Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Pendahuluan
Perkembangan Teknologi Informasi dan Komunikasi (ICT) di dunia sangat
dirasakan manfaatnya dalam berbagai sektor Industri, Perbankan maupun Usaha
Kecil-Menengah (UKM). Sektor-sektor tersebut merasakan manfaat efisiensi dan
efektivitas dalam segi operasional maupun peningkatan layanan terhadap pengguna.
Namun perkembangan tersebut memunculkan tantangan baru dengan munculnya
berbagai tindak kriminal berbasis siber (cyber crime) oleh pihak-pihak yang berusaha
mengeksploitasi kelemahan sistem dan kesadaran pengguna terhadap Sistem
Informasi.
Salah satu bentuk cyber crime yang dilakukan oleh para frauder adalah
Phishing. Phishing adalah kegiatan kriminal dengan menggunakan teknik rekayasa
sosial. Phisher (sebutan bagi pelaku kriminal phishing) berupaya menipu untuk
mendapatkan informasi sensitif, seperti username, password dan rincian kartu kredit,
dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik .
Phishing menyerang semua sektor Industri berbasis online, seperti e-commerce,
sosial media dan perbankan. Tindakan Phishing mengincar informasi sensitif
pengguna untuk digunakan oleh pihak yang tidak berwenang. Pengguna dirugikan
dalam hal privasi, penyalahgunaan (eksploitasi) dari tindakan hacking bahkan
kerugian Finansial.
Anti - Phishing Working Group melaporkan bahwa layanan pembayaran
(payment service) menjadi sektor industri yang paling ditargetkan pada kuartal kedua
2014, dengan 39,80 persen dari serangan selama periode tiga bulan dari April sampai
Juni 2014, sedangkan jasa keuangan (financial) terus mengikuti dengan 20,20%. Ini
terlihat dalam pie-chart pada Gambar 1.1.
Gambar 1.1 Keseluruhan Statistik untuk serangan phishing, April - Juni
2014
Sektor Finansial merupakan salah satu target eksploitasi oleh para frauder.
Perbankan sebagai layanan transaksi keuangan massal tidak luput dari cyber crime yang
dilakukan frauder. Phishing dapat menggunakan halaman website palsu untuk mengelabui
dan mencuri data-data pribadi pengguna seperti Gambar 1.2 dibawah ini
2. Landasan Teori
2.1 Kejahatan Siber (Crime Online/Cyber Crime)
"Cybercrimes adalah kegiatan kriminal atau tindakan berbahaya yang
mengeksploitasi informasi, bergerak secara global dan jaringan dan kejahatan yang hanya
menggunakan komputer. Kejahatan Kriminal merupakan produk teknologi jaringan yang
telah mengubah kriminal (biasa) dan memberikan kesempatan yang sama sekali baru
dengan bentuk-bentuk baru kejahatan yang biasanya melibatkan akuisisi atau manipulasi
informasi dan di dunia jaringan untuk mendapatkan keuntungan. Mereka dapat dipecah
menjadi kejahatan yang terkait dengan integritas sistem, kejahatan di mana jaringan
komputer digunakan untuk membantu perbuatan yang kejahatan, dan kejahatan yang
berhubungan dengan isi dari komputer
Menurut McQuade (2009) tipe kejahatan kriminal dapat dibagi menjadi 12
butir yaitu:
1. Kelalaian penggunaan sistem informasi yang menyebabkan pelanggaran
terhadap kebijakan keamanan dan mengakibatkan sistem dan data rentan
terhadap serangan siber.
2. Kejahatan konvensional yang melibatkan penggunaan komputer atau jenis
lain dari perangkat IT elektronik untuk komunikasi dan / atau pencatatan
dalam mendukung kegiatan ilegal.
3. Penipuan online (online fraud) seperti phishing, spoofing, spimming, atau
menipu pengguna untuk mendapatkan keuntungan finansial seperti dalam
kasus penipuan kartu kredit dan pencurian identitas.
4. Hacking, pelanggaran akses komputer tanpa izin, dan password cracking
untuk membobol password pengguna lain dan / atau melawan hukum
memasukkan sistem informasi untuk melakukan kejahatan online dan / atau
offline.
5. Menulis dan mendistribusikan kode berbahaya (malicous code) yang
melibatkan menciptakan, menyalin, dan / atau melepaskan malware
(contohnya: virus distruptif atau deskruktif, trojan, worm, atau program
adware/spyware).
6. Pembajakan terhadap property digital seperti musik, film, dan / atau
perangkat lunak terutama melalui jaringan peer-to-peer.
7. Pelecehan cyber, ancaman, mempermalukan seseorang dengan sengaja,
paksaan, termasuk Intimidasi Siber (Cyber Bullying).
8. Menguntit secara online (online stalking) dan menyinggung seks secara
siber (cyber-sex offending), termasuk pengiriman gambar atau teks bersifat
seksual yang tidak diinginkan , mempromosikan pariwisata seks, atau
menggunakan Internet untuk memfasilitasi perdagangan manusia untuk
tujuan seksual atau lainnya.
9. Kecurangan akademik atau tindakan plagiat yang dilakukan oleh
mahasiswa, guru/dosen, profesor, dan mencontek tugas atau ujian atau
metode dan temuan penelitian palsu.
10. Kejahatan terorganisir yang melibatkan penggunaan internet oleh etnis
berbasis geng untuk memfasilitasi kombinasi dari kegiatan ilegal dan legal
seperti penyelundupan dan jual orang, senjata, dan obat-obatan terlarang.
11. Tindakan memata-matai termasuk spionase yang melibatkan penggunaan
gelap spyware dan software keylogger untuk menemukan data yang dapat
dicuri atau digunakan untuk melakukan kejahatan.
12. Cyberterrorism oleh orang yang mencoba untuk mengemukakan tujuan
sosial, agama atau politik dengan menanamkan ketakutan yang meluas atau
dengan menganggu infrastruktur informasi yang kritis.
Penelitian ini fokus membahas tipe kejahatan kriminal dalam bentuk ancaman
phishing dalam dunia online banking.
2.2 Phishing
Phishing adalah upaya untuk mendapatkan informasi sensitif seperti username,
password, dan rincian kartu kredit dan umumnya untuk alasan berbahaya, dengan
menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. Phishing,
penipuan untuk mengumpulkan informasi pribadi dengan meniru situs terpercaya. Karena
phishing adalah serangan semantik yang mengandalkan pengguna yang bingung, maka
sulit untuk mendeteksi secara otomatis serangan tersebut dengan akurasi yang akurat.
Menurut Whittaker, Ryner & Nazif, Phishing adalah kejahatan rekayasa sosial
(social engineering crime) yang umumnya didefinisikan sebagai kejahatan yang
berkedok/menyamar sebagai pihak ketiga terpercaya untuk mendapatkan akses ke data
pribadi.
Dapat diambil kesimpulan bahwa Phishing merupakan tindak kriminal untuk
mendapatkan informasi sensitif pribadi seperti username dan password dengan cara
melakukan penyamaran sebagai entitas yang terpercaya dan membuat korban tidak sadar
telah memberikan informasi sensitif ke scammer.
Tipe-tipe serangan phishing dapat diklasifikasikan sebagai berikut [10]
Phishing Penipuan. Istilah "phishing" awalnya direferensikan sebagai
pencurian akun melalui pesan singkat namun umumnya saat ini menggunakan
pesan surat elektronik palsu. Pesan yang berisi untuk memvefikasi informasi
akun, kesalahan sistem yang membutuhkan penginputan ulang informasi,
informasi mengenai biaya yang fiktif, mendapatkan diskon/hadiah yang
memerlukan login ke halaman website palsu adalah cara-cara yang digunakan
oleh cyber criminal untuk mengelabui pengguna. Diharapkan pengguna meng-
klik URL yang telah disediakan setelah membaca pesan tersebut
Phishing berbasis Malware adalah teknik scam dengan melibatkan perangkat
lunak jahat (malware) pada komputer pengguna. Malware yang terdapat pada
pengguna dapat didistribusikan melalui lampiran pada surat elektronik, file
yang dapat diunduh pada web site atau dari sistem keamanan rentan yang telah
dieksploitasi yang sering terjadi pada sektor UMKM dimana tidak selalu
melakukan update pada aplikasi komputernya
Keyloggers dan Screenloggers adalah varietas dari perangkat lunak jahat
(malware) yang akan mereka setiap input pada keyboard maupun tampilan
layar komputer lalu mengirimkan informasi tersebut kepada hacker via
internet.
Sesi Pembajakan adalah serangan dimana aktivitas pengguna dimonitor hingga
pengguna tersebut melakukan sign in pada halaman perbankan untuk
melakukan transaksi. Pada saat ini malware dapat melakukan take over /
pembajakan dengan melakukan tindakan yang tidak diizinkan seperti
melakukan transfer uang tanpa sepengetahuan pengguna..
Web Trojans pesan pop up yang muncul ketika pengguna mencoba untuk log
in. Mereka mengumpulkan informasi kredensial pengguna dan
mengirimkannya ke phisher.
Serangan Rekonfigurasi Sistem adalah serangan yang memodifikasi
pengaturan pada PC pengguna untuk tujuan jahat. Sebagai contoh: URL dalam
file favorit (bookmark) dimodifikasi dan diarahkan pada situs palsu. Sebagai
contoh: URL situs web bank dapat berubah dari "bankofabc.com" menjadi
"bancofabc.com".
Pencurian Data adalah ketika PC yang tidak aman dalam jaringan jaminan
sering mengandung informasi sensitif yang disimpan di tempat lain di server
aman. Tentu PC yang digunakan untuk mengakses server tersebut dan dapat
lebih mudah dikompromikan. Pencurian data adalah pendekatan secara luas
digunakan untuk spionase bisnis. Dengan mencuri komunikasi rahasia,
dokumen desain, hal mengenai regulasi, dan catatan terkait karyawan, pencuri
data dapat mendapatkan keuntungan dari menjual kepada mereka yang
mungkin ingin mempermalukan atau menyebabkan kerusakan ekonomi atau
pesaing.
Phishing berdasarkan DNS ("Pharming"). Pharming adalah istilah yang
diberikan untuk modifikasi file host atau Domain Name System (DNS) berbasis
phishing. Dengan skema pharming, hacker mengutak-atik file host sebuah
perusahaan atau (DNS sehingga permintaan untuk URL resmi selanjutnya
diarahkan ke situs palsu. Hasilnya adalah pengguna tidak menyadari bahwa
situs web di mana mereka memasukkan informasi rahasia dikendalikan oleh
hacker.
Phishing Konten Injeksi menggambarkan situasi di mana hacker mengganti
bagian dari isi situs yang sah dengan konten palsu yang dirancang untuk
menyesatkan atau menyesatkan pengguna agar memberi informasi rahasia
mereka untuk hacker. Sebagai contoh, hacker dapat menyisipkan kode
berbahaya untuk login kredensial pengguna atau menyisipkan kolom pop-up
palsu yang diam-diam dapat mengumpulkan informasi dan mengirimkannya ke
server phishing hacker.
Man-in-the-Middle Phishing Lebih sulit untuk mendeteksi daripada banyak
bentuk lain dari phishing. Dalam serangan ini hacker memposisikan diri antara
pengguna dan situs/sistem yang sah. Mereka merekam informasi yang masuk
tapi tetap meneruskannya kepada pengguna sehingga transaksi pengguna tidak
terpengaruh. Kemudian mereka dapat menjual atau menggunakan informasi
atau kredensial yang dikumpulkan ketika pengguna tidak aktif pada sistem.
Phishing Mesin Pencari terjadi ketika phisher membuat website palsu dengan
penawaran menarik yang telah diindeks sah dengan mesin pencari. Pengguna
menemukan situs tersebut ketika mencari produk atau jasa dan tertipu agar
memberi informasi mereka. Misalnya, scammers telah menyiapkan situs
perbankan palsu yang menawarkan biaya kredit yang lebih rendah atau tingkat
suku bunga yang lebih baik dari bank lain. Korban yang tertarik kemudian
mentransfer sejumlah dana untuk memenuhi persyaratan penawaran dari
website palsu tersebut.
2.3 Metodologi
Penelitian ini menggunakan metode Systematic Literature Review (SLR).
Systematic Literature Review (SLR) atau juga disebut Systematic Review adalah literature
review yang umumnya dilakukan oleh peneliti untuk memecahkan masalah dari
penelitian. Dulunya teknik penelitian ini digunakan untuk mencari keefektifitas dari
layanan kesehatan namun sekarang teknik ini dapat jga digunakan dengan topik lebih luas.
Tujuan SLR adalah untuk mensintesis temuan penelitian dari sejumlah besar studi yang
berbeda pada intervensi tertentu atau isu yang kemudian dapat berpotensi digunakan
untuk menginformasikan kebijakan dan praktek di bidang diselidiki. Penelitian ini
mengambil studi sebanyak 83 literatur dan setelah dilakukan filtering (analisis data)
jumlah studi berkurang menjadi 37 literatur. Langkah-langkah yang dilakukan adalah
1. Wawancara terhadap narasumber (expert)
Berkonsultasi pada pakar yang mempunyai pengalaman di bidang
Information Security. Penelitian ini melibatkan akademisi dan Praktisi
dalam bidang Information Security. Richi Aktorian yang berprofesi sebagai
Senior Manager of IT Resilience & Security pada PT Bank
Mandiri(Persero) Tbk, Surya Michrandi Nasution yang berprofesi sebagai
dosen fakultas teknik elektro pada Telkom University. Beliau mengajarkan
bidang Information Security pada Security lab. Memiliki pengetahuan
terkait pada bidang keamanan informasi dan pernah memiliki CEH (certified
ethical hacking) dan Yudha Purwanto yang berprofesi sebagai dosen
fakultas teknik elektro pada Telkom University dan Konsultan IT pada
beberapa perusahaan. Beliau mengajarkan bidang Information Security pada
Security lab. Memiliki pengetahuan terkait pada bidang keamanan informasi
dan memiliki CEH (certified ethical hacking)..
2. Melakukan Pencarian Studi
Melakukan pencarian bukti/fakta pada sumber yang terpercaya yaitu
Elsevier, IEEE, ACM, dan Sage. Bukti/fakta berupa research paper. Setiap
research paper yang telah diunduh dan dibaca dilakukan dokumentasi
mengenai judul literatur, nama penulis, tahun paper dan ringkasan
penelitian. Pencarian dilakukan pada research paper yang dipublikasikan
dengan dengan menggunakan kata kunci phishing, online banking, man-
in-the-middle, man-in-browser, cyber crime, online banking phishing. Kata
kunci tersebut ditentukan melalui wawancara kepada praktisi (Richi
Aktorian). Ditemukan 83 research paper atas pencarian tersebut.
3. Ekstraksi Data Studi
Memilah dan mengambil data yang berhubungan dengan topik penelitian
dari research paper yang telah dibaca. Data Ekstraksi disajikan dalam
bentuk tabel ringkasan informasi yang telah diekstrak dari studi yang telah
dipilih.
4. Menilai kelayakan studi
Jurnal/Studi yang dijadikan landasan penelitian ditelusuri kelayakannya.
Setiap research paper yang dijadikan landasan, harus memiliki jawaban
ya terhadap tiga pertanyaan di bawah ini:
Apakah studi memiliki fokus pertanyaan yang jelas?
Apakah studi menggunakan metode yang valid untuk menjawab
pertanyaan penelitiannya?
Apakah hasil valid yang berasal dari studi penting untuk dijadikan
landasan?
Setelah dilakukan kelayakan studi, didapatkan 37 research paper yang
layak untuk dijadikan landasan untuk menjawab pertanyaan penelitian.
5. Data Sintesis
Menggunakan teknik narrative synthesis sebagai pendekatan tekstual yang
menyediakan analisis hubungan dalam dan di antara studi dan penilaian
secara keseluruhan dari bukti. Sebuah sintesis narasi (narrative synthesis)
dapat dilakukan di mana studi terlalu beragam secara metodologi.
Setiap fakta yang didapatkan dari research paper dan hasil wawancara
dibandingkan dan dicocokan satu dengan yang lain. Jika antara paper A dan
paper B memiliki kesamaan fakta/bukti temuan penelitian maka fakta/bukti
tersebut layak untuk dijadikan landasan penelitian ini.
6. Membuat laporan hasil studi
Hasil laporan disajikan dalam bentuk narrative synthesis dilengkapi
kesimpulan penelitian yang telah dilakukan. Dalam hal ini penelitian harus
dapat menjawab faktor-faktor yang memungkinkan Ancaman Phising
muncul ketika pengguna menggunakan online banking dan memberikan
rekomendasi.
3. Hasil dan Pembahasan
Phishing pada layanan online banking merupakan ancaman menggunakan teknik
rekayasa sosial dengan mengelabui pengguna (nasabah). Pengguna tertarik terhadap
penawaran-penawaran melalui e-mail, pesan singkat, telepon dari pelaku kriminal yang
menyamar sebagai entitas bank resmi dan mengajak nasabah untuk memberikan data-data
sensitif terkait data pengguna bank tersebut.
Dalam penelitian ini akan dijelaskan mengenai faktor penyebab munculnya
ancaman phishing ketika pengguna menggunakan layanan online banking dan
pencegahan terhadap ancaman tersebut.
3.1 Faktor penyebab munculnya ancaman phishing
Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, faktor penyebab
munculnya ancaman serangan phishing ketika pengguna menggunakan layanan online
banking adalah minimnya pengetahuan pengguna, psikologis dan privasi social
networking services pengguna. Tabel 4.1 menunjukkan faktor-faktor penyebab phishing
dari berbagai studi yang telah dibaca.
Tabel 3.1 Faktor penyebab phishing berdasarkan study literature
No. Nama Pengarang dan Tahun Faktor penyebab phishing
1 Dhamija, Tygar, & Hearst Pengetahuan pengguna minim dan
(2006) psikologis
2 Alsharnouby, Alaca, & Pengetahuan pengguna minim
Chiasson (2015)
3 Arachchilage & Love (2014) Pengetahuan pengguna minim
4 Mohammad, Thabtah, & Pengetahuan pengguna minim
McCluskey (2015)
5 Parmar (2012) Pengetahuan pengguna minim,
psikologis dan privasi social
networking services.
6 Meulen (2013) Psikologis
7 Sein (2011) Pengetahuan pengguna minim
8 Vishwanath, Herath, Chen, Psikologis
Wang, & Rao (2011)
10 Button, Nicholls, Kerr, & Psikologis
Owen, 2014)
11 Zielinska, Welk, Mayhorn, & Pengetahuan pengguna minim
Murphy-Hill (2015)
12 USE Act (2010) Pengetahuan pengguna minim
13 Hilley (2006) Pengetahuan pengguna minim
14 Elsevier Advanced Technology Psikologis dan pengetahuan pengguna
(2015) minim
15 Malik & Malik (2011) Privasi social networking services
Dhamija, Tygar, & Hearst (2006) mengungkapkan bahwa pengguna dianggap tidak
memiliki pengetahuan yang baik mengenai sistem komputer terutama membedakan
domain yang resmi dan palsu. Pengguna juga tidak dapat mengenali indikator- indikator
keamanan seperti mengecek sertifikat SSL pada browser ketika mengunjungi suatu situs
pada internet. Pengguna yang mengetahui hal-hal tersebut juga rawan ketika sebuah
website phishing menyerupai website resmi (visual deception) yang mengakibatkan tidak
memperhatikan indikator keamanan pada browser (SSL certified icon).
Faktor pengetahuan dan kesadaran pengguna terhadap ancaman serangan phishing
juga didukung oleh Alsharnouby, Alaca, & Chiasson (2015). Dalam paper tersebut penulis
meneliti mengenai kemampuan pengguna untuk mengidentifikasi website phishing.
Subjek penelitian (responden) sebelumnya telah dibekali oleh edukasi mengenai ancaman
phishing dan improved browser security indicators. Hasilnya adalah 53% responden
berhasil mengidentifikasi ancaman phishing. Hasil tersebut dibawah ekspektasi awal yaitu
diharapkan 86% pengguna berhasil mengidentifikasi website phishing. Hal ini dikarenakan
pengguna hanya menggunakan 6% waktunya untuk mengamati indikator keamanan pada
browser dan fokus mengenali tampilan konten pada website yang diuji.
Arachchilage & Love (2014) mengungkapkan hal serupa bahwa pengetahuan
prosedural dan pengetahuan konseptual pengguna mempengaruhi tindakan pengguna
untuk menghindari ancaman phishing. Pengetahuan prosedural pengguna dinilai dari
kemampuan pengguna untuk mengidentifikasi website phishing dari 5 URL yang telah
diberikan dan pengetahuan konseptual pengguna dinilai dari bagian URL mana yang
menandakan website tersebut phishing atau tidak.
Didukung oleh pernyataan Mohammad, Thabtah, & McCluskey (2015) faktor
mengapa pengguna menjadi korban serangan phishing adalah mayoritas pengguna
memiliki pengetahuan yang minim terhadap ancaman kriminalitas online, tidak memiliki
pengetahuan yang baik mengenai ancaman phishing, tidak memiliki strategi yang baik
dalam mengenali serangan phishing, fokus terhadap konten dibandingkan indikator
pada website, dan tidak mengetahui prosedur layanan online yang dipakai sehingga
terjebak ketika mendapatkan e-mail dari layanan online yang mereka gunakan terkait
informasi maintenance dan informasi- informasi lainnya yang dimanfaatkan phisher untuk
mendapatkan data-tada sensitif pengguna.
Parmar (2012) menyatakan serangan spear-phishing yang berbeda dengan serangan
phishing konvensional juga sukses dilakukan akibat pengetahuan psikologis pengguna
yang mudah mempercayai situs jejaring sosial. Spear-phishing berbeda dari serangan
konvensional dimana phisher tidak melakukan bulk e-mail kepada sasarannya namun
mengirimkan e-mail phishing kepada sasaran potensial yang memiliki tingkat kesuksesan
dan timbal balik yang lebih tinggi. Jika pada phishing biasa phisher menyamar sebagai
entitas resmi maka pada spear-phishing, phiser menyamar sebagai individu/entitas yang
diketahui dan digunakan oleh calon korban. Teknik ini umumnya digunakan agar korban
mengunduh malware yang terlampir pada e-mail tidak seperti teknik phishing
konvensional yang mengarahkan korban pada website palsu. Phisher mendapatkan data-
data sensitif pengguna melalui sosial media lalu memanfaatkannya untuk mengelabui
pengguna. Terbukti teknik spear-phishing memiliki tingkat kesuksesan 19%
dibandingkan teknik phishing konvensional yang hanya memiliki tingkat kesuksesan 5%.
Malik & Malik, (2011) dalam penelitiannya mengungkapkan bahwa berbagi
informasi pribadi dan mengungkapkannya pada SNS (social networking services) adalah
sebuah kebutuhan. Namun hal tersebut beresiko terhadap serangan siber (termasuk
phishing) yang memanfaatkan keterbukaan informasi pribadi pada SNS.
Meulen (2013) menyatakan tanggung jawab atas terjadinya kasus penipuan online
pada layanan online banking tidak hanya dipegang oleh pihak bank saja namun pengguna
turut bertanggung jawab atas terjadinya kasus tersebut. Pengguna dinilai lalai dan
mengabaikan peraturan yang telah diedukasikan oleh pihak bank. Sebagai contoh terdapat
kasus dimana korban mendapatkan e-mail phishing dan telepon mengatasnamakan
Rabobank, bank dimana pengguna menggunakan layanan online banking. Pengguna
mendapatkan telepon yang berasal dari representatif Rabobank (phisher) dan menanyakan
e-mail yang diterima oleh pengguna. Phisher mengatakan akun pengguna perlu di cek dan
diklarifikasi untuk menghindari masalah potensial akibat dari e-mail yang telah diterima.
Pengguna diminta memberikan informasi kredensial seperti kode random atau identitas
untuk melakukan transaksi. Atas informasi inilah phiser dapat melakukan transaksi
dengan menggunakan akun pengguna. Pengguna yang lalai dengan tidak mengklarifikasi
telepon tersebut kepada pihak bank dan tidak mengetahui peraturan permintaan informasi
sensitif pada bank menyebabkan kasus tersebut terjadi. Hal lainnya yang membuat
pengguna terjebak dalam serangan phishing adalah sifat naif pengguna dalam
menggunakan layanan perbankan para internet. Pengguna umumnya menggunakan
password yang sama untuk berbagai halaman website dan password yang digunakan tidak
jauh nama anak, nama peliharaan, tempat lahir, dan tanggal ulang tahun ungkap Sein
(2011).
Hal serupa dikemukakan juga oleh Vishwanath, Herath, Chen, Wang, & Rao (2011)
bahwa pengguna merupakan faktor utama terjadinya penyebab phishing. Terdapat 4
alasan mengapa pengguna menjadi korban phishing. Pertama adalah semakin banyak e-
mail yang diterima pengguna maka semakin besar peluang mereka ditipu.
Kedua adalah pengguna umumnya akan membuka e-mail dari entitas yang mereka
ketahui. Pengguna yang memiliki hubungan lebih dari satu lembaga bank dan melakukan
transaksi online yang lebih banyak dibandingkan lainnya mereka berpeluang menjadi
korban e-mail phishing. Yang ketiga adalah pengguna yang tidak mengetahui ancaman
serangan phishing. Faktor keempat adalah kebiasaan dalam penggunaan media. Seseorang
yang mempunyai kebiasaan mengecek e- mailnya setiap pagi sambil sarapan. Kebiasaan
ini mengurangi rasa curiga dan berpeluang membuka dan mempercayai surel phishing.
Penelitian yang dilakukan oleh Button, Nicholls, Kerr, & Owen (2014) mencoba
mencari tau mengenai mengapa korban jatuh kepada penipuan online. Terdapat beragam
penipuan online namun dengan teknik yang sama yaitu kriminal mencoba menjadi entitas
yang sah berupa e-mail dari lembaga ternama dan website yang menyerupai lembaga
terpercaya. Teknik yang digunakan untuk mengajak pengguna membuka situs web palsu
tersebut seragam yaitu menggunakan teknik penipuan marketing. Pengguna mendapatkan
e-mail mengenai promosi transaksi dengan waktu terbatas atau menginformasikan bahwa
akun pengguna mempunyai masalah dan dibutuhkan login kembali pada website resmi
namun palsu. Pengguna yang mendapatkan e-mail tersebut tertarik dan membuka website
phishing yang telah disediakan pada e-mail.
Dilihat dari pengetahuan pengguna, Zielinska, Welk, Mayhorn, & Murphy-Hill
(2015) mengungkapkan bahwa para ahli (expert) cenderung memiliki pemahaman yang
lebih komprehensif tentang bagaimana tren serangan phishing dan karakteristiknya
melalui e-mail dibandingkan pemula. Para ahli dinilai lebih dapat mengambil resiko dan
menghindari ancaman serangan phishing dibandingkan pengguna pemula.
Selain menggunakan website palsu,kejahatan kriminal dengan menggunakan teknik
phishing juga memanfaat malware untuk mencuri data pribadi pengguna. Seperti yang
diungkapkan USE Act (2010) Serangan baru Zeus Malware yang berbasis botnet juga
menyerang pengguna kartu kredit di Amerika Serikat. Serangan Zeus menggunakan
teknik man-in-the-middle dengan pop-up meminta untuk memberikan informasi sensitive
pada website yang resmi. (Hilley, 2006) menyatakan bahwa pengguna tidak sadar
mengunduh malware ketika mengunjungi situs berbau pornografi, situs yang
menyediakan konten bajakan dan ketika membuka e-mail phishing.
Malware yang berada di komputer pengguna memiliki resiko ancaman yang lebih
tinggi dibandingkan phishing konvensional. IBM menyatakan penipuan pada mayoritas
bank disebabkan oleh teknik rekayasa sosial untuk menggagalkan sistem dua faktor
autentikasi. Teknik ini menggunakan trojan The Dyre dimana malware tersebut
menginjeksi halaman web palsu pada situr resmi. Halaman web palsu tersebut
menginformasikan bahwa situs sedang mengalami perbaikan dan pengguna diharapkan
menghubungi nomor telepon yang tertera pada halaman. Ketika pengguna menelpon
nomor tersebut, pengguna akan dimintai data-data sensitif terkait bank tersebut
diungkapkan oleh Elsevier Advanced Technology (2015)
3.2 Pencegahan terhadap ancaman serangan Phishing
Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, pencegahan
terhadap ancaman serangan phishing ketika pengguna menggunakan layanan online
banking adalah edukasi terhadap pengguna, psikologis dan privasi social
networking services pengguna dan penggunaan sistem one time password pada
perbankan. Tabel 4.2 menunjukkan pencegahan phishing dari berbagai studi yang
telah dibaca.
Tabel 3.2 Pencegahan phishing berdasarkan study literature
No. Nama Pengarang dan Tahun Faktor penyebab phishing
1 Alsharnouby, Alaca, & Chiasson Edukasi terhadap pengguna
(2015)
2 Mohammad, Thabtah, & Edukasi terhadap pengguna
McCluskey (2015)
3 Parmar (2012) Edukasi terhadap pengguna
4 Vishwanath, Herath, Chen, Edukasi terhadap pengguna
Wang, & Rao (2011)
5 Parmar (2012) Edukasi terhadap pengguna dan
mencegah pada tingkat e-mail
6 Bose & Leung (2008) Edukasi terhadap pengguna
7 Kumaraguru, Rhee, Acquisti, Edukasi terhadap pengguna
Cranor, & Hong (2007)
8 Kumaraguru, et al. (2007) Edukasi terhadap pengguna
10 Kumaraguru, et al. (2009) Edukasi terhadap pengguna
11 Kumaraguru, Sheng, Acquisti, Edukasi terhadap pengguna
Cranor, & Hong (2010)
12 Dodge Jr., Carver, & Ferguson Edukasi terhadap pengguna
(2007)
13 Arachchilage & Love (2014) Edukasi terhadap pengguna
14 Vishwanath, Herath, Chen, Mencegah pada tingkat e-mail
Wang, & Rao, 2011
15 Castillo, Iglesias, & Serrano Mencegah pada tingkat e-mail
(2007)
16 Hamid & Abawajy (2014) Mencegah pada tingkat e-mail
17 Garfinkel, Margrave, Schiller, Mencegah pada tingkat e-mail
Nordlander, & Miller (2005)
18 Kirda & Kruegel (2005) Penggunaan perangkat lunak anti-
phishing
19 Dunlop, Groat, & Shelly (2010) Penggunaan perangkat lunak anti-
phishing
20 Chiew, Chang, Sze, & Tiong Penggunaan perangkat lunak anti-
(2015) phishing
21 Gowtham & Krishnamurthi Penggunaan perangkat lunak anti-
(2014) phishing
22 Rao & Ali (2015) Penggunaan perangkat lunak anti-
phishing
23 Montazera & Yarmohammadi Penggunaan perangkat lunak anti-
(2015) phishing
24 Han, Cao, Bertino, & Yong Penggunaan perangkat lunak anti-
(2012) phishing
25 Nilsson, Adams, & Herd (2006) Penggunaan sistem OTP
26 Huang, Ma, & Chen (2011) Penggunaan sistem OTP
No. Nama Pengarang dan Tahun Faktor penyebab phishing
27 Silic & Back (2016) Edukasi terhadap pengguna
Daftar Pustaka