Saturday, September 5, 2009

Digital Crime (4): Jutaan Dolar Melayang karena Phishing

Kerugian yang disebabkan oleh aksi phishing beragam, mulai dari hanya  bocornya informasi penting sampai dengan kerugian finansial.

Estimasi yang dapat dikumpulkan antara Mei 2004 sampai Mei 2005, diperkirakan 1,2 juta pengguna komputer di Amerika Serikat menderita kerugian hampir US$ 929 juta lantaran aksi phishing. Beberapa pebisnis di AS dilaporkan kehilangan sekitar US$ 2 juta pertahunnya sebagai korban dari phishing.

Di tahun 2007 serangan phishing dieskalasi mencapai 3,6 juta kali di seluruh dunia dan hal ini terjadi terus menerus selama 12 bulan sampai dengan akhir 2007. Microsoft sendiri mengklaim secara kasar menderita kerugian mencapai US$ 60 juta.

Di Inggris kerugian karena penipuan web banking mencapai 23,2 juta poundsterling pada tahun 2005, meningkat dari 12,2 juta poundsterling di 2004. Dapat dikatakan 1 dari 20 user mengklaim mengalami phishing dan menderita kerugian di tahun 2005 tersebut.

Dari beberapa kejadian phishing di atas dapat dikatakan phishing kebanyakan melanda user di industri perbankan dan finansial. Di Indonesia sendiri sudah beberapa kali terjadi phishing ini dan cukup merugikan user, karena banyak user telah tertipu dan memberikan informasi sensitif tersebut kepada phisher karena terkena bujuk dengan alasan maintenance dan update security.

Berikut adalah tips bagaimana menghindari aksi phishing:

1. Memberikan informasi resmi ke user link-link mana yang official dan link-link mana yang bocor dan dijadikan alat oleh hacker untuk melakukan phishing. Biasanya vendor software/developer memberikan informasi resmi untuk beberapa vulnerability (celah keamanan) yang telah diserang dan dijadikan alat oleh para hacker tersebut. Publikasi dapat disampaikan via website official bahkan via email official ke masing-masing user mereka.

2. Membantu user untuk selalu mengidentifikasi website-website yang official, selalu memeriksa website legitimate yang dimiliki (dari sisi owner) untuk tanggap dan meresponse dengan baik situs apa yang dimiliki dan kemana saja link mereka bila di akses oleh user.

3. Secure Connection dan Secure Coding, owner site dan developer site memberikan jaminan kepada user mereka terbebas dari phising dengan menerapkan secure connection untuk link-link connection mereka.

Pastikan bahwa connection internet dan intranet tidak menuju tempat lain yang tidak diinginkan dan secure coding, biasanya developer akan memeriksa terus menerus coding mereka, apakah telah disusupi coding lain (SQL injection). Hal ini sangat membahayakan bila tidak tanggap, user akan mudah digiring ke site lain bila coding di situs official tersebut telah terkontaminasi.

4. Owner dan Developer situs bertanggungjawab untuk membenahi situs dan coding mereka yang telah kena phishing, bukan lepas tangan dan tidak tahu menahu, karena hal ini menyangkut kredibilitas company tersebut.

Bila terkena phishing sebaiknya tanggap darurat mengklaim dan mempublikasikan kepada user bahwa situs mereka sedang kena phishing dan selanjutnya memperbaiki dan menutup vulnerability (celah) tersebut. Bukan malah menyalahkan user atau menyalahkan pihak lain, bisa saja pihak ketiga yang menjadi rekanan mereka.

5. Hal yang baik adalah menjaga kebocoran (preventif) terhadap phishing, owner dan developer bersama-sama melakukan test ribuan kali terhadap vulnerability aplikasi yang akan dipakai oleh user.

Biasa disebut pentest (penetration test) sebelum situs dan aplikasi tersebut dilepas ke pasar, memberikan jaminan kepada user bahwa site aman (site thrusted), bisa bekerja sama dengan vendor penyedia keamanan yang sudah diakui dunia dalam hal transaksi elektronik.

6. Memberikan kunci tambahan kepada user, biasanya bila user sering menggunakan internet banking atau live banking maka owner site akan memberikan kunci pengaman tambahan berupa token atau bentuk lain yang memperkuat system keamanan transaksi, sehingga phisher tidak mudah untuk menjebol informasi-informasi sensitif, paling tidak user sudah percaya dan aman untuk bertransksi secara elektronik.

7. Menggunakan browser official/resmi yang didownload atau dijual di pasaran, tidak mendownload atau menggunakan browser yang tidak jelas asal-usulnya, mungkin gratis tapi bisa saja memang ditumpangi oleh hacker untuk mempermudah melakukan phishing nantinya.

8. Teliti untuk membaca email dan link ke situs legitimate, karena phisher suka mengirimkan email-email official tapi palsu (aspal) untuk mempengaruhi user berbelok ke site yang sudah disiapkan untuk menjebak user tersebut.

Semua hal ini menuntut peran aktif, user, owner, developer dan pemerintah untuk memerangi kejahatan digital, salah satunya phishing.

User sebaiknya lebih teliti untuk membaca dan mengklik sesuatu, owner/developer lebih rajin untuk selalu memeriksa aplikasi dan vulnerability yang ada sekarang dan update security terus menerus, pemerintah siap dan tanggap dengan perangkat hukumnya untuk melindungi user dan owner dari korban kejahatan digital ini.

*) Penulis adalah IGN Mantra, Analis Senior Keamanan Jaringan dan Pemantau Trafik Internet ID-SIRTII, sekaligus Dosen Keamanan Jaringan dan Cybercrime, dapat dihubungi di email: mantra@idsirtii.or.id.   

Jakarta -  05 September 2009
Source:http://www.detikinet.com/read/2009/09/05/102704/1197186/323/jutaan-dolar-melayang-karena-phishing

No comments:

Understanding the Presidential Candidates’ Environmental Policies and Potential Stances for the Carbon Marke

  | Carbon Policy Lab Understanding the Presidential Candidates’ Environmental Policies and Potential Stances for the Carbon Market Indonesi...