Email phishing. Jangan anda tertipu

Lanjutan dari blog saya sebelum ini ( Perbankan internet, Adakah masih lagi selamat digunakan? ), ramai kawan saya bertanya bagaimana email jenis phishing ini bekerja.

Sebenarnya email berbentuk phishing adalah begini. Saya berikan contoh, katakan anda pada setiap minggu menerima email daripada pihak bank sebelum ini. Biasanya anda menerima mesej daripada pihak bank berkenaan dengan akaun anda. Tidak kiralah sama ada berkaitan dengan perbankan internet, mahu pun jumlah baki terkini pada akaun anda. Tiba-tiba pada satu hari itu, anda menerima mesej daripada bank yang agak mencurigakan, kerana mengancam mahu menutup akaun anda kerana tidak mengemaskinikan ( update ) maklumat terkini dan meminta ‘login name’ dan ‘password’ supaya akaun anda dapat dikemas kini. Bukankah itu amat mencurigakan kerana meminta ‘login name’ dan ‘password’ sekali,

Di atas adalah salah satu penipuan yang menggunakan email sebagai medium. Phishing merupakan kaedah penggodam untuk ‘mencuri identiti’ online. Selain perbankan internet, penggodam yang menggunak phishing juga menggemari akaun online yang lain seperti Ebay, PayPal dan kad kredit untuk mencuri identiti online. Email hanyalah salah satu cara mereka mencuri identiti dengan meyakinkan anda untuk klik pada link yang disertakan di dalam email yang anda terima.

Bagaimana si penggodam ( selepas ini dipanggil phisher ) melakukan perancangannya :-

Perancangan. Phisher memutuskan untuk mencari perniagaan atau menentukan cara untuk mendapatkan alamat email pengguna. Contohnya di Malaysia ini memang diakui penggunaan internet perbankan Maybank adalah yang tertinggi. Oleh itu si pisher akan merancang untuk mendapatkan alamat email pengguna Maybank dengan menggunakan domain email yang sama ataupun secara spammer. Mungkin secara tersembunyi, mereka ada menjual produk melalui internet dan mengumpulkan email melalui autoresponder, kononnya mereka adalah IM markerter. Si phisher juga mungkin menghantar email secara rambang ke domain email yang terkenal secara spam. Contohnya Gmail dan Yahoo Mail

Setup. Selepas si phisher mengetahui bakal mangsanya, si phisher akan mencipta kaedah untuk menyampaikan mesej dan pengumpulan data. Pengumpulan data boleh diambil melalui alamat email si mangsa ataupun pergi ke website/ blog yang memaparkan alamat email bakal mangsa mereka.

Serangan. Phisher menghantar mesej palsu yang tampaknya dari sumber yang mempunyai reputasi baik. Maybank2u atau CIMB click mempunyai reputasi baik dari segi perkhidmatan internet. Maka si phisher akan menghantar mesej palsu yang seolah-olah dihantar oleh pihak bank tadi untuk mengelirukan si mangsa.

Pengumpulan Data. Phisher merakam maklumat mangsa masuk ke dalam laman Web atau tetingkap popup.

Mencuri Identiti dan Melakukan Penipuan :Para Phisher menggunakan maklumat yang mereka telah kumpulkan untuk pembelian haram atau melakukan penipuan.

Jika si phisher mahu melakukan serangan lagi, ia akan  menilai kejayaan dan kegagalan daripada penipuan yang mereka telah lakukan, sebelum memulakan serangan.Macam taktik tentera pula.

Phising mengambil keuntungan daripada perisian dan kelemahan keselamatan pada kedua sisi client dan server. Sekiranya anda tidak berhati-hati dan terpedaya dengan email phishing seperti ini, anda sudah pun menjadi korban si phising ini. Jenayah siber semakin hari semakin canggih. Oleh itu anda harus sentiasa berwaspada dengan email yang meminta anda untuk memberikan nombor kad kredit, katau laluan dan sebagainya. Si phisher akan berusaha meyakinkan anda yang mesej mereka adalah sah!

Nasihat saya : Jika anda menerima email meragukan dengan meminta nombor kad kredit, nombor IC, nombor telefon , password dan login name, lebih baik abaikan sahaja demi keselamatan wang anda.

 

RIZMAN M.A