Jakarta, gatra.net - Kasus phising menjadi salah satu kasus yang marak terjadi pada 2022 lalu. Ketua National Computer Security Incident Response Team (CSIRT) Badan Siber dan Sandi Nasional (BSSN), Taufik Arianto menjelaskan bahwa aktivitas phising sering terjadi via berbagai aplikasi palsu dan phising perbankan.

"Kasus phising masif di 2022. Ini cukup menggemparkan. Khusus kasus ini, kami telah melakukan pendampingan," ujar Taufik dalam webinar "Lanskap Keamanan Siber Indonesia 2022", Selasa (21/2).

Phising merupakan kejahatan siber dengan memanfaatkan aplikasi palsu yang dibuat seolah-olah mirip dengan aplikasi resmi yang bertujuan untuk menipu calon korban, yang kemudian memasukkan data sensitif seperti username dan password, nomor PIN, data diri pribadi, dan sebagainya.

Modus penipuan phising via aplikasi dilakukan oleh penyerang dengan mengirimkan pesan singkat yang merupakan sebuah file unduhan aplikasi. Bila korban mengklik, aplikasi akan terunduh. Dalam aplikasi, terdapat malware untuk pencurian data dari perangkat terinfeksi terutama data SMS dari perangkat yang kemudian akan dikirimkan pada Command and Control (CnC).

Baca Juga: BSSN Ungkap Serangan Siber APT Masih akan Terjadi di 2023

Sementara metode phising perbankan dilakukan dengan social engineering, yakni ketika pelaku yang menargetkan pengguna online banking untuk mencuri data kredensial banking (username, password, OTP). Mereka biasanya akan mengaku sebagai pegawai dari salah satu bank dan meyakinkan calon korban untuk langsung mempercayai instruksi mereka.

"Bila korban mengikuti dan menginstal aplikasi yang diminta pelaku, maka pelaku bisa melakukan pencurian informasi dan mengambil kredensial akun m-banking yang dimikiki pemilik akun," jelas Taufik.

Karena itu, Taufik menegaskan, masyarakat perlu meningkatkan kehati-hatian. Penerimaan file yang tidak jelas ke perangkat telepon harus diperiksa berulang sebelum benar-benar dibuka atau diunduh.

"Masyarakat juga diharapkan tidak langsung mempercayai dan menjalankan instruksi dari seseorang (via telepon) yang mengaku sebagai pegawai sebuah perusahaan atau bank. Sebaiknya juga tidak mengangkat telepon dari nomor yang tidak dikenal, tanpa pemberitahuan terlebih dahulu," ucapnya.

Baca Juga: Kebocoran Data Administrasi Pemerintah Jadi Sektor Terbanyak di Dark Web

Karenanya, kata Taufik, masyarakat diharapkan tidak memasukkan username dan password pada website atau aplikasi yang tidak terpercaya, tidak memberikan password dan OTP kepada siapa pun, serta disarankan untuk menggunakan password yang berbeda-beda pada tiap aplikasi yang dimiliki. 

Lebih lanjut, Taufik juga menyarankan untuk menggunakan password yang memenuhi kriteria strong password, serta menerapkan atutentifikasi dua langkah ketika login pada layanan aplikasi tertentu. 

"Mengaktifkan pengaturan keamanan dan privasi aplikasi browser dan perangkat untuk memblokir phishing, malware, dan situs malicious lainnya juga dilakukan. Pembaruan untuk sistem operasi, aplikasi, antivirus dan browser secara berkala juga menjadi upaya yang diterapkan," pungkasnya.