Pernahkah Anda mendapatkan telepon berkali-kali dari sebuah nomor asing dalam waktu singkat? Nomor asing tersebut bisa jadi memiliki kode nomor Indonesia atau kota di Indonesia, seperti 021, 031 atau kode nomor luar negeri seperti +82 (Korea Selatan) atau +1 (Amerika Serikat). Jangan diangkat, sebab bisa jadi hal ini adalah salah satu praktik kejahatan siber bernama spoofing.
Apa itu Spoofing?
Spoofing adalah tindakan kejahatan di dunia maya yang bertujuan untuk mencuri data korban dengan cara menyamar sebagai sebuah pihak yang dipercaya oleh korban tersebut. Tindak kejahatan ini bisa menimpa siapapun, termasuk perusahaan-perusahaan besar.Â
Dalam tingkat tertentu, spoofing mirip dengan phising. Bedanya, spoofing tidak hanya mencuri data korban saat itu juga tetapi juga bisa menanamkan malware ke dalam gawai korban, supaya data korban kedepannya bisa dinikmati dan digunakan oleh para pelaku tindak kejahatan ini.
Jenis-Jenis Spoofing
Modus operandi tindak kejahatan ini ada banyak. Berikut ini beberapa diantaranya:
1. Caller ID Spoofing
Cerita pada paragraf pembuka di atas adalah salah satu contoh Caller ID spoofing. Caller ID spoofing adalah modus spoofing yang memungkinkan pelaku untuk berganti nomor telepon keluar dalam waktu singkat untuk mencegah korban mengetahui asal nomor tersebut.
Tujuan dari spoofing ini adalah untuk mencuri data pribadi korban. Data pribadi ini tidak hanya terbatas pada data-data keuangan korban saja, melainkan juga bisa data lainnya, seperti suara korban untuk dimanfaatkan dalam proyek di bawah tanah. Tidak hanya itu, ada juga kemungkinan pelaku tindak kejahatan ini dapat menanamkan malware ke handphone Anda, sehingga dapat menyadap lalu lintas percakapan dari telepon tersebut.
2. IP Address Spoofing
Hampir mirip dengan Caller ID spoofing, modus IP spoofing juga dengan cara membanjiri komputer atau gawai korban dengan sejumlah besar permintaan dengan IP yang berbeda. Tujuannya adalah supaya gawai korban rusak dan spoofer dapat memanipulasi sistem keamanan gawai tersebut dengan tanpa takut bisa diidentifikasi.
Berbeda dengan Caller ID Spoofing, IP Spoofing umumnya menimpa perusahaan. Ketika gawai dan sistem komputer perusahaan tersebut bisa dimatikan, sehingga tidak bisa segera mengirim sinyal ancaman dan sistem keamanannya bisa dimanipulasi, pelaku atau spoofer dapat dengan bebas memantau lalu lintas data perusahaan dan menggunakannya untuk keperluan mereka.
3. Email spoofing
Salah satu praktik spoofing yang banyak terjadi adalah email spoofing. Pada jenis ini, pelaku mengirimkan email yang tampak legit kepada pengguna. Email tersebut berisi informasi-informasi tertentu yang mendorong pengguna untuk memasukkan data pribadi mereka atau memancing pengguna untuk membuka link yang telah disediakan.
Dengan teknik ini, pelaku tidak hanya bisa memperoleh data pribadi pengguna tetapi juga bisa memasukkan malware ke gawai pengguna. Akibatnya, gawai tersebut bisa jadi disadap atau tidak bisa digunakan selama pengguna belum membayar tebusan (ransom) kepada pelaku.
4. URL spoofing
Tidak hanya melalui email, malware dan pencurian data pribadi juga bisa dilakukan oleh pelaku jika pengguna mengakses website palsu. Website palsu ini ini dibuat oleh penipu semirip mungkin dengan website aslinya, hanya saja ada sedikit bagian di URL yang diubah. Oleh sebab itu, tindakan ini disebut dengan URL spoofing.
5. DNS spoofing
Jenis spoofing ini bisa terjadi ketika pelaku bisa memanipulasi server DNS (domain name system) yang Anda gunakan. Dengan teknik ini, pengguna akan secara otomatis dirujuk ke website palsu yang dibuat semirip mungkin dengan website asli yang mereka tuju. Hal ini lebih berbahaya karena baik pengguna maupun pemilik website resmi tidak akan tahu jika mereka mengalami penipuan.
Bahaya Modus Spoofing
Bagi individu, spoofing bisa berakibat hilangnya data-data pribadi dan masalah keuangan. Seperti yang telah disebutkan di atas, data pribadi ini tidak hanya berupa password atau username saja, tetapi bisa juga alamat tempat tinggal mereka, suara mereka atau wajah mereka yang bisa saja digunakan untuk tindak kejahatan lainnya di dunia maya.
Adapun bagi perusahaan, spoofing bisa berakibat pada potensi manipulasi data-data keuangan perusahaan, pencurian data-data pelanggan perusahaan tersebut dan pada akhirnya penurunan kepercayaan masyarakat terhadap produk dan layanan yang disediakan oleh perusahaan. Hal ini semakin parah mengingat bahwasanya dengan modus IP Spoofing, perusahaan akan lebih susah mengidentifikasi nama dan asal pelaku kejahatan ini.
Cara Mencegah Spoofing
Cara mencegah tindak kejahatan ini dapat disesuaikan dengan modus yang digunakan oleh pelaku. Berikut ini beberapa diantaranya:
1. Email spoofing
Untuk menghindari penipuan dengan cara ini, pastikan Anda mengenali ciri-ciri email palsu, seperti:
- Menggunakan username gratis. Email dari perusahaan resmi umumnya menggunakan alamat perusahaan tersebut, misalnya erica@unitedcorp.co.id dan bukan erica@gmail.com.Â
- Dikirim ke banyak penerima.
- Mencantumkan tautan yang tampak asing.
- Berisi kata-kata yang mendesak penerima untuk melakukan sesuatu.
- Memiliki kesalahan penulisan dalam pesan atau tulisan nama perusahaan.
Teliti beberapa hal di atas untuk memastikan Anda tidak menerima pesan email yang terindikasi spoofing.
2. URL Spoofing
Sama seperti email spoofing, meskipun dibuat semirip mungkin dengan situs aslinya, namun URL spoofing juga memiliki ciri-ciri tertentu yang bisa Anda identifikasi, seperti:
- Typo pada link. Misalnya www.cartoonist.com menjadi www.cartonist.com.Â
- Typo pada isi website.
- Domain website yang bukan dari .com atau .co.id.
- Tidak memiliki sertifikat keamanan SSL. Ini artinya, pada tautan website tersebut tertulis http saja dan bukan https.
Selain mengetahui beberapa cara di atas, Anda juga bisa menggunakan aplikasi password manager untuk menyimpan password Anda. Dengan aplikasi ini, password tidak akan bisa ditempelkan pada website palsu, sehingga Anda dapat tetap menghafal password website dengan mudah tanpa khawatir penipuan.
3. Caller ID spoofing
- Jangan mengangkat telepon dari orang yang tidak dikenal. Apabila memang kebutuhan orang tersebut penting, dia pasti akan berusaha menghubungi Anda melalui jalur lain, entah itu media sosial atau email.
- Gunakan aplikasi untuk menolak spam calls atau mengidentifikasi nomor yang tidak dikenal.
- Jika Anda terlanjur mengangkatnya, maka pastikan jangan memberi tahu identitas pribadi. Sebab, pihak perusahaan legal pasti sudah memiliki data pribadi Anda yang diperlukan.
4. IP Spoofing
- Miliki sistem keamanan jaringan perusahaan terbaik untuk menghindari peretasan.
- Miliki tim keamanan siber yang handal. Identifikasi ancaman sistem tidak hanya bisa dideteksi oleh mesin, tetapi juga tim IT perusahaan tersebut.
- Berikan pelatihan keamanan siber pada staff. Tujuannya adalah supaya staff tidak melakukan tindakan siber apapun yang dapat membahayakan sistem keamanan jaringan perusahaan.
- Perkuat sistem verifikasi dan identifikasi dalam sistem teknologi perusahaan.
5. DNS Spoofing
- Gunakan sertifikat keamanan SSL pada website Anda.
- Terus update server DNS terbaru untuk meningkatkan kualitas keamanan.
- Terapkan Domain Name System Security Extensions (DNSSEC) pada sistem keamanan perusahaan Anda.
Selain cara-cara di atas, juga ada cara umum yang bisa diterapkan, seperti mengelola identitas digital dengan baik untuk melindungi data pribadi. Misalnya, tidak sembarangan membagikan foto atau alamat tempat tinggal ke internet, serta menggunakan alat verifikasi identitas digital, seperti tanda tangan digital atau data biometrik untuk memastikan keamanan data lebih lanjut.
