Source: ChatGPT

Di era digital, kita terbiasa menerima ratusan email, pesan WhatsApp, dan notifikasi setiap hari. Namun di antara semua itu, satu klik yang salah bisa berakibat fatal.
Phishing menjadi salah satu ancaman paling berbahaya dan umum di dunia maya. Serangan ini tidak membutuhkan senjata canggih, cukup kepercayaan dan kelengahan manusia. Menurut laporan Anti-Phishing Working Group (APWG), jumlah serangan phishing global meningkat lebih dari 60% dalam dua tahun terakhir. Artinya, hampir setiap orang berisiko menjadi korban, baik individu maupun perusahaan besar.
Menariknya, tren peningkatan ini juga tergambar jelas pada laporan APWG terbaru. Data berikut memperlihatkan jumlah serangan phishing yang dilaporkan sepanjang Juli 2024 hingga Juni 2025.

Sumber : https://docs.apwg.org/reports/apwg_trends_report_q2_2025.pdf

 

Apa Itu Phishing?

Secara sederhana, phishing adalah upaya untuk mencuri informasi pribadi (seperti username, password, nomor kartu kredit, atau data perbankan) dengan menyamar sebagai pihak tepercaya.
Penyerang biasanya mengirimkan pesan yang terlihat sah, misalnya email dari “bank”, “marketplace”, atau “tim IT kantor”, lalu mengarahkan korban ke situs palsu yang menyerupai situs asli.

Begitu korban memasukkan data pribadinya, informasi tersebut langsung dikirim ke server penyerang dan dapat digunakan untuk pencurian identitas, pengambilalihan akun, hingga transaksi ilegal.

Phishing tidak hanya menyerang sistem, tetapi juga mengelabui manusia sebagai penggunanya. Karena itulah, walaupun perusahaan sudah melengkapi diri dengan firewall, antivirus, atau sistem keamanan canggih, serangan tetap bisa berhasil hanya dengan satu kesalahan kecil dari pengguna.

Jenis-Jenis Phishing

Phishing hadir dalam banyak wajah, dan semakin hari tekniknya semakin halus. Beberapa di antaranya yang paling sering menargetkan pekerja adalah sebagai berikut.

Jenis Deskripsi Singkat Contoh
Email Phishing Mengirim email massal dengan link palsu. Pesan dari “Bank BNI” meminta verifikasi akun.
Spear Phishing Menargetkan individu tertentu dengan pesan personal. Email ke CFO perusahaan berisi “invoice” palsu.
Whaling Menyerang eksekutif atau pimpinan organisasi. Surat resmi palsu dari “Direktur Keuangan”.
Smishing & Vishing Via SMS atau telepon. SMS “akun diblokir, klik link ini untuk aktivasi”.
Clone Phishing Meniru email sah yang pernah diterima korban. Email “lanjutan” dengan lampiran baru berisi malware.
 

 

Quishing (QR-code phishing)
Menggunakan QR code yang ketika discan mengarahkan korban ke situs palsu atau men-trigger download malware. QR code di poster promo yang mengarahkan ke form login palsu atau file APK berbahaya.

 

Bagaimana Phishing Bekerja

Meski tampak sederhana, serangan phishing sangat mematikan.
Umumnya langkahnya seperti ini:

  1. Penyerang mempersiapkan domain mirip situs resmi.
  2. Mengirim pesan yang menimbulkan rasa takut atau mendesak, seperti “Akun Anda akan dinonaktifkan dalam 24 jam”.
  3. Korban mengklik tautan atau memindai QR, lalu diarahkan ke halaman login palsu.
  4. Kredensial dimasukkan — dan langsung dikirim ke pelaku.

Dalam hitungan menit, akun korban bisa diambil alih dan digunakan untuk menipu orang lain.

 

Tanda-Tanda Serangan Phishing

Serangan phishing bisa sangat meyakinkan, tapi selalu meninggalkan jejak kecil yang mencurigakan. Untuk mengenalinya, ada beberapa hal yang perlu diperhatikan.

  1. Alamat pengirim tampak resmi tapi domainnya aneh (mis. @g00gle.com).
  2. Bahasa yang tidak wajar atau terlalu mendesak.
  3. Tautan yang berbeda saat di-hover.
  4. Permintaan password, PIN, atau OTP lewat email/pesan.
  5. Lampiran mencurigakan seperti .zip, .docm, .exe.

Khusus Quishing

  1. QR code ditempel di tempat publik tanpa keterangan jelas.
  2. Domain URL yang muncul setelah scan asing atau berbeda dari layanan resmi.
  3. QR langsung memicu unduhan file tanpa konfirmasi.

 

Cara Mencegah Phishing

Berita baiknya, phishing bisa dicegah. Kuncinya adalah kebiasaan digital yang benar dan sedikit kehati-hatian setiap kali berinteraksi secara online.

Untuk Individu hal yang harus diperhatikan adalah :

  1. Gunakan autentikasi dua faktor (2FA) di semua akun penting.
  2. Selalu periksa domain situs sebelum login.
  3. Gunakan password manager agar tidak mengulang sandi.
  4. Jangan klik link dari sumber tak dikenal.
  5. Perbarui sistem operasi dan browser secara berkala.

 

Untuk Organisasi hal yang perlu diperhatikan adalah :

  1. Terapkan SPF, DKIM, dan DMARC pada sistem email.
  2. Lakukan simulasi phishing dan pelatihan kesadaran keamanan bagi pegawai.
  3. Gunakan gateway email untuk memindai lampiran.
  4. Terapkan verifikasi ganda untuk transaksi atau perubahan data penting.
  5. Verifikasi desain dan sumber QR code resmi agar tidak mudah dipalsukan.

 

Pencegahan Khusus untuk Quishing

  1. Jangan langsung memindai QR code dari sumber tak dikenal.
  2. Periksa preview domain sebelum membuka.
  3. Jangan mengunduh aplikasi dari QR; gunakan toko resmi (Play Store/App Store).
  4. Nonaktifkan fitur auto-open atau auto-download di scanner.
  5. Gunakan aplikasi pembaca QR yang menampilkan peringatan URL mencurigakan.

Phishing bukanlah sekadar masalah teknologi, melainkan masalah perilaku dan kepercayaan manusia.

Sistem keamanan paling canggih sekalipun tidak akan berguna bila penggunanya tidak waspada. Maka, edukasi digital, kebiasaan berhati-hati, dan kemampuan mengenali tanda bahaya menjadi benteng utama untuk melindungi diri di dunia maya.

Sebelum mengklik tautan dari “bank” atau memindai QR code di poster, ingat satu hal:

Tidak semua yang terlihat resmi itu benar.
Satu klik atau satu scan bisa menjadi awal petaka, atau justru awal kesadaran kita untuk lebih waspada di dunia digital.

 Penulis:

Ayu Maulina – FDP Scholar

(Cyber Security Program)

Refereces :

https://apwg.org/

https://safety.google/intl/en_us/safety/security-tips/