Apa Itu Phishing? Cara Mengenali dan Menghindari Penipuan Online di Indonesia

Apa itu phishing?

Phishing adalah teknik penipuan siber di mana pelaku menyamar sebagai institusi atau perusahaan terpercaya untuk mencuri data pribadi, kata sandi, atau informasi keuangan korban. Istilah ini berasal dari kata bahasa Inggris "fishing" (memancing) karena pelaku melempar umpan dan menunggu korban yang terjebak.

Di Indonesia, phishing menjadi salah satu kejahatan siber yang paling sering terjadi. Dengan lebih dari 213 juta pengguna internet dan tingkat literasi digital yang masih berkembang, Indonesia menjadi target utama para pelaku phishing internasional maupun lokal. Setiap bulan, kata kunci "phishing" dicari lebih dari 14.800 kali oleh pengguna internet Indonesia.

Serangan phishing di Indonesia memanfaatkan merek-merek yang dipercaya masyarakat: bank besar seperti BCA, Mandiri, dan BRI, platform e-commerce seperti Tokopedia dan Shopee, serta dompet digital seperti GoPay dan OVO. Memahami apa itu phishing dan bagaimana cara kerjanya adalah langkah pertama untuk melindungi diri Anda.

Jenis-jenis serangan phishing

Pelaku phishing menggunakan berbagai metode tergantung pada saluran komunikasi dan tingkat personalisasi serangan:

• Email phishing: metode klasik di mana Anda menerima email yang tampak berasal dari BCA, Mandiri, atau Tokopedia dengan tautan ke situs web palsu yang meniru tampilan situs asli
• Smishing (SMS phishing): pesan teks yang mengaku dari bank atau layanan pengiriman, biasanya berisi tautan pendek dan pesan mendesak tentang pemblokiran rekening atau paket yang tertahan
• Vishing (voice phishing): panggilan telepon di mana pelaku berpura-pura menjadi petugas bank atau customer service untuk meminta PIN, OTP, atau kode keamanan Anda
• WhatsApp phishing: pesan WhatsApp dengan tawaran hadiah palsu, undian berhadiah, atau tautan ke situs web yang mencuri kredensial login Anda
• Spear phishing: serangan yang ditargetkan ke individu tertentu menggunakan informasi pribadi yang diperoleh dari media sosial atau kebocoran data sebelumnya

Semua jenis phishing memiliki satu kesamaan: menciptakan rasa urgensi agar Anda bertindak tanpa berpikir. Pesan selalu mengandung ancaman ("rekening Anda akan diblokir") atau tawaran menggiurkan ("Anda memenangkan hadiah Rp10 juta") yang mendorong Anda untuk segera mengklik.

Modus phishing yang umum di Indonesia

Pelaku phishing di Indonesia memanfaatkan institusi dan merek yang dipercaya oleh masyarakat. Berikut adalah modus yang paling sering dilaporkan:

• Email palsu BCA, Mandiri, dan BRI: email yang memberitahu bahwa rekening Anda akan diblokir atau ada transaksi mencurigakan. Tautan di dalamnya mengarah ke situs yang tampak identik dengan internet banking asli, tetapi domainnya berbeda (misalnya klikbca-verifikasi.com alih-alih klikbca.com)
• Penipuan Tokopedia dan Shopee: email konfirmasi pesanan palsu atau pemberitahuan "masalah dengan akun Anda" yang meminta Anda login melalui tautan yang disediakan. Pelaku mendapatkan akses ke akun dan saldo Anda
• Penipuan GoPay dan OVO: pesan WhatsApp atau SMS yang mengklaim ada masalah dengan dompet digital Anda dan meminta Anda mengklik tautan untuk "verifikasi". Pelaku kemudian menguras saldo GoPay atau OVO Anda
• SMS undian berhadiah: pesan yang mengklaim Anda memenangkan hadiah dari Telkomsel, Indosat, atau XL. Untuk "mengklaim hadiah", Anda diminta membayar pajak melalui transfer bank
• Email palsu Dirjen Pajak: email yang tampak berasal dari pajak.go.id tentang pengembalian pajak atau kewajiban pajak tertunggak, dengan tautan ke formulir yang mencuri NPWP dan data pribadi Anda

Situs phishing di Indonesia semakin canggih. Banyak yang menggunakan sertifikat SSL (gembok hijau di browser) dan desain yang nyaris identik dengan situs asli. Perbedaannya hanya terletak pada domain yang sedikit berbeda dari yang asli.

Cara mengenali email dan pesan phishing

Mengenali phishing membutuhkan ketelitian terhadap detail. Berikut adalah tanda-tanda yang paling dapat diandalkan untuk mengidentifikasi pesan penipuan:

1. Periksa alamat pengirim: email mungkin menampilkan "BCA" sebagai nama pengirim, tetapi alamat email sebenarnya adalah sesuatu seperti bca-notifikasi@gmail.com, bukan @bca.co.id. Selalu verifikasi domain lengkap pengirim
2. Arahkan kursor ke tautan: tanpa mengklik, arahkan kursor ke tautan untuk melihat URL sebenarnya. Jika tertulis "Login ke Internet Banking BCA" tetapi tautannya mengarah ke klikbca-update.com, itu phishing
3. Perhatikan bahasa yang digunakan: banyak email phishing menggunakan terjemahan mesin yang tidak alami, ejaan yang salah, atau tata bahasa yang janggal. Institusi resmi menggunakan bahasa Indonesia yang baku dan profesional
4. Waspadai rasa urgensi: frasa seperti "rekening Anda akan diblokir dalam 24 jam" atau "segera verifikasi atau akun Anda dihapus" adalah tanda bahaya. Institusi resmi tidak mengancam melalui email atau SMS
5. Jangan unduh lampiran mencurigakan: file .apk, .exe, atau bahkan .pdf dari pengirim yang tidak dikenal bisa mengandung malware yang dirancang untuk mencuri data dari perangkat Anda

Jika Anda ragu tentang keaslian sebuah pesan, jangan klik tautan apa pun. Buka browser baru dan ketik langsung URL resmi institusi tersebut (klikbca.com, mandirionline.com, tokopedia.com) untuk memverifikasi apakah ada notifikasi yang sesungguhnya.

Cara melaporkan phishing di Indonesia

Jika Anda menerima email, pesan, atau panggilan phishing, penting untuk melaporkannya. Pelaporan membantu pihak berwajib untuk melacak dan menonaktifkan kampanye penipuan yang sedang aktif:

• Patrolisiber.id: portal resmi Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri. Anda dapat melaporkan phishing melalui formulir online di patrolisiber.id atau mengirim email ke cybercrime@polri.go.id
• Kominfo: untuk konten penipuan online, laporkan melalui aduankonten.id. Kominfo dapat memblokir situs phishing melalui sistem Internet Positif
• Call center bank: jika phishing melibatkan rekening bank Anda, segera hubungi BCA (1500888), Mandiri (14000), BRI (14017), atau BNI (1500046) untuk memblokir rekening dan mengamankan akun Anda
• OJK (Otoritas Jasa Keuangan): laporkan penipuan keuangan melalui kontak157.ojk.go.id atau hubungi 157

Simpan tangkapan layar dari email atau pesan penipuan, termasuk alamat pengirim dan tautan yang terdapat di dalamnya. Bukti ini sangat penting bagi pihak berwajib untuk menyelidiki kasus Anda. Ketahui juga hak Anda berdasarkan UU Pelindungan Data Pribadi jika data Anda bocor akibat serangan phishing.

Cara melindungi diri dari phishing

Selain belajar mengenali pesan palsu, Anda dapat mengambil langkah-langkah teknis untuk mengurangi risiko menjadi korban phishing secara signifikan:

• Aktifkan autentikasi dua faktor (2FA): di internet banking, email, dan akun e-commerce Anda. Dengan 2FA, pelaku tetap tidak bisa masuk meskipun berhasil mendapatkan kata sandi Anda
• Gunakan pengelola kata sandi: aplikasi seperti Bitwarden tidak akan mengisi otomatis kata sandi di situs palsu. Jika pengelola kata sandi Anda tidak mengenali URL-nya, itu pertanda situs tersebut bukan yang asli
• Perbarui perangkat lunak secara berkala: pembaruan browser dan sistem operasi menyertakan perbaikan keamanan yang menutup celah yang dieksploitasi pelaku phishing
• Aktifkan notifikasi transaksi: nyalakan pemberitahuan untuk setiap transaksi di aplikasi perbankan Anda sehingga Anda langsung mendeteksi transaksi yang tidak sah
• Periksa apakah data Anda bocor: gunakan pemeriksa kebocoran data untuk mengetahui apakah email atau kata sandi Anda muncul di basis data yang telah dibobol

Perlindungan terhadap phishing adalah kombinasi antara kebiasaan keamanan dan perangkat teknis. Tidak ada satu langkah pun yang sempurna, tetapi secara bersama-sama langkah-langkah ini membentuk pertahanan yang kuat.

Bagaimana Escudo VPN melindungi Anda dari phishing

Escudo VPN melengkapi kebiasaan keamanan Anda dengan perlindungan teknis di tingkat jaringan. Pemblokiran domain berbahaya di tingkat DNS mencegah perangkat Anda terhubung ke situs phishing yang sudah diketahui, bahkan jika Anda secara tidak sengaja mengklik tautan penipuan.

Saat Anda terhubung ke WiFi publik di kafe, bandara, atau pusat perbelanjaan, pelaku dapat membuat hotspot palsu atau mencegat lalu lintas Anda untuk mengarahkan Anda ke situs phishing. Escudo VPN mengenkripsi seluruh lalu lintas Anda dengan WireGuard dan perlindungan pasca-kuantum melalui Rosenpass, menghilangkan vektor serangan ini sepenuhnya.

Selain itu, Escudo memblokir pelacak iklan dan skrip pelacakan yang mengumpulkan data penjelajahan Anda. Data ini dapat digunakan oleh pelaku untuk membuat serangan spear phishing yang secara khusus ditargetkan kepada Anda.