannya, teknik phising pun mengalami kemajuan. Misalnya menggunakan suatu program sederhana yang akan mengarahkan anda (redirect) ke situs palsu tadi meskipun anda menggunakan bookmark. Teknik penyebarannya juga banyak, mulai dari menggunakan FB orang yang sudah dihack, mengirim lewat email, message pada facebook dan lain0-lain. Walaupun demikian, metode pencegahan "waspada" akan selalu tetap ampuh. Jangan meng-klik link yang tidak jelas asal-usulnya, selalu cek langsung dengan empunya berita (misalnya, teman anda bilang menemukan foto anda di link www.abcde.com, jangan klik link itu dulu, tapi konfirmasilah dengan dia, tanyakan pertanyaan-pertanyaan yang ga nyambung / menjebak, misalnya, bagaimana kabar skripsinya (padahal dia bukan mahasiswa) , untuk memastikan kalau pengguna akun itu benar-benar teman anda). Bukan hanya dunia maya Sebenarnya, phising tidak hanya terjadi di dunia maya saja. Banyak penipuan yang terjadi di dunia nyatapun menggunakan teknik serupa. Memancing korban dengan menekan emosi mereka (rasa takut, penasaran, bingung dll) dan kemudian membujuk mereka untuk melakukan sesuatu yang tidak logis, dan pada akhirnya merugikan mereka. Saya yakin banyak para pembaca kompasiana yang sudah pernah mendengar tentang penipuan ATM yang diatributkan pada "hacker", dimana si penipu membujuk korbannya untuk memasukkan PINnya secara terbalik beberapa kali. Biasanya kartu ATM korban tidak bisa keluar, dikarenakan ada jebakan (selotip/batang lidi) pada tempat memasukkan kartu ATM. Karena panik, biasanya si korban cenderung mau-mau saja, merasa "toh, dicoba ga ada ruginya". Kenapa memasukkan PIN secara terbalik ? Karena manusia pada umumnya butuh waktu berpikir lebih lama untuk membalik kata/angka. Artinya, korban tidak bisa memasukkan PIN tersebut dengan cepat, memberi waktu untuk si "penolong" melihat dan menghafalkan PIN korban. Hal yang sama juga dipakai untuk telpon/sms yang menyatakan ada keluarga kita yang kecelakaan dan butuh uang segera. Memanfaatkan rasa takut kita, pelaku menjebak kita bertindak tergesa-gesa dan ceroboh. Sama seperti Phising dunia maya, kunci dalam mencegah kejadian ini adalah tenang (tidak begitu saja mengikuti kata orang lain dengan tergesa-gesa), waspada (kalau anda bisa saja hampir menjadi korban penipuan) dan verifikasi (ke pihak keluarga, bank atau teman jejaring sosial). Dengan 3 langkah sederhana ini, niscaya anda bisa menjaga diri dari sebagian besar upaya penipuan, baik di dunia maya maupun dunia nyata. Surabaya, 26 Januari 2012
