Phishing (memancing data) adalah teknik yang digunakan oleh penjenayah siber untuk menipu mangsa mereka dengan tujuan mendapatkan maklumat sensitif seperti kata laluan, butiran akaun bank, atau data peribadi lain.
Serangan phishing sering kali menggunakan e-mel, mesej teks, atau laman web palsu yang kelihatan sah untuk memperdaya mangsa agar memberikan maklumat mereka.
Phishing
Apa Itu Phishing?
Phishing adalah sejenis penipuan dalam talian di mana penjenayah siber cuba mendapatkan maklumat sensitif daripada mangsa, seperti nama pengguna, kata laluan, butiran kad kredit, atau maklumat perbankan.
Istilah “phishing” berasal dari perkataan “fishing” (memancing), kerana penjenayah “memancing” mangsa dengan umpan dalam bentuk mesej atau laman web yang kelihatan sah untuk “menangkap” maklumat mereka.
Apa Contoh Serangan Phishing?
Dalam serangan phishing yang biasa, penjenayah siber menghantar e-mel, mesej teks, atau mesej segera yang kelihatan seolah-olah datang daripada sumber yang sah, seperti bank, syarikat kad kredit, atau laman web popular. Mesej ini sering kali mengandungi pautan ke laman web palsu yang direka untuk kelihatan sama seperti laman web sah. Apabila mangsa memasukkan maklumat sensitif mereka pada laman web palsu ini, penjenayah akan menangkap data tersebut.
Apa Tujuan Ancaman Phishing?
Tujuan utama phishing adalah untuk mencuri identiti atau wang daripada mangsa. Dengan maklumat yang dicuri, penjenayah mungkin mengakses akaun kewangan mangsa, membuat pembelian yang tidak dibenarkan, atau melakukan jenayah kecurian identiti yang lain.
Phishing bergantung pada manipulasi psikologi dan kejuruteraan sosial untuk menipu mangsa. Serangan ini sering memanfaatkan rasa takut, kesegeraan, atau rasa ingin tahu mangsa untuk mendorong mereka bertindak dengan cepat tanpa memikirkan dengan teliti.
Sebagai contoh, mesej phishing mungkin mendakwa bahawa akaun mangsa telah dikompromi dan mereka perlu “mengesahkan” butiran mereka dengan segera untuk mengelakkan kehilangan akses.
Sila ambil langkah berjaga-jaga, seperti tidak mengklik pautan atau membuka lampiran daripada sumber yang tidak dikenali, serta sentiasa mengesahkan kesahihan komunikasi sebelum mendedahkan sebarang maklumat sensitif.
Bagaimana Cara Melindungi Diri Dari Phishing
Terdapat beberapa langkah-langkah keselamatan yang boleh anda ambil untuk melindungi dan mengelakkan dari serangan phishing:
Latihan Kesedaran
Pelajari tentang apa yang menyebabkan berlakunya phishing dan sentiasa berhati-hati terhadap e-mel atau mesej yang mencurigakan. Organisasi harus memberikan latihan kesedaran keselamatan berkala kepada pekerja mereka.
Pengesahan Berbilang Faktor
Gunakan pengesahan berbilang faktor (MFA) jika ada. Ini akan memerlukan anda melakukan kerja tambahan selain kata laluan untuk log masuk, seperti kod yang dihantar ke telefon anda.
Ini akan menjadikan percubaan phishing lebih sukar bagi penjenayah siber untuk mengakses akaun anda walaupun mereka mendapatkan kata laluan anda.
Kemas Kini Perisian
Pastikan sistem operasi, pelayar, dan perisian keselamatan anda sentiasa dikemas kini dengan tampung keselamatan terkini. Banyak kemas kini menangani kerentanan yang boleh dieksploitasi oleh penjenayah siber.
Pengesahan Secara Berasingan
Jika anda menerima e-mel yang mencurigakan yang kelihatan daripada organisasi yang sah, hubungi organisasi tersebut secara berasingan untuk mengesahkannya. Gunakan maklumat hubungan dari laman web rasmi mereka, bukan dari e-mel itu sendiri.
Laporkan Phishing
Jika anda menerima e-mel phishing, laporkan kepada jabatan IT organisasi anda atau kepada penyedia e-mel anda. Ini boleh membantu menghalang serangan selanjutnya dan melindungi pengguna lain.
Jenis-Jenis Phishing
Terdapat beberapa jenis serangan phishing yang selalu berlaku. Antaranya ialah:
Phishing E-mel
Ini adalah jenis phishing yang paling biasa. Penjenayah siber menghantar e-mel yang kelihatan sah, sering kali berpura-pura menjadi organisasi yang dipercayai seperti bank atau syarikat kad kredit.
E-mel tersebut biasanya mengandungi pautan ke laman web palsu yang meminta mangsa memasukkan maklumat sensitif.
Spear Phishing
Ini adalah bentuk phishing yang lebih terarah, di mana penjenayah siber menyasarkan individu atau organisasi tertentu. Mereka menggunakan maklumat yang dikumpul tentang sasaran, seperti nama, jawatan, atau minat peribadi, untuk membuat e-mel kelihatan lebih sah.
Whaling
Ini adalah jenis spear phishing yang menyasarkan eksekutif atasan atau individu berkuasa tinggi dalam organisasi. Matlamatnya adalah untuk menipu mangsa agar memindahkan wang atau mendedahkan maklumat sensitif.
Smishing
Ini melibatkan phishing melalui mesej teks (SMS). Penjenayah siber menghantar mesej teks yang kelihatan sah, sering kali berpura-pura menjadi bank atau penyedia perkhidmatan, dan memasukkan pautan ke laman web palsu.
Vishing
Ini adalah phishing melalui panggilan suara. Penjenayah siber menghubungi mangsa dan berpura-pura menjadi wakil dari organisasi yang sah, cuba menipu mereka agar mendedahkan maklumat sensitif.
Teknik-teknik Phishing
Penjenayah siber menggunakan pelbagai teknik untuk membuat serangan phishing kelihatan sah. Antaranya ialah:
Pemalsuan
Penjenayah siber sering meniru identiti visual organisasi yang sah, seperti logo, warna, dan reka letak laman web. Ini membuat e-mel atau laman web phishing kelihatan hampir serupa dengan yang asli.
Kejuruteraan Sosial
Penjenayah siber menggunakan teknik manipulasi psikologi untuk menipu mangsa. Mereka mungkin berpura-pura menjadi pihak berkuasa, membangkitkan rasa takut (seperti ugutan tentang akaun yang terjejas), atau menawarkan ganjaran menarik untuk mendorong tindakan segera.
Pautan Palsu
E-mel phishing sering mengandungi pautan ke laman web palsu yang kelihatan sah. Pautan ini mungkin menggunakan subdomain atau teknik “typosquatting” (mengeksploitasi kesilapan ejaan domain popular) untuk mengelirukan mangsa.
Lampiran Berbahaya
Sesetengah e-mel phishing mungkin mengandungi lampiran yang kelihatan tidak berbahaya, seperti invois atau dokumen. Walau bagaimanapun, lampiran ini sebenarnya mengandungi perisian hasad yang boleh menjejaskan komputer mangsa.
Bagaimana Cara Mengenal Pasti Phishing?
Penting untuk berhati-hati dan sentiasa berwaspada terhadap serangan phishing. Berikut adalah beberapa cara yang boleh membantu mengenal pasti percubaan phishing:
Alamat E-mel Mencurigakan
Perhatikan alamat e-mel penghantar. Penjenayah siber sering menggunakan alamat yang kelihatan hampir sama dengan organisasi sah, tetapi mungkin mempunyai kesilapan ejaan atau domain yang berbeza.
Nampak Terdesak
Phishing sering cuba mendesak tindakan segera dengan membangkitkan rasa takut atau menawarkan ganjaran. Berhati-hati dengan e-mel yang meminta anda “bertindak sekarang” atau memberikan had masa yang singkat.
Permintaan Maklumat Peribadi
Organisasi sah jarang meminta maklumat sensitif melalui e-mel. Berhati-hati dengan sebarang e-mel yang meminta kata laluan, nombor keselamatan sosial, atau butiran akaun bank anda.
Pautan Mencurigakan
Sebelum mengklik sebarang pautan dalam e-mel, tinjau alamat URLnya. Pastikan ia mengarah ke domain yang sah. Lebih baik, taip URL secara manual ke pelayar anda dan bukannya mengklik pautan.
Kesalahan Tatabahasa dan Ejaan
E-mel phishing sering mengandungi kesilapan tatabahasa dan ejaan, kerana biasanya ditulis oleh bukan penutur asli. Walau bagaimanapun, sesetengah serangan yang canggih mungkin tidak mempunyai kesilapan ini, jadi ini bukan petunjuk muktamad.
Kesan Phishing
Phishing boleh membawa pelbagai kesan negatif yang serius kepada individu dan organisasi. Kesan ini boleh merangkumi aspek kewangan, emosi, dan reputasi.
Kecurian Identiti
Salah satu kesan phishing yang paling memudaratkan ialah kecurian identiti. Apabila penjenayah siber berjaya mendapatkan maklumat peribadi mangsa, seperti nombor keselamatan sosial, tarikh lahir, atau butiran akaun bank, mereka boleh menggunakan maklumat ini untuk menyamar sebagai mangsa.
Mereka mungkin membuka akaun bank baharu, memohon kad kredit, atau bahkan melakukan aktiviti jenayah menggunakan identiti mangsa.
Kecurian identiti boleh merosakkan kedudukan kredit mangsa dan mengambil masa bertahun-tahun untuk dipulihkan.
Kerugian Kewangan
Phishing sering kali membawa kepada kerugian kewangan secara langsung kepada individu dan organisasi. Bagi individu, penjenayah siber mungkin mengakses akaun bank atau kad kredit mangsa dan mencuri wang.
Mereka juga mungkin menggunakan maklumat yang dicuri untuk membuat pembelian yang tidak dibenarkan.
Bagi organisasi, phishing boleh membawa kepada kerugian kewangan melalui pemindahan dana yang tidak sah, pengebilan palsu, atau kos yang berkaitan dengan pelanggaran data dan usaha pemulihan.
Gangguan Emosi
Menjadi mangsa phishing boleh membawa kesan emosi yang mendalam. Mangsa mungkin berasa tertekan, marah, dan tidak berdaya. Mereka mungkin mengalami kebimbangan tentang keselamatan kewangan dan identiti mereka.
Gangguan ini boleh menjejaskan kesejahteraan mental mangsa dan membawa kesan kepada kehidupan peribadi dan profesional mereka.
Mangsa phishing juga mungkin berasa malu atau rasa bersalah kerana telah ditipu, walaupun mereka sebenarnya tidak melakukan kesalahan.
Pelanggaran Data
Bagi organisasi, phishing boleh membawa kepada pelanggaran data yang besar dan mahal. Jika seorang pekerja ditipu untuk mendedahkan kelayakan log masuk rangkaian atau maklumat sensitif lain, penjenayah siber mungkin mendapat akses ke sistem korporat.
Ini membolehkan mereka mencuri data pelanggan, harta intelek, atau maklumat sulit lain. Pelanggaran data boleh menyebabkan kerugian kewangan, tindakan undang-undang, dan kerosakan reputasi yang berpanjangan bagi organisasi.
Kehilangan Reputasi
Phishing boleh merosakkan reputasi individu dan organisasi. Bagi individu, menjadi mangsa phishing boleh menjejaskan reputasi profesional mereka, terutamanya jika melibatkan akaun e-mel kerja atau data majikan.
Bagi organisasi, pelanggaran data yang disebabkan oleh phishing boleh membawa liputan media negatif, kehilangan keyakinan pelanggan, dan kerosakan jenama. Pemulihan dari kerosakan reputasi boleh mengambil masa yang lama dan memerlukan usaha yang besar.
Gangguan Produktiviti
Serangan phishing boleh mengganggu produktiviti individu dan organisasi. Mangsa mungkin perlu meluangkan masa yang banyak untuk menguruskan kesan serangan, seperti menghubungi bank, memantau laporan kredit, atau memulihkan identiti yang dicuri.
Bagi organisasi, menangani pelanggaran data boleh mengalihkan sumber dari aktiviti perniagaan teras dan membawa kepada kehilangan produktiviti yang ketara.
Risiko Liabiliti Undang-undang
Organisasi yang menjadi mangsa phishing mungkin berdepan dengan risiko liabiliti undang-undang. Jika pelanggaran data mendedahkan maklumat pelanggan, organisasi mungkin tertakluk kepada denda, penalti, dan tindakan undang-undang.
Kegagalan untuk melindungi data pelanggan atau mematuhi peraturan privasi data boleh membawa kesan undang-undang yang serius. Individu juga mungkin berdepan dengan implikasi undang-undang jika maklumat yang dicuri digunakan untuk tujuan jenayah.
Adakah Terdapat Undang-undang di Malaysia Berkaitan Dengan Phishing?
Ya, terdapat undang-undang di Malaysia yang berkaitan dengan phishing dan jenayah siber yang lain. Undang-undang utama yang merangkumi phishing ialah Akta Jenayah Komputer 1997 (Akta 563).
Akta Jenayah Komputer 1997 menetapkan pelbagai kesalahan yang berkaitan dengan penyalahgunaan komputer dan akses tanpa kebenaran ke sistem komputer. Walaupun istilah “phishing” tidak dinyatakan secara khusus dalam Akta ini, banyak aktiviti yang terlibat dalam serangan phishing, seperti akses tanpa kebenaran ke sistem komputer atau pengubahan data tanpa kebenaran, diliputi di bawah peruntukan Akta ini.
Sebagai contoh, Seksyen 3 Akta ini melarang akses tanpa kebenaran ke mana-mana program atau data yang disimpan dalam mana-mana komputer. Seksyen 4 pula melarang akses tanpa kebenaran dengan niat untuk melakukan atau memudahkan pelakuan kesalahan lain. Peruntukan ini boleh digunakan untuk mendakwa penjenayah siber yang terlibat dalam aktiviti phishing.
Selain Akta Jenayah Komputer 1997, terdapat juga undang-undang lain di Malaysia yang mungkin berkaitan dengan phishing, bergantung pada keadaan khusus jenayah tersebut:
- Kanun Keseksaan: Peruntukan tertentu di bawah Kanun Keseksaan, seperti yang berkaitan dengan pemalsuan, penipuan, atau kecurian, mungkin digunakan dalam kes phishing.
- Akta Perlindungan Data Peribadi 2010: Jika serangan phishing melibatkan kecurian atau penyalahgunaan data peribadi, peruntukan di bawah Akta ini mungkin terpakai.
- Akta Komunikasi dan Multimedia 1998: Akta ini mengawal selia industri komunikasi dan multimedia di Malaysia dan mungkin berkaitan dengan aspek tertentu jenayah siber.
Malaysia dicatatkan sebagai salah satu dari tiga negara tertinggi di Asia Tenggara dalam serangan phishing. Pada tahun 2022, sistem Anti-Phishing Kaspersky telah berjaya block sebanyak 8,267,013 serangan phishing di Malaysia.
Menurut Cybersecurity Malaysia, Malaysia menghadapi 4,741 ancaman siber pada tahun yang sama dan telah merekodkan 456 kes penipuan pada Februari 2023. Kerugian akibat penipuan dianggarkan sekitar RM27 juta hingga Februari 2023.
Penguatkuasaan dan pendakwaan kes phishing akan jadi lebih mencabar disebabkan oleh sifat jenayah siber yang merentasi sempadan dan kesukaran untuk mengesan penjenayah.
Walau bagaimanapun, kerajaan Malaysia terus berusaha untuk memperkukuh undang-undang siber dan keupayaan penguatkuasaannya untuk memerangi ancaman yang semakin meningkat ini.
Untuk mengelak daripada menjadi mangsa, pengguna disarankan untuk sentiasa berhati-hati dengan e-mel atau mesej yang mencurigakan dan tidak pernah memasukkan maklumat peribadi di laman web yang tidak dikenali atau yang tampak mencurigakan.
