Smishing adalah ancaman siber yang semakin marak terjadi, dan banyak orang masih belum menyadari bahayanya. Apakah Anda pernah menerima pesan teks yang mencurigakan dan meminta informasi pribadi?
Smishing merupakan metode penipuan yang mencuri data penting Anda. Dalam artikel ini, kita akan membahas lebih lanjut tentang apa itu smishing, bagaimana cara kerjanya, serta langkah-langkah yang dapat diambil untuk melindungi diri dari serangan ini.
Apa itu Smishing?
Smishing adalah singkatan dari SMS phishing, yaitu metode penipuan yang dilakukan melalui pesan teks. Smishing menggabungkan istilah “SMS” dan “phishing“. Serangan rekayasa sosial ini di mana penjahat siber menggunakan SMS palsu untuk mengelabui orang agar membocorkan informasi, mengunduh malware, atau bahkan mengirim uang.
Dalam serangan penipuan lewat sms ini, penipu berpura-pura menjadi entitas terpercaya, seperti bank atau perusahaan terkenal, dan mengirimkan pesan teks yang tampak mendesak, meminta penerima untuk mengeklik tautan atau membalas dengan informasi pribadi.
Smishing menjadi semakin populer karena beberapa faktor. Penjahat siber menyadari bahwa orang cenderung lebih percaya dan mengklik pesan SMS dibandingkan tautan lainnya. Selain itu, kemajuan dalam filter spam telah membuat phishing melalui email dan panggilan telepon semakin sulit, sehingga smishing menjadi alternatif yang lebih efektif.
Meningkatnya penggunaan perangkat pribadi (BYOD) dan kerja jarak jauh juga memperbesar peluang bagi penjahat siber untuk mengakses jaringan perusahaan melalui ponsel karyawan, menjadikan smishing ancaman yang semakin serius.
Cara Kerja Smishing
Berikut ini penjelasan setiap tahapan dari cara kerja smishing dalam menggaet korban:
1. Pengiriman SMS
Langkah pertama dalam smishing adalah pengiriman pesan teks atau SMS yang mencurigakan kepada target korban. Penyerang seringkali menggunakan nomor ponsel yang diambil dari database yang dicuri atau nomor acak yang dihasilkan secara otomatis.
Pelaku jahat mengirimkan pesan teks yang tampak biasa namun sebenarnya berisi tautan atau informasi yang mencoba memperdaya Anda agar mengkliknya. Serangan ini biasanya dilakukan melalui aplikasi pesan non-SMS seperti WhatsApp atau Snapchat, sehingga meningkatkan risiko bagi pengguna.
2. Penipuan Melalui SMS
Penipuan melalui SMS melibatkan pesan teks yang dirancang secara khusus untuk memanipulasi emosi calon korban. Pesan-pesan ini seringkali berisi informasi palsu yang menarik perhatian, seperti penawaran menggiurkan, permintaan mendesak, atau pemberitahuan yang memicu rasa cemas.
Contoh umumnya adalah klaim palsu tentang akun yang terblokir, pengumuman hadiah yang dimenangkan, atau peringatan tentang aktivitas mencurigakan. Penyerang menggunakan taktik ini untuk memancing respons cepat dari korban, sehingga mereka lebih mudah jatuh ke dalam perangkap dan memberikan informasi pribadi yang berharga.
3. Permintaan Informasi Sensitif
Dalam pesan smishing, pelaku penipuan sering menyamar sebagai perusahaan terkemuka, institusi keuangan, atau organisasi pemerintah untuk mengelabui korban. Mereka mengirim pesan tampak meyakinkan, meminta korban untuk memasukkan informasi sensitif seperti kata sandi, nomor kartu kredit, nomor identifikasi pribadi, atau data keuangan lainnya.
4. Penggunaan Tautan Mencurigakan
Pesan teks smishing sering kali menyertakan tautan yang mengarahkan korban ke situs web palsu atau berbahaya. Tautan ini biasanya disamarkan agar terlihat seperti URL yang sah, dengan tujuan membingungkan korban.
Korban bisa diminta untuk mengklik tautan tersebut dengan alasan seperti “memperbarui informasi akun,” “mengklaim hadiah,” atau “melihat pesan penting.” Dengan mengklik tautan ini, korban bisa tanpa sadar memberikan akses kepada penipu untuk mencuri informasi pribadi atau melakukan tindakan berbahaya lainnya.
5. Pencurian Informasi Sensitif
Jika korban mengklik tautan tersebut dan memasukkan informasi sensitif yang diminta, pelaku dapat dengan mudah mengambil data penting korban. Data curian ini kemudian digunakan untuk penipuan keuangan, pencurian identitas, dan akses ilegal ke akun korban.
Jenis-jenis Smishing
Terdapat beberapa jenis smishing yang sering dipakai oleh penipu. Berikut ini 7 jenis-jenis smishing:
1. Pesan Tebusan Palsu (Fake Ransom Messages)
Pesan tebusan palsu adalah salah satu jenis smishing di mana penyerang secara aktif mengirimkan pesan teks atau SMS yang mengklaim bahwa perangkat korban telah diretas atau terinfeksi malware. Penyerang akan menakut-nakuti korban dengan ancaman serius, seperti kehilangan akses ke perangkat atau data mereka.
Untuk mencegah konsekuensi yang lebih buruk, penyerang kemudian meminta korban membayar tebusan. Pesan ini dirancang untuk menimbulkan kepanikan, sehingga korban merasa terdesak untuk segera memenuhi permintaan tersebut tanpa berpikir panjang.
2. Pemalsuan Identitas Perbankan (Banking Identity Spoofing)
Penyerang sering menyamar sebagai bank atau lembaga keuangan terkenal dengan mengirimkan pesan teks atau SMS yang meminta Anda untuk memverifikasi atau memperbarui informasi akun.
Pesan ini biasanya berisi tautan yang mengarahkan Anda ke situs web palsu yang dirancang agar terlihat seperti situs resmi bank, dengan tujuan mengumpulkan informasi sensitif Anda.
3. Penawaran Penipuan (Scam Offers)
Penawaran penipuan dalam smishing sering kali menyasar korban dengan iming-iming hadiah gratis, diskon besar, atau promosi eksklusif yang tampak sangat menarik. Biasanya, pesan teks atau SMS ini dirancang untuk memikat perhatian Anda dengan tawaran yang terlalu bagus untuk dilewatkan.
Namun, jangan tertipu pesan tersebut biasanya mengarahkan Anda untuk mengklik tautan yang mencurigakan atau meminta Anda untuk memberikan informasi pribadi. Tujuan utama dari penawaran ini adalah untuk mengumpulkan data pribadi Anda atau mengarahkan Anda ke situs web berbahaya.
4. Notifikasi Transaksi Palsu (Fake Transaction Notifications)
Penyerang sering kali mengirimkan pesan teks atau SMS palsu kepada korban, mengklaim bahwa ada transaksi mencurigakan atau tidak sah pada akun mereka. Pesan ini dirancang untuk membuat korban merasa khawatir dan segera bertindak.
Pesan tersebut biasanya meminta korban untuk mengonfirmasi atau memverifikasi informasi akun mereka. Mereka akan diminta untuk mengklik tautan berbahaya atau membalas pesan dengan rincian akun mereka. Jika korban mengikuti instruksi ini, mereka bisa memberikan akses kepada penyerang untuk mencuri informasi pribadi dan finansial mereka.
5. Pesan Kode Otentikasi Palsu (Fake Authentication Code Messages)
Dalam tipe smishing ini, penyerang berusaha memperoleh akses ke akun online korban dengan mengirimkan pesan teks atau SMS yang terlihat resmi. Pesan tersebut biasanya mengklaim bahwa korban perlu memasukkan kode otentikasi yang dikirimkan melalui SMS untuk memverifikasi identitas mereka.
Setelah menerima kode tersebut, korban diminta untuk mengirimkannya kembali ke penyerang. Dengan cara ini, penyerang dapat memperoleh informasi yang diperlukan untuk mengakses akun korban secara ilegal.
6. Pesan Hadiah Palsu (Fake Prize Messages)
Penyerang sering kali mengirim pesan teks atau SMS yang mengklaim bahwa Anda telah memenangkan hadiah besar atau undian menarik. Pesan-pesan ini dirancang untuk terlihat sah dan menggugah rasa penasaran.
Biasanya, pesan tersebut meminta Anda untuk memberikan informasi pribadi atau keuangan, atau bahkan membayar biaya administrasi untuk mengklaim hadiah yang sebenarnya tidak ada.
Jangan terjebak oleh iming-iming hadiah ini, pastikan untuk selalu verifikasi keabsahan pesan dan hindari memberikan informasi pribadi atau melakukan pembayaran kepada pengirim yang tidak dikenal.
7. Peringatan Keamanan Palsu (Fake Security Alerts)
Jenis smishing ini terjadi ketika penyerang mengirimkan pesan teks atau SMS yang tampaknya berasal dari sumber yang sah dan mengklaim bahwa akun korban berada dalam bahaya atau telah diserang. Pesan ini sering kali mengancam keamanan akun korban dan mendesak mereka untuk segera mengambil tindakan.
Penyerang biasanya meminta korban untuk mengklik tautan atau membalas pesan dengan informasi pribadi mereka, dengan dalih untuk “melindungi” akun mereka dari ancaman yang diklaim. Penting untuk berhati-hati dan memverifikasi keaslian pesan sebelum memberikan informasi pribadi.
Cara Mengidentifikasi Smishing
Terdapat cara untuk mengetahui serangan smishing, berikut beberapa ciri yang dapat diidentifikasi:
1. Meminta Untuk Mengungkapkan Kredensial
Penyerang sering kali meminta untuk mengungkapkan nama pengguna dan kata sandi yang mereka rencanakan untuk digunakan mengakses situs yang mereka tiru. Biasanya, mereka berpura-pura menjadi perwakilan bank yang meminta informasi pribadi.
Meskipun alasan di balik permintaan kredensial ini dapat bervariasi, setiap kali Anda menerima permintaan semacam ini melalui pesan teks, waspadalah. Contoh umum dari skenario ini adalah pesan teks yang mengklaim adanya gangguan pada akun Anda, mungkin disebabkan oleh transaksi besar atau penambahan penerima pembayaran.
Penyerang berharap Anda akan mengklik tautan yang mereka kirim untuk “memperbaiki” situasi tersebut, tanpa menyadari bahwa tautan tersebut sebenarnya adalah jebakan untuk mencuri data pribadi. Selalu anggap permintaan semacam ini sebagai tanda bahaya, bahkan jika pesan tersebut tampak sah.
2. Meminta Untuk Mengunduh Potensi Malware
Malware adalah perangkat lunak berbahaya yang dirancang untuk menginfeksi dan merusak sistem operasi perangkat Anda. Setelah malware berhasil masuk ke perangkat Anda, ia bisa mengambil alih fungsi tertentu serta mengumpulkan data penting yang dimiliki.
Selain itu, malware juga dapat memanfaatkan sumber daya komputasi perangkat untuk kegiatan seperti pertambangan aset digital. Ketika malware terinstal, perangkat Anda mungkin secara tidak sadar menggunakan sebagian daya komputasinya untuk aktivitas pertambangan. Ini sering kali tidak disadari oleh pengguna.
Namun, dalam beberapa kasus, penggunaan daya yang berlebihan ini dapat menyebabkan perangkat bekerja melebihi kapasitasnya, yang pada akhirnya dapat mengakibatkan kerusakan atau disfungsi perangkat.
3. Meminta Biaya
Penyerang sering kali memanfaatkan data pribadi yang mereka kumpulkan dari media sosial, seperti Facebook, untuk merancang serangan smishing. Mereka bisa mengakses daftar nama teman dan keluarga Anda dan berpura-pura menjadi salah satu dari mereka untuk membangun kepercayaan.
Dengan cara ini, penyerang meningkatkan peluang mereka untuk menipu. Setelah berhasil mempengaruhi Anda, mereka mungkin meminta uang dengan berbagai alasan untuk melancarkan aksinya.
Lebih parahnya lagi, mereka tidak hanya menargetkan Anda, tetapi juga banyak orang lainnya. Setiap individu yang tertipu bisa menghasilkan keuntungan besar bagi penyerang, karena mereka memanfaatkan teknik yang sama untuk menipu ratusan orang.
Cara Menghindari Smishing
Nah, Anda dapat menghindari serangan ini dengan beberapa cara. Berikut daftar cara dalam menghindari serangan ini:
1. Edukasi Bahaya Smishing
Penting untuk memberikan edukasi dan pelatihan kepada keluarga, rekan kerja, atau karyawan mengenai ancaman smishing. Ajari mereka bagaimana mengenali SMS yang mencurigakan dan metode penipuan yang sering digunakan dalam smishing.
Mereka dapat lebih waspada dan berhati-hati saat menerima pesan teks yang meminta informasi pribadi atau tautan yang mencurigakan. Meningkatkan kesadaran di sekitar Anda adalah langkah pertama yang penting dalam melindungi diri dari bahaya smishing.
2. Verifikasi Identitas Pengirim SMS
Untuk melindungi diri dari smishing, sangat penting untuk memverifikasi identitas setiap pengirim SMS yang masuk ke perangkat Anda. Jika Anda menerima pesan dari nomor yang tidak dikenal, pastikan untuk tidak langsung menanggapinya.
Cek apakah pengirimnya dikenal atau relevan dengan konteks pesan tersebut. Jika Anda merasa ragu atau tidak mengenali nomor tersebut, sebaiknya abaikan pesan itu untuk menghindari kemungkinan penipuan.
3. Waspadai Permintaan Informasi Bersifat Sensitif
Selalu waspadai permintaan informasi yang bersifat sensitif. Jangan berikan data pribadi, seperti nomor identitas, detail rekening bank, atau kata sandi, terutama jika permintaan tersebut tampak tidak jelas atau mencurigakan.
Penting untuk diingat bahwa perusahaan atau instansi yang sah dan terpercaya tidak akan meminta informasi sensitif melalui saluran yang tidak aman atau tanpa proses verifikasi yang jelas.
4. Aktivasi Filter Spam
Untuk melindungi diri dari smishing, manfaatkan fitur bawaan filter spam pada ponsel Anda. Caranya, buka menu pengaturan di ponsel Anda dan aktifkan filter spam. Anda dapat memblokir spam dan mencegahnya masuk ke kotak masuk. Langkah ini akan membantu menyaring pesan yang mencurigakan dan mengurangi risiko terpapar smishing.
5. Perbarui Software
Memperbarui software secara berkala adalah langkah penting untuk meningkatkan keamanan perangkat. Dengan menginstal versi terbaru dari software, Anda memastikan bahwa perangkat dilindungi dengan patch keamanan terbaru yang dapat menangkal ancaman terbaru.
6. Instal Aplikasi Keamanan
Menginstal aplikasi keamanan yang canggih dan sesuai dengan perangkat Anda merupakan langkah penting untuk melindungi diri dari ancaman smishing. Aplikasi ini membantu mendeteksi dan mencegah serangan smishing, dan memberikan perlindungan tambahan terhadap malware dan virus.
Anda dapat menjaga data pribadi dan informasi sensitif dari berbagai jenis ancaman siber. Pastikan untuk mencari dan menggunakan aplikasi keamanan yang memiliki reputasi baik dan ulasan positif untuk mendapatkan perlindungan optimal.
Perbedaan Smishing dan Phishing
Meski terlihat hampir sama, namun kedua jenis penipuan ini memiliki perbedaan yang mencolok. Berikut perbedaan keduanya!
1. Phishing
Phishing adalah serangan siber di mana pelaku menggunakan email, pesan, atau media komunikasi lainnya untuk mencuri data pribadi korban. Pelaku phishing menyamar sebagai entitas yang dipercaya, seperti lembaga keuangan atau perusahaan ternama, untuk menipu korban agar memberikan informasi sensitif mereka.
Dalam serangan phishing, pelaku sering mengirim email yang tampak resmi. Di dalam email ini, terdapat tautan yang mengarahkan korban ke situs web palsu yang dibuat untuk meniru situs asli. Korban kemudian diminta untuk memasukkan informasi kredensial mereka, seperti username dan password, di situs web tersebut.
2. Smishing
Smishing adalah istilah yang kejahatan siber di mana pelaku mengirimkan pesan teks (SMS) yang berisi tautan menuju situs web berbahaya. Tujuan utama smishing adalah untuk menipu korban agar mengunjungi website yang dikendalikan oleh penipu.
Perbedaan utama antara phishing dan smishing terletak pada media yang digunakan. Phishing biasanya menyebar melalui email atau pesan di berbagai platform komunikasi lainnya, sementara smishing secara khusus menggunakan layanan pesan singkat (SMS) untuk menyebarkan tautan berbahaya.
Contoh Smishing
Berikut adalah beberapa contoh penipuan smishing yang pernah dan sering terjadi:
- Berpura-pura Menjadi Lembaga Keuangan: Penipu menyamar sebagai bank atau lembaga keuangan lain yang memberi tahu korban tentang masalah pada rekening mereka melalui SMS penipuan. Pada tahun 2018, penipu menggunakan metode ini untuk mencuri USD 100.000 dari nasabah Fifth Third Bank.
- Berpura-pura Menjadi Pemerintah: Misalnya, selama pandemi COVID-19, ada penipuan smishing yang menawarkan keringanan pajak atau tes COVID gratis. Tautan dalam pesan ini mencuri informasi pribadi seperti nomor jaminan sosial.
- Berpura-pura Menjadi Dukungan Pelanggan: Dalam penipuan ini, pelaku berpura-pura menjadi agen dukungan pelanggan dari merek atau peritel terpercaya seperti Amazon atau Microsoft.
- Berpura-pura Menjadi Pengirim Barang: Penipu menyamar sebagai perusahaan pengiriman seperti FedEx atau UPS dan memberi tahu korban tentang masalah dengan pengiriman paket mereka. Mereka meminta korban membayar “biaya pengiriman” atau masuk ke akun mereka untuk memperbaiki masalah.
Waspada Smishing untuk Keamanan Data Penting!
Dapat disimpulkan bahwa, smishing adalah sebuah ancaman serius yang memanfaatkan pesan teks untuk mencuri informasi pribadi. Untuk melindungi diri dari smishing, penting untuk selalu waspada terhadap pesan yang masuk.
Dengan pemahaman yang baik tentang smishing dan langkah-langkah pencegahan yang tepat, Anda dapat menjaga keamanan data pribadi Anda dari ancaman ini. Jangan biarkan diri Anda menjadi korban selanjutnya!