INTERNET PHISING
A. Pengertian PHISING
Phising adalah tindakan memperoleh informasi pribadi seperti User ID, PIN,
nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini
kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening,
melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer
ke rekening tertentu dengan iming-iming hadiah Aksi ini semakin marak terjadi.
Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005
melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam
laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs
palsu yang digunakan sebagai sarana phishing.
Selain
terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan.
Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan
protokol standar sehingga terhindar dari pendeteksian
Bagaimana
phishing dilakukan?
Teknik
umum yang sering digunakan oleh penipu adalah sebagai berikut:
Penggunaan
alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah
terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan,
pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi,
seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk
memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor
kartu kredit
Membuat
situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing
mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
Membuat
hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada
e-mail yang dikirim.
Berikut
10 tips untuk mencegah serangan phising:
1.Untuk
situs sosial seperti Facebook, buat bookmark untuk halaman login atau
mengetik URL www.facebook.com secara langsung di browser address bar.
2.
Jangan mengklik link pada pesan email.
3.
Hanya mengetik data rahasia pada website yang aman.
4.
Mengecek akun bank Anda secara regular dan melaporkan apapun yang mencurigakan
kepada bank Anda.
5.
Kenali tanda giveaway yang ada dalam email phising:
- Jika hal itu tidak ditujukan secara personal kepada anda.
- Jika anda bukan satu-satunya penerima email.
-Jika
terdapat kesalahan ejaan, tata bahasa atau sintaks yang buruk atau
kekakuan lainnya dalam penggunaan bahasa. Biasanya ini dilakukan penyebar
phising untuk mencegah filtering.
6.
Menginstall software untuk kemanan internet dan tetap mengupdate antivirus.
7.
Menginstall patch keamanan.
8.
Waspada terhadap email dan pesan instan yang tidak diminta.
9.
Berhati-hati ketika login yang meminta hak Administrator. Cermati alamat
URL-nya yang ada di address bar.
10.Back up data anda.
B. Contoh Kasus PHISING
Di
Indonesia, kejahatan mengenai,Phising,sendiri pernah terjadi, beberapa
diantaranya adalah
1.
Phising,pada E-Banking BCA
Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet
banking milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa
ITB Bandung dan juga merupakan salah satu karyawan media online (satunet.com)
yang bernama Steven Haryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun
Informatika, melainkan Insinyur Kimia. Ide ini timbul ketika Steven juga pernah
salah mengetikkan alamat website. Kemudian dia membeli domain-domain internet
dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang
salah mengetikkan dan tampilan yang sama persis dengan situs internet banking
BCA.
Kemudian
dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan
nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama
persis dengan situs internet banking BCA, http://www.klikbca.com , seperti:
wwwklikbca.com
kilkbca.com
clikbca.com
klickbca.com
klikbac.com
Orang
tidak akan sadar bahwa dirinya telah menggunakan situs aspal tersebut karena
tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu
mendapatkan User ID dan password dari pengguna yang memasuki sutis aspal
tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan criminal
seperti mencuri dana nasabah, hal ini murni dilakukan atas- keingintahuannya
mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com,
Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut.
Steven
Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu system
milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini
disebut sebagai hacking. Steven dapat digolongkan dalam tipe hacker sebagai
gabungan white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba
mengetahui seberapa besar tingkat keamanan yang dimiliki oleh situs internet
banking Bank BCA. Disebut white-hat hacker karena dia tidak mencuri dana
nasabah, tetapi hanya mendapatkan User ID dan password milik nasabah yang masuk
dalam situs internet banking palsu. Namun tindakan yang dilakukan oleh Steven,
juga termasuk black-hat hacker karena membuat situs palsu dengan diam-diam
mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain
scans, sniffer, dan password crackers.
Karena
perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia telah
mengganggu suatu system milik orang lain, yang dilindungi privasinya dan
pemalsuan situs internet bangking palsu. Maka perkara ini bisa dikategorikan
sebagai perkara perdata. Melakukan kasus pembobolan bank serta telah
mengganggu suatu system milik orang lain, dan mengambil data pihak orang lain
yang dilindungi privasinya artinya mengganggu privasi orang lain dan dengan diam-diam
mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet
banking palsu.
C. Penanggulangan, Phising.
Cara
penanggulangan phising dengan memperhatikan dari subject dan
content-nya,sebagian sebagai berikut:
1.
Verify your Account.
jika
verify nya meminta username, password dan data lainnya, jangan memberikan
reaksi balik. Anda harus selalu ingat password jangan pernah diberikan kepada
siapapun. Namun kalau anda mendaftarkan account di suatu situs dan harus
memverifikasinya dengan mengklik suatu URL tertentu tanpa minta mengirimkan
data macam-macam, lakukan saja, karena ini mekanisme umum.
2.
If you don’t respond within 48 hours, your account will be closed
jika
anda tidak merespon dalam waktu 48 jam, maka akun anda akan ditutup. Harap
membaca baik-baik dan tidak perlu terburu-buru. Tulisan di atas wajib anda
waspadai karena umumnya hanya “propaganda” agar pembaca semakin panik.
3.
Valued Customer
Karena
e-mail phising biasanya targetnya menggunakan random, maka e-mail tersebut bisa
menggunakan kata-kata ini. Tapi suatu saat mungkin akan menggunakan nama kita
langsung, jadi anda harus waspada. Umumnya kebocoran nama karena kita aktif di
milis atau forum komunitas tertentu.
4.
Click the Link Below to gain access to your account
Metode
lain yang digunakan hacker yaitu dengan menampilkan URL Address atau alamat
yang palsu. Walaupun wajah webnya bisa jadi sangat menyerupai atau sama, tapi
kalau diminta registrasi ulang atau mengisi informasi sensitif, itu patut
diwaspadai. misalnya halaman login yahoo mail. Disana Anda akan disuruh
memasukkan username dan password email Anda untuk login. Ketika Anda mengklik
tombol login maka informasi username dan password Anda akan terkirim ke alamat
pengirim email. Jadi email tersebut merupakan jebakan dari pengirim email yang
tujuannya untuk mendapatkan password email Anda. Yang lebih rumit lagi,
sekarang sudah ada beberapa e-book yang berkeliaran di internet untuk
menawarkan teknik menjebol password. Seperti diketahui Password merupakan
serangkaian karakter, baik berupa huruf, string, angka atau kombinasinya untuk
melindungi dokumen penting. Anda bisa bayangkan jika password email anda Jebol
, yang terjadi adalah seluruh data-data akan dapat diketahui, termasuk password
Account Internet Banking anda yang verifikasinya biasa masuk melalui email.
Maka akan habis uang anda diaccount tersebut.
D. Hukuman dan Undang-Undang yang
Diberikan Kepada Pelaku Phising.
A.
Undang-Undang Nomor 11 Tahun 2008 Tentang Internet & Transaksi Elektronik
(ITE)
Undang-undang
ini, yang telah disahkan dan diundangkan pada tanggal 21 April 2008, walaupun
sampai dengan hari ini belum ada sebuah PP yang mengatur mengenai teknis
pelaksanaannya, namun diharapkan dapat menjadi sebuah undang-undang cyber atau
cyberlaw guna menjerat pelaku-pelaku cybercrime yang tidak bertanggungjawab dan
menjadi sebuah payung hukum bagi masyarakat pengguna teknologi informasi guna
mencapai sebuah kepastian hukum.
1)
Pasal 27 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak
mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya
informasi elektronik dan/atau dokumen elektronik yang memiliki muatan yang
melanggar kesusilaan. Ancaman pidana pasal 45(1) KUHP. Pidana penjara paling
lama 6 (enam) tahun dan/atau denda paling banyak Rp 1.000.000.000,00 (satu
miliar rupiah). Diatur pula dalam KUHP pasal 282 mengenai kejahatan terhadap
kesusilaan.
2)
Pasal 28 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak menyebarkan
berita bohong dan menyesatkan yang mengakibatkan kerugian konsumen dalam
transaksi elektronik.
3)
Pasal 29 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak
mengirimkan informasi elektronik dan/atau dokumen elektronik yang berisi ancaman
kekerasaan atau menakut-nakuti yang ditujukkan secara pribadi (Cyber Stalking).
Ancaman pidana pasal 45 (3) Setiap orang yang memenuhi unsur sebagaimana
dimaksud dalam pasal 29 dipidana dengan pidana penjara paling lama 12 (dua
belas) tahun dan/atau denda paling banyak Rp. 2.000.000.000,00 (dua miliar
rupiah).
4)
Pasal 30 UU ITE tahun 2008 ayat 3 : Setiap orang dengan sengaja dan tanpa hak
atau melawan hukum mengakses komputer dan/atau system elektronik dengan cara
apapun dengan melanggar, menerobos, melampaui, atau menjebol system pengaman
(cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3 setiap
orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 30 ayat 3 dipidana
dengan pidana penjara paling lama 8 (delapan) dan/atau denda paling banyak Rp
800.000.000,00 (delapan ratus juta rupiah).
5)
Pasal 33 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan tindakan apa pun yang berakibat terganggunya system
elektronik dan/atau mengakibatkan system elektronik menjadi tidak bekerja
sebagaiman mestinya.
6)
Pasal 34 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor,
mendistribusikan, menyediakan atau memiliki.
7)
Pasal 35 UU ITE tahun 2008 : Setiap orang dengan sengaja dan tanpa hak atau
melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan,
pengrusakan informasi elektronik dan/atau dokumen elektronik dengan tujuan agar
informasi elektronik dan/atau dokumen elektronik tersebut seolah-olah data yang
otentik (Phising = penipuan situs).
B.
Kitab Undang Undang Hukum Pidana
1)
Pasal 362 KUHP yang dikenakan untuk kasus carding.
2)
Pasal 378 KUHP dapat dikenakan untuk penipuan.
3)
Pasal 335 KUHP dapat dikenakan untuk kasus pengancaman dan pemerasan yang
dilakukan melalui e-mail yang dikirimkan oleh pelaku untuk memaksa korban
melakukan sesuatu sesuai dengan apa yang diinginkannya.
4)
Pasal 311 KUHP dapat dikenakan untuk kasus pencemaran nama baik dengan
menggunakan media Internet.
5)
Pasal 303 KUHP dapat dikenakan untuk menjerat permainan judi yang dilakukan
secara online di Internet dengan penyelenggara dari Indonesia.
6)
Pasal 282 KUHP dapat dikenakan untuk penyebaran pornografi.
7)
Pasal 282 dan 311 KUHP dapat dikenakan untuk kasus penyebaran foto atau film
pribadi seseorang.
8)
Pasal 406 KUHP dapat dikenakan pada kasus deface atau hacking yang membuat
sistem milik orang lain.
C.
Undang-Undang No 19 Tahun 2002 tentang Hak Cipta.
Menurut
Pasal 1 angka (8) Undang – Undang No 19 Tahun 2002 tentang Hak Cipta, program
komputer adalah sekumpulan intruksi yang diwujudkan dalam bentuk bahasa, kode,
skema ataupun bentuk lain yang apabila digabungkan dengan media yang dapat
dibaca dengan komputer akan mampu membuat komputer bekerja untuk melakukan
fungsi-fungsi khusus atau untuk mencapai hasil yang khusus, termasuk persiapan
dalam merancang intruksi-intruksi tersebut.
D.
Undang-Undang No 36 Tahun 1999 tentang Telekomunikasi
Menurut
Pasal 1 angka (1) Undang – Undang No 36 Tahun 1999, Telekomunikasi adalah
setiap pemancaran, pengiriman, dan/atau penerimaan dan setiap informasi dalam
bentuk tanda-tanda, isyarat, tulisan, gambar, suara, dan bunyi melalui sistem
kawat, optik, radio, atau sistem elektromagnetik lainnya.
E.
Undang-Undang No 8 Tahun 1997 tentang Dokumen Perusahaan
Undang-Undang
No. 8 Tahun 1997 tanggal 24 Maret 1997 tentang Dokumen Perusahaan, pemerintah
berusaha untuk mengatur pengakuan atas mikrofilm dan media lainnya (alat
penyimpan informasi yang bukan kertas dan mempunyai tingkat pengamanan yang
dapat menjamin keaslian dokumen yang dialihkan atau ditransformasikan. Misalnya
Compact Disk – Read Only Memory (CD – ROM), dan Write – Once -Read – Many
(WORM), yang diatur dalam Pasal 12 Undang-Undang tersebut sebagai alat bukti
yang sah.
F.
Undang-Undang No 25 Tahun 2003 tentang Perubahan atas Undang-Undang No. 15
Tahun 2002 tentang Tindak Pidana Pencucian Uang
Jenis
tindak pidana yang termasuk dalam pencucian uang (Pasal 2 Ayat (1) Huruf q).
Penyidik dapat meminta kepada bank yang menerima transfer untuk memberikan
identitas dan data perbankan yang dimiliki oleh tersangka tanpa harus mengikuti
peraturan sesuai dengan yang diatur dalam Undang-Undang Perbankan.
G.
Undang-Undang No 25 Tahun 2003 tentang Perubahan atas Undang-Undang No. 15
Tahun 2002 tentang Tindak Pidana Pencucian Uang
Jenis
tindak pidana yang termasuk dalam pencucian uang (Pasal 2 Ayat (1) Huruf q).
Penyidik dapat meminta kepada bank yang menerima transfer untuk memberikan
identitas dan data perbankan yang dimiliki oleh tersangka tanpa harus mengikuti
peraturan sesuai dengan yang diatur dalam Undang-Undang Perbankan.
disadur
dari : http://kelompokphising.blogspot.com/2013/10/makalah-tentang-phising.html
