Cara Menghindari Penipuan Phishing
Diterbitkan: 2022-01-29Menulis malware hanyalah pekerjaan pengkodean lain akhir-akhir ini, tetapi ini sulit. Pembuat kode yang sah perlu membuat program yang melakukan apa yang seharusnya mereka lakukan, bekerja sama dengan sistem operasi dan proses lainnya. Pengkode malware memiliki tugas tambahan untuk membuat program yang dapat menyembunyikan perbuatan jahat mereka dari sistem operasi, dan dari program antivirus. Ini bukan cara mudah untuk menghasilkan uang. Maka, tidak heran jika beberapa penjahat melewatkan mencoba mengecoh sistem operasi dan beralih ke target yang jauh lebih mudah… Anda! Mereka membuat salinan palsu dari situs web populer dan menunggu korban untuk masuk. Saat Anda mengisi kredensial Anda di salah satu palsu ini, Anda telah memberikan akun Anda kepada penipu. Tetap buka mata Anda, dan Anda dapat menghindari penipuan.
Faktor COVID-19
Dengan sejumlah besar orang terjebak di rumah, mencari hiburan di internet, scammers phishing berada di surga babi. Sebagai permulaan, mereka baru saja mendapatkan audiens yang lebih besar untuk penipuan mencuri kredensial biasa. Tetapi ketakutan, ketidakpastian, dan keraguan yang disebabkan oleh pandemi yang belum pernah terjadi sebelumnya ini menjadi makanan yang sempurna untuk jenis penipuan baru.
Bahkan pada bulan April 2020, Google melaporkan pemblokiran 18 juta penipuan terkait virus setiap hari. Google melakukan pekerjaan dengan baik; perkiraan menyarankan itu memblokir 99,9 persen email spam dan phishing. Namun, itu berarti bahwa 18.000 pesan yang tidak diinginkan diterima, ke jumlah korban yang tidak diketahui, setiap hari.
Penipu virus tidak hanya mencari kata sandi Anda; mereka menginginkan uang Anda. Penipuan dan kontra telah ada selama umat manusia, dan mereka bekerja secara online dan juga secara langsung. Berhati-hatilah terhadap email apa pun yang terkait dengan pandemi, terutama jika email tersebut mendesak Anda untuk mengklik tautan atau mengunduh file. Jika rasa urgensi email palsu membuat Anda khawatir, langsung ke sumbernya daripada menggunakan tautan yang disediakan.
Ingatlah juga bahwa cek yang Anda harapkan dari Paman Sam disebut "pembayaran stimulus ekonomi". Jika Anda melihat frasa seperti "pemeriksaan rangsangan", Anda sedang melihat penipuan.
Saya pribadi belum pernah menemukan penipuan atau penipuan apa pun yang terkait dengan COVID-19, mungkin berkat Google. Dan situs web yang saya kikis untuk menemukan penipuan phishing dunia nyata untuk pengujian berfokus pada pencurian kredensial, bukan jenis penipuan lainnya. Tapi saya tidak ragu sedetik pun bahwa penipu virus ada di luar sana, yang berlaku.
Untuk tips khusus tentang melindungi diri Anda dari jenis ancaman ini, silakan baca Cara Menemukan dan Menghindari Penipuan COVID-19.
Cara Kerja Penipuan Phishing
Kunci untuk menjalankan penipuan phishing yang mencuri kredensial adalah membuat replika situs web aman yang cukup bagus untuk menipu kebanyakan orang, atau bahkan hanya beberapa orang. Dengan pemalsuan paling berkelas, setiap tautan menuju ke situs asli. Nah, setiap tautan kecuali yang mengirimkan nama pengguna dan kata sandi Anda ke pelakunya. Sebagai lapisan gula pada kue, penipu mungkin mencoba membuat URL yang terlihat setidaknya sedikit sah. Alih-alih paypal.com, mungkin pyapal.com, atau paypal.security.reset.com.
Namun, tidak setiap halaman phishing dilakukan dengan baik. Beberapa menggunakan warna yang salah atau gagal mencocokkan halaman yang mereka tiru. Yang lain memiliki URL yang sama sekali tidak meyakinkan, seperti admin.dentistry.com/forms, atau X8el87.journal.com. Bahkan pemalsuan yang lemah ini dapat mengambil beberapa pengisap, rupanya, atau penipu akan menyerah.
Saat Anda memasukkan nama pengguna dan kata sandi di situs phishing, pemilik situs mendapatkan akses penuh ke akun Anda. Agar Anda tidak menyadari bahwa Anda telah ditipu, mereka mungkin meneruskan kredensial ke situs sebenarnya, jadi sepertinya Anda masuk secara normal. Satu-satunya petunjuk Anda mungkin datang ketika Anda menemukan bahwa rekening bank Anda kosong, atau bahwa Anda tidak dapat masuk ke email Anda, dan teman-teman Anda mengatakan bahwa mereka menerima spam dari Anda. Jadi bagaimana Anda melindungi diri Anda dari serangan semacam ini?
Hilangkan Yang Jelas
Beberapa situs web palsu diterapkan dengan sangat buruk untuk meyakinkan siapa pun yang memperhatikan. Jika Anda menautkan ke situs dan terlihat seperti sampah, tekan Ctrl+F5 untuk memuat ulang halaman secara total, jika tampilan buruk itu hanya kebetulan. Tapi jika masih tidak terlihat benar, menjauhlah.
Lihat halaman di atas. Formatnya aneh, dan semakin aneh saat Anda mengubah lebar jendela browser. Label untuk bidang email dan kata sandi bergerak secara berbeda dari bidang entri data yang sesuai. Seberapa sulitkah untuk memusatkan semua konten?
Saat Anda membuat halaman phishing, verifikasi sangat penting. Menggunakan layanan hosting web gratis yang meninggalkan spanduknya di halaman Anda atau domainnya di URL Anda adalah semacam hadiah. Meski begitu, setiap kali saya menjalankan tes perlindungan phishing, saya menemukan beberapa pemalsuan yang bahkan tidak dicoba seperti ini. Siapa yang percaya Facebook menggunakan 000webhostapp.com?
Cek Alamatnya
Peramban web modern beralih dari fokus besar pada bilah alamat. Sekarang setidaknya bilah pencarian-plus-alamat. Tapi bilah alamat itu adalah sumber yang sangat penting saat Anda melihat halaman untuk mengonfirmasi bahwa itu sah. Pelacak phish terbaik dapat melihat URL yang tidak jelas dari sudut mata, bahkan tanpa memikirkannya.
Hati-hati terhadap upaya untuk mengaburkan bagian domain sebenarnya dari URL. Itu adalah bagian yang mendahului akhir .com, .net, .org, dan seterusnya. Apa pun yang muncul sebelum domain hanyalah subdomain. Jika URL fakery.paypal.com ada, itu akan menjadi subdomain dari paypal.com. Jika sebaliknya Anda melihat paypal.fakery.com, itu murni pemalsuan!
Serangan phishing pada akun Dropbox, atau akun penyimpanan online lainnya, tidak memiliki nilai jaminan yang didapat pencuri dari menangkap login bank. Sebaliknya, orang tidak perlu menerapkan tingkat kewaspadaan yang sama ke akun-akun ini. Apa pun mungkin muncul di penyimpanan online, dari daftar pesanan kue Pramuka hingga rencana rahasia untuk misi ke Mars. Demikian juga, tidak ada banyak potensi pendapatan yang jelas dalam menangkap login untuk media streaming, tetapi akses ke akun itu dapat menyebabkan kompromi beberapa akun yang lebih penting dengan kredensial yang sama. Lihat address bar pada gambar di atas. Bahkan jika Anda masuk ke Netflix dengan menipu kredensial dari teman idiot, Anda pasti tidak akan melihat "teman idiot" di URL!
Inilah keanehan lainnya. Jelas URL tidak mewakili Xfinity, atau Comcast, atau merek terkait apa pun. Namun di luar itu, browser mengibarkan bendera merah besar, menunjukkan bahwa sertifikat keamanan situs telah dicabut. Ya, webmaster untuk situs yang valid terkadang mengacau dan membiarkan sertifikat mereka tidak berlaku, tetapi halaman ini jelas merupakan penipuan.
Cari Kunci
Sistem komunikasi HyperText Transfer Protocol (HTTP) yang digunakan untuk komunikasi internet dasar adalah peninggalan dari hari-hari awal world wide web. Ini tidak aman, karena tidak ada yang membayangkan orang lain melakukan hal-hal buruk di internet yang baru lahir. Nah, orang jahat ada di sini, dan satu-satunya cara yang masuk akal untuk terhubung adalah menggunakan protokol HTTPS yang aman. Browser web menampilkan ikon kunci untuk halaman HTTPS. Chrome mengambil langkah lebih jauh, secara aktif menandai situs HTTP "Tidak aman". Anda tidak boleh masuk ke situs mana pun yang tidak menggunakan HTTPS.
"Tapi tunggu," Anda mungkin berpendapat, "bagaimana dengan situs sah yang belum sempat menjadi aman?" Maaf, saya tidak membelinya. Di era HTTPS Everywhere ini, tidak ada alasan. Situs yang ingin Anda masuk tanpa menggunakan HTTPS, meskipun bukan penipuan, tidak sah.
Jika Anda tidak melihat domain .ru, halaman ini mungkin terlihat seperti halaman login Amazon yang sah. Namun, perhatikan bahwa tidak ada kunci, dan alamatnya dimulai dengan http:, bukan https:. Jangan sentuh halaman ini; itu jahat!
Direkomendasikan oleh Editor Kami
Terkadang, Anda tidak bisa mengetahuinya hanya dengan melihat. Situs web Commonwealth Bank menyebut sistem perbankan online-nya Netbank. Halaman aman di netbank.com yang ditunjukkan di atas terlihat sah. Jika Anda tidak yakin, melihat sekilas data whois untuk domain dapat membantu keputusan Anda. Saya pikir kita bisa setuju, sangat tidak mungkin bahwa situs Commonwealth Bank yang sebenarnya akan memarkir hostingnya dengan CrazyDomains.com.
Pertimbangkan Sumbernya
Anda telah mendengarnya jutaan kali. Jangan klik tautan dalam pesan email dari orang yang tidak Anda kenal. Jangan klik tautan dalam pesan dari orang yang Anda kenal , karena mereka mungkin telah diretas. Ini adalah saran yang bagus! Mengklik tautan acak dapat membawa Anda ke situs hosting malware, atau penipuan. Saat tautan membawa Anda ke halaman login, sangat penting untuk mempertimbangkan sumbernya.
Bisa dibayangkan Anda mungkin mendapatkan pesan email dari bank Anda, meskipun banyak bank menghindari bentuk komunikasi itu. Jika Anda mengklik tautan di situs yang tidak terkait dan berakhir di login Bank Armorica, kemungkinan besar itu palsu.
Utilitas Antivirus Nilai Tertinggi kami
Lihat semua (4 item)
Tetapi bagaimana jika bank Anda, atau IRS, atau PayPal benar-benar mencoba menghubungi Anda tentang masalah dengan akun Anda? Solusinya sederhana—lewati tautan dan masuk ke layanan secara langsung, seperti biasanya.
Dapatkan Bantuan Memerangi Phishing
Mengakali para penipu, menemukan tipu muslihat mereka yang paling licik, pasti memberi Anda perasaan yang baik. Tapi Anda mungkin tidak setajam besok, jadi ada baiknya meminta bantuan dalam memerangi penipuan phishing. Peramban modern memiliki perlindungan terhadap situs penipuan bawaan, dan mereka melakukan pekerjaan yang layak. Sebagian besar produk antivirus dan suite keamanan menambahkan perlindungan mereka sendiri terhadap phishing; yang terbaik dari ini mendapatkan skor setinggi perlindungan 100 persen dalam pengujian kami.
Menggunakan pengelola kata sandi juga membantu menjauhkan Anda dari penipuan. Dengan sebagian besar produk semacam itu, Anda dapat mengunjungi situs yang aman dan masuk dengan satu klik. Dan jika Anda entah bagaimana berhasil mencapai situs penipuan, fakta bahwa pengelola kata sandi Anda tidak akan mengisi kredensial login yang disimpan adalah tanda bahaya besar.
Netizen paling cerdas menggunakan jaringan pribadi virtual, atau VPN untuk aktivitas online mereka. Menggunakan VPN melindungi data Anda saat transit, karena data dikirim dalam bentuk terenkripsi ke server VPN. Ini juga menawarkan beberapa perlindungan terhadap cyber-stalking, karena lalu lintas Anda tampaknya berasal dari server VPN, bukan dari alamat IP lokal Anda. Tetapi merutekan lalu lintas web melalui VPN sama sekali tidak membantu melawan phishing. Saat Anda memberikan kredensial Anda kepada pemilik situs phishing, tidak masalah bagaimana mereka sampai di sana. Serangan phishing menargetkan Anda , bukan perangkat atau sistem komunikasi Anda.
Phishing lebih umum daripada yang mungkin Anda sadari. Untuk mendapatkan gambar untuk artikel ini, saya baru saja mengambil lima atau enam lusin penipuan terverifikasi terbaru dari situs pelacakan phish populer dan mengerjakannya, mencari contoh yang bagus. Ya, halaman penipuan masuk daftar hitam dengan cepat, tetapi scammers baru saja ditutup dan muncul dengan halaman scam baru.
Lindungi Diri Anda Dari Phishing
Untuk menghindari rasa sakit karena scammed dari uang tunai Anda yang sangat dibutuhkan, atau rasa malu karena memberikan data sensitif Anda ke penipuan, manfaatkan sumber daya yang tersedia seperti pengelola kata sandi dan sistem deteksi phishing di antivirus Anda. Tapi tetap buka mata Anda sendiri, untuk menemukan penipuan yang lolos. Jika halaman berasal dari tautan yang mencurigakan, jika tidak ada kunci HTTPS di bilah alamat, jika terlihat salah, jangan sentuh! Kewaspadaan Anda akan membuahkan hasil.