Phishing: Cara Mengenali Email Palsu

Serangan phishing merugikan bisnis dan individu miliaran dolar setiap tahun. Email-email tersebut semakin canggih, tetapi masih ada cara yang dapat diandalkan untuk mengenalinya.

Apa Itu Phishing?

Phishing adalah serangan rekayasa sosial di mana penjahat mengirim email yang menyamar sebagai komunikasi sah dari organisasi tepercaya — bank, perusahaan teknologi, lembaga pemerintah, atau pemberi kerja — untuk menipu penerima agar mengungkapkan informasi sensitif, mengklik tautan berbahaya, atau mengunduh malware. Istilah ini berasal dari "fishing" (memancing) — melempar jaring lebar dan berharap seseorang menggigit umpan.

Phishing telah berevolusi jauh melampaui email "Pangeran Nigeria" kasar di awal tahun 2000-an. Kampanye phishing modern menggunakan email yang dirancang secara profesional yang mereplikasi branding, tata letak, dan nada perusahaan sah dengan sempurna. Beberapa menggunakan AI untuk menghasilkan pesan yang dipersonalisasi berdasarkan informasi tentang target yang dikumpulkan dari media sosial dan kebocoran data.

Tanda-Tanda Peringatan yang Harus Diwaspadai

Meskipun semakin canggih, sebagian besar email phishing berbagi karakteristik umum yang bisa membantu Anda mengidentifikasinya:

  • Alamat pengirim tidak cocok: Nama tampilan mungkin bertuliskan "Keamanan PayPal" tetapi alamat email sebenarnya adalah sesuatu seperti "security@paypa1-verify.com." Selalu periksa alamat pengirim lengkap, bukan hanya nama tampilan.
  • Urgensi dan ketakutan: "Akun Anda akan ditangguhkan dalam 24 jam," "Akses tidak sah terdeteksi," "Anda harus memverifikasi segera." Perusahaan sah jarang mengirim email yang menimbulkan panik dan menuntut tindakan segera.
  • Salam umum: "Pelanggan yang terhormat" atau "Pengguna yang terhormat" alih-alih nama Anda. Perusahaan tempat Anda memiliki akun tahu nama Anda dan menggunakannya.
  • Tautan mencurigakan: Arahkan kursor (jangan klik!) pada tautan apa pun di email. Jika URL tidak sesuai dengan domain sah perusahaan, itu phishing. Perhatikan salah eja halus: "arnazon.com" bukan "amazon.com."
  • Lampiran tak terduga: Perusahaan sah jarang mengirim lampiran yang tidak diminta. Waspadai khususnya .zip, .exe, .js, atau dokumen Office dengan macro.
  • Tata bahasa dan format yang buruk: Meskipun ini kurang andal seiring perbaikan AI, banyak email phishing masih mengandung kesalahan tata bahasa halus, format yang tidak konsisten, atau logo beresolusi rendah.

Varian Paling Berbahaya

Spear phishing menargetkan individu tertentu menggunakan informasi pribadi yang dikumpulkan dari media sosial, situs web perusahaan, atau kebocoran data. Email yang menyebutkan jabatan spesifik Anda, proyek terbaru, atau rekan kerja dengan nama jauh lebih meyakinkan daripada pesan massal generik.

Business email compromise (BEC) melibatkan penyamaran sebagai eksekutif perusahaan atau pemasok untuk menipu karyawan agar mentransfer dana atau membagikan data sensitif. Serangan BEC menyebabkan kerugian lebih dari $2,7 miliar pada tahun 2022 saja.

Clone phishing mengambil email sah yang benar-benar Anda terima dan membuat ulang dengan tautan atau lampiran berbahaya, mengirimnya dari alamat palsu yang sangat mirip dengan pengirim asli.

Apa yang Harus Dilakukan Saat Menemukan Email Phishing

  • Jangan klik tautan apa pun atau unduh lampiran apa pun.
  • Jangan balas email tersebut.
  • Jika email mengklaim dari perusahaan yang Anda gunakan, buka tab browser baru dan kunjungi situs web perusahaan secara langsung (ketik URL secara manual) untuk memeriksa akun Anda.
  • Laporkan email sebagai phishing di klien email Anda.
  • Jika Anda sudah mengklik tautan atau memasukkan kredensial, segera ubah kata sandi di situs asli dan aktifkan autentikasi dua faktor.

Pencegahan Melalui Manajemen Alamat

Salah satu pertahanan phishing yang kurang diapresiasi adalah manajemen alamat email. Jika Anda menggunakan alamat unik untuk setiap layanan, Anda bisa langsung mengidentifikasi upaya phishing: email yang mengklaim dari bank Anda tetapi tiba di alamat yang Anda gunakan untuk pendaftaran forum jelas palsu.

Menggunakan alamat sekali pakai dari TempoMail untuk interaksi rendah kepercayaan juga mengurangi eksposur phishing Anda. Jika alamat sementara menerima email phishing, Anda tahu layanan tempat alamat itu digunakan telah mengalami kebocoran atau menjual data Anda — dan Anda bisa membuang alamat tersebut tanpa risiko apa pun terhadap identitas asli Anda.

← Kembali ke semua panduan