Bagaimana Cara Menemukan Email Phishing? [Panduan Definitif]

Setiap tahun ribuan orang kehilangan uang hasil jerih payah mereka karena serangan phishing, yang sebagian besar dilakukan melalui email.

Jika Anda tidak tahu cara mengenali email phishing , Anda harus mengejar ketinggalan. Penipuan tersebut mempengaruhi semua orang dan sekarang lebih luas dari sebelumnya.

Tahukah kamu…?

• Rata-rata pengguna menerima 16 email berbahaya per bulan.
• Lebih dari 75% perusahaan telah mengalami serangan email phishing.
• Pelanggaran digital merugikan perusahaan menengah rata-rata $ 1,6 juta.
• Phishing adalah industri $5- miliar dolar.
• 97% orang tidak dapat mengidentifikasi email phishing, menurut survei terbaru.

Seperti yang Anda lihat, phishing adalah ancaman serius bagi individu dan bisnis — dan kesalahan kecil dapat merugikan banyak orang.

Ini menimbulkan pertanyaan:

Bagaimana Anda bisa melindungi diri sendiri?

Kuncinya adalah memahami cara kerja jenis penipuan ini dan tanda-tanda peringatannya. Ini akan memungkinkan Anda untuk melihat email penipuan satu mil jauhnya.

Jangan khawatir, mengalahkan penjahat dunia maya lebih mudah dari yang Anda kira — dan di akhir artikel, Anda akan menemukan cara melakukannya.

Jadi, mari kita berguling.

Apa itu Phising?

Phishing mirip dengan memancing di kolam, tetapi alih-alih memasang kail ke pancing, phisher memasukkannya ke dalam email. Dengan cara ini, mereka dapat mencuri informasi pribadi.

Sekarang Anda mungkin bertanya-tanya:

Bagaimana ini dilakukan?

Nah, phisher berpura-pura sebagai orang atau perusahaan asli dan meyakinkan pengguna untuk mengklik tautan ke situs web, yang terlihat seperti real deal. Ini sebenarnya palsu, dirancang untuk menjadi "pengait" di seluruh operasi. Setelah pengguna memasukkan informasi mereka, itu secara efektif dicuri.

Sebagai alternatif, peretas mungkin menipu orang agar mengunduh file yang terlihat tidak berbahaya tetapi sebenarnya adalah malware atau ransomware.

Malware adalah perangkat lunak berbahaya yang dirancang untuk mencuri data. Sebaliknya, ransomware mengenkripsi semua file di komputer yang terinfeksi. Peretas kemudian dapat meminta uang tebusan untuk mende-enkripsi data.

Sekarang setelah kita mengetahui apa itu phishing, mari kita cari tahu jenis serangan phishing yang paling umum.

6 Serangan Phishing Umum

Serangan phishing datang dalam berbagai bentuk dan ukuran:

1. Penipuan phishing

Phishing yang menipu adalah jenis penipuan email phishing yang paling tidak canggih dan paling umum . Ini menggunakan pendekatan "semprot dan berdoa", di mana surat massal dikirim ke jutaan pengguna.

Ini adalah pesan “Anda telah memenangkan hadiah” dan “Pesan MENDESAK dari bank Anda” yang mencoba mengelabui pengguna dengan menanamkan rasa takut pada mereka atau dengan membutakan mereka dengan keserakahan.

Paling sering, halaman web palsu terlibat, yang terlihat sangat mirip dengan aslinya.

Misalnya, scammer PayPal mungkin mengirim email, meminta pengguna mengeklik tautan untuk memperbaiki masalah dengan akun mereka. Tautan akan mengarahkan mereka ke halaman PayPal palsu, tempat detail login mereka akan dikumpulkan dan dikirim ke situs lain.

Terkadang, peretas mempermainkan keingintahuan pengguna dengan mengirimkan email kosong dengan lampiran berbahaya.

Inilah tepatnya bagaimana Locky ransomware, yang dianggap sebagai salah satu malware enkripsi file paling efektif, menyebar pada tahun 2017.

Hanya dalam 24 jam, pelaku ancaman mengirimkan 23 juta email dengan file zip yang menyembunyikan muatan berbahaya – dan baris subjek yang bertuliskan “pindai”, “cetak”, atau “unduh”.

Setelah seseorang mengklik file tersebut, ransomware Locky mengenkripsi semua file mereka di komputer tersebut. Untuk mendapatkan kembali datanya, para korban yang malang harus membayar 0,5 bitcoin ($2,300 pada saat itu).

Seiring waktu, penipuan semacam itu menjadi semakin canggih. Jika Anda ingin melindungi diri sendiri, Anda harus tahu cara mengidentifikasi email phishing .

Pencegahan adalah satu-satunya pendekatan yang layak di sini. Setelah Anda menjalankan perangkat lunak berbahaya, tidak banyak yang dapat Anda lakukan.

2. Phising tombak

Tidak seperti phishing yang menipu, jenis penipuan ini jauh lebih personal.

Pelaku ancaman menyesuaikan email serangan dengan nama target dan detail lainnya untuk mengelabui mereka agar percaya bahwa email itu asli.

Tujuan spear phishing sama dengan phishing yang menipu — untuk membujuk korban agar mengunduh file berbahaya atau memasukkan informasi pribadi di halaman web palsu.

Pada tingkat pribadi, penyerang dapat menyamar sebagai bisnis yang Anda percaya – seperti bank Anda.

Mereka mungkin mengirim email yang menyatakan ada beberapa perbedaan di akun Anda. Untuk memperbaikinya, diduga, Anda harus mengklik tautan yang ditentukan dan mengisi bidang yang diperlukan.

Sementara penipuan semacam itu memang menargetkan individu, lebih sering daripada tidak, mereka ditujukan untuk bisnis.

Pesan phishing tombak yang menargetkan perusahaan dapat datang dalam berbagai bentuk, seperti pesanan pembelian palsu dari klien atau permintaan pelanggan palsu.

Namun, tema utamanya tetap sama — untuk membuai penerima agar percaya bahwa email tersebut berasal dari sumber yang dapat dipercaya.

3. Penipuan CEO

Ini adalah jenis penipuan phishing yang sangat spesifik.

Ini bekerja seperti ini:

Peretas menyamar sebagai CEO sebuah perusahaan dan mengirim pesan email ke karyawan tingkat tinggi, meminta transfer uang ke akun tertentu.

Kunci dari kampanye jahat semacam itu adalah memiliki informasi yang cukup tentang CEO perusahaan dan menampilkan diri Anda sebagai mereka.

Ini adalah satu-satunya (dan ini yang besar) yang membuat mereka menonjol dari kampanye phishing "semprot dan berdoa".

4. Dropbox phishing

Beberapa phisher menargetkan pengguna dari perusahaan atau layanan tertentu.

Ambil Dropbox, misalnya. Jutaan orang menggunakannya setiap hari untuk berbagi file dan membuat cadangan.

Mengingat popularitasnya, tak heran para peretas berulang kali mengincar penggunanya.

Dalam satu serangan seperti itu, pengguna Dropbox diberi tahu bahwa seseorang telah mengirimi mereka file, tetapi file itu terlalu besar untuk dikirim sebagai lampiran email. Para phisher telah "dengan nyaman" memberikan tautan, dari mana untuk mengakses file tersebut.

Tentu saja, tautan tersebut mengarah ke halaman login Dropbox palsu, tempat penjahat dunia maya dapat mencuri kredensial login pengguna.

5. Phishing Google Documents

Peretas menargetkan pengguna Google Documents dengan cara yang hampir sama seperti mereka memangsa pengguna Dropbox.

Yaitu, mereka membuat halaman login akun Google palsu dan kemudian menggunakannya untuk mengumpulkan kredensial pengguna.

Baiklah, jadi ini hanya beberapa contoh email phishing . Ada banyak jenis penipuan lain yang terjadi.

Meskipun tujuan dan mekanisme serangan ini mungkin berbeda, semuanya berpusat pada membujuk pengguna untuk mengunduh file berbahaya atau memasukkan informasi pribadi di halaman web palsu.

Sekarang, mari kita pelajari cara mengidentifikasi serangan semacam itu.

10 Tips Cara Menemukan Email Phishing

Tahukah Anda 135 juta upaya serangan phishing terjadi setiap hari? Atau bahwa hampir 25% korban tidak pernah sepenuhnya memulihkan kerugian mereka?

Ancaman serangan email phising memang nyata.

Hal ini karena:

Phisher menargetkan perusahaan dan individu.

Jika Anda menggunakan email, secara teknis Anda berisiko.

Jadi apa yang dapat Anda lakukan untuk menjaga diri Anda tetap aman?

Nah, simak tips berikut ini saat Anda membuka kotak masuk nanti.

1. Jangan mempercayai nama tampilan secara membabi buta.

Mengubah nama tampilan email adalah cara klasik yang digunakan oleh phisher.

Begini Cara kerjanya:

Penyerang menyamar sebagai perusahaan dengan menggunakan namanya saat mengirim email kepada Anda dari email yang sama sekali berbeda.

Misalnya, katakanlah seorang peretas ingin menipu merek “Bank of America.” Dia mungkin menggunakannya dengan nama domain yang belum pernah terdengar, seperti secure.com .

Jadi email yang dikirimkan kepada Anda akan terlihat seperti ini:

Setelah terkirim, email tampak asli, karena sebagian besar kotak masuk hanya menampilkan nama tampilan.

Namun, mempercayai nama tampilan secara membabi buta dapat membuat Anda dalam masalah — seperti yang ditunjukkan pada contoh di atas.

Jadi apa solusinya?

Pertama, periksa alamat email di bidang "dari" pada header email.

Jika tidak sesuai dengan nama yang ditampilkan, Anda dapat bertaruh bahwa itu adalah penipuan.

Meskipun demikian, meskipun alamat emailnya terlihat asli, itu tidak cukup! Peretas juga diketahui mengubah alamat email.

Kabar baiknya adalah hanya itu yang bisa mereka palsukan.

Bidang lain di header email dapat memberi tahu Anda keseluruhan cerita. Yaitu - bidang "dikirim oleh" dan "ditandatangani oleh".

Email dari perusahaan yang sah akan memiliki bagian ini. Lebih penting lagi, bidang "dikirim oleh" dan "ditandatangani oleh" akan memiliki nama perusahaan yang sama.

Berikut ini contohnya:

Jika ada ketidakcocokan antara mailed-by dan sign-by, email tersebut bisa jadi scam.

Berikut ini adalah contoh dari phishing, di mana sedangkan dikirim oleh dan ditandatangani-oleh medan yang hadir, mereka tidak cocok.

2. Periksa URL untuk nama domain yang menyesatkan.

Misalnya Anda menerima email dari alamat ini:

Apple.Infocenter.com

Sekarang, apakah menurut Anda domain ini milik Apple?

Jika Anda mengatakan ya, Anda salah. Peretas sering mengeksploitasi kurangnya pengetahuan orang tentang cara kerjanya.

Soalnya, dalam sebuah nama domain, bagian terakhir adalah yang paling penting, sedangkan yang di sebelah kiri pada dasarnya tidak penting.

Jadi, dalam contoh di atas, "Infocenter" adalah nama domain yang sebenarnya. Ini berarti perusahaan tidak dikenal bernama Infocenter — bukan Apple — telah mengirimkan email kepada Anda.

Menggunakan nama terkenal sebagai domain anak adalah salah satu tanda phishing .

Peretas sering menggunakan taktik ini untuk mengelabui pengguna agar percaya bahwa email tersebut berasal dari sumber yang memiliki reputasi baik.

Untungnya, Anda sekarang tahu lebih baik dan tidak akan jatuh cinta pada trik murahan seperti itu.

3. Periksa tautan sebelum mengkliknya.

Tidak ada yang bisa memalsukan nama domain – itu tidak mungkin.

Namun, setiap run-of-the-mill hacker dapat menyamarkannya dalam link - yang semudah pie.

Ini membawa kita ke pertanyaan utama:

Bagaimana penjahat dunia maya menyembunyikan tautan berbahaya?

Yah, biasanya mereka menggunakan salah satu dari tiga taktik yang akan kami sebutkan sekarang.

Pertama , mereka mungkin menggunakan layanan pemendekan tautan untuk menyembunyikan tujuan sebenarnya dari sebuah tautan. Jadi – jika Anda melihat tautan singkat di email yang tidak diminta, berhati-hatilah.

Jangan klik tautan semacam itu. Sebagai gantinya, pertama-tama cari tahu tentang apa tautan itu menggunakan alat perluasan URL gratis, seperti CheckShortURL atau LinkExpander .

Taktik umum lainnya adalah menggunakan penyandian URL untuk menyembunyikan tujuan situs phishing. Misalnya, ketika huruf "A" dikodekan dengan URL, akan terbaca sebagai %41 .

Berikut ini contoh tautan yang disandikan: http%3A%2F%2Ftiny.cc%3F712q431bca

Tautannya terlihat aneh — dan itu sering kali merupakan tanda peringatan yang dapat diandalkan bahwa ada sesuatu yang mencurigakan.

Inilah intinya:

Jika tautan memiliki banyak % di dalamnya, jangan klik.

Terakhir , manuver terakhir untuk menyembunyikan URL adalah dengan meletakkan tautan dalam teks. Untungnya, mengidentifikasi email phishing semacam itu mudah.

Cukup arahkan mouse ke teks hyperlink dan Anda akan melihat tautan sebenarnya.

4. Ada lampiran yang tidak diminta.

Email dengan lampiran yang tidak diminta berbau penipuan:

Biasanya, bisnis yang sah tidak mengirim email acak dengan lampiran. Jika mereka ingin Anda mengunduh sesuatu, mereka lebih suka mengarahkan Anda ke situs web mereka sendiri.

Jika pengirimnya adalah individu dan seseorang yang Anda kenal, berhati-hatilah terhadap jenis file lampiran berisiko tinggi seperti .zip, .exe, dan .scr.

Jika Anda tidak yakin, hal terbaik yang harus dilakukan adalah langsung menghubungi pengirim dan mengonfirmasi apakah memang mereka yang mengirim email.

5. Periksa kesalahan ejaan.

Jika email diisi dengan kesalahan ketik, tata bahasa yang buruk, kesalahan pemformatan, atau bahasa yang canggung, kemungkinan besar itu adalah penipuan.

Bisnis yang sah memperhatikan saat membuat email ke pelanggan mereka.

Sementara hacker telah menjadi lebih canggih, mereka kadang-kadang masih membuat kesalahan dasar. Anda masih dapat mengidentifikasi email yang mencurigakan dengan mudah hampir sepanjang waktu.

6. Baca salam dengan seksama.

Kepada siapa email itu ditujukan? Apakah ditujukan secara samar-samar, seperti dalam “Pelanggan yang Terhormat”?

Jika ya, itu mungkin scam.

Lebih sering daripada tidak, bisnis yang sah menggunakan nama depan dan belakang Anda.

7. Email tersebut meminta Anda untuk mengirim uang.

Ini adalah hadiah mati.

Lagi pula, uang Anda adalah apa yang dicari oleh phisher. Jika mereka menulis surat kepada Anda, mereka akan memintanya, cepat atau lambat.

Jangan bertindak berdasarkan email yang meminta Anda mengirim uang untuk menutupi biaya, pengeluaran, pajak, atau yang serupa. Ini adalah penipuan yang pasti.

8. Email meminta informasi pribadi

Itu selalu pertanda buruk ketika email meminta informasi pribadi, seperti nomor kartu kredit atau detail rekening bank.

Bank Anda tidak akan menanyakan detail rekening Anda. Ini sudah memiliki mereka.

Demikian pula, perusahaan atau lembaga pemerintah terkemuka lainnya tidak akan mengirim email kepada Anda untuk membagikan informasi rahasia. Itu bukan cara mereka beroperasi.

Jika Anda menerima email semacam itu, Anda dapat yakin bahwa itu adalah bagian dari penipuan phishing.

9. Email membuat tawaran atau ancaman yang tidak realistis.

Phisher sering menipu orang agar menyerahkan uang atau informasi sensitif dengan menjanjikan hadiah atau sekadar menakut-nakuti mereka.

Berikut ini contohnya:

Anda mendapatkan email yang meminta Anda untuk segera mengisi formulir (yang menanyakan detail akun Anda.) Itu, diduga, jika Anda tidak ingin rekening bank Anda dibatalkan dan aset disita.

Nah, ini jelas penipuan.

Anda tidak perlu menjadi Sherlock Holmes untuk mengetahui bahwa bank tidak menutup rekening dan menyita aset hanya karena seseorang tidak membalas email.

Demikian juga, jika email menawarkan hadiah yang kedengarannya terlalu bagus untuk menjadi kenyataan, berhati-hatilah.

10. Tinjau baris tanda tangan.

Anda dapat mengidentifikasi serangan phishing dari baris tanda tangan.

Apakah email tersebut memberikan informasi tentang pengirimnya? Apakah itu mencantumkan informasi kontak perusahaan?

Jika tidak, kemungkinan besar email tersebut merupakan upaya phishing.

Perusahaan terkemuka selalu memberikan informasi seperti itu di email mereka.

Namun, mendapatkan solusi antivirus yang baik juga dapat membantu Anda tetap aman.

Membungkus

Phishing adalah jenis serangan rekayasa sosial, di mana peretas mencoba mencuri informasi pribadi pengguna.

Seiring waktu, serangan seperti itu menjadi lebih sering, dengan penelitian menunjukkan bahwa 135 juta serangan email phishing dilakukan setiap hari.

Cara terbaik untuk menggagalkan penipuan tersebut adalah untuk mengetahui bagaimana menemukan email phishing .

Artikel ini telah menyoroti apa yang harus dicari ketika Anda membuka email. Perhatikan itu - dan Anda akan baik-baik saja.

Baiklah, jadi ini adalah panduan lengkap untuk mengetahui cara mengenali email phishing .

Hati-hati!