Kejahatan Phishing

1.1 Tentang phishing

Menurut Vyctoria (2013:214) “phising (Password Harvesting Fishing) adalah tindakan penipuan yang menggunakan email palsu atau situs web palsu yang bertujuan untuk mengelabui user sehingga pelaku bisa mendapatkan data user tersebut. Phising biasanya ditujukan kepada pengguna online banking. Pengertian phising itu sendiri adalah bentuk kejahatan yang sengaja dilakukan oleh seseorang untuk mendapatkan informasi penting terhadap pengguna internet dengan cara memanipulasi sebuah web agar pengguna internet dapat tertarik untuk memasuki situs tersebut. Istilah phising dalam bahasa inggris berasal dari kata fishing (memancing), dalam hal ini berarti memancing informasi keuangan dan kata sandi pengguna, misalnya bank bertujuan unutk mendapatkan data-data pribadi seseorang, berupa PIN  kata sandi, nomor rekening, nomor kartu kredit dan sebagainya.

1.2 Teknik Phising

Teknik phising yang umum sering digunakan diantaranya:

1.      Teknik umum yang sering digunkan oleh penipu diantaranya pengguna alamat e-mail palsu dan grafik untuk menyesatkan nasabah sehingga nasabah terpancing menerima keabsahan e-mail atau web situs. Agar tempak meyakinkan, pelaku juga sering kali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti facebook, yahoo, bank atau menyedikan form isian yang di tempelkan pada e-mail yang dikirim.

2.      Membuat situs palsu yang sama persis dengan situs resmi atau pelakau phising mengirimkan e-mail yang berisikan link ke situs palsu tersebut.

3.      Metode lain yaitu dengan menampilkan URL Address atau alamat yang palsu. Walaupun wajah webnya bisa jadi sangat menyerupai atau sama, tapi kalau diminta registrasi ulang atau mengisi informasi sensitif, itu patut di waspadai. Misalnya halaman login yahoo mail. Di sana anda akan disuruh memasukan username dan password email anda untuk login. Ketika anda mengklik tombol login maka informasi usernama dan password anda akan terkirim ke alamat pengirim email. Jadi email tersebut merupakan jebakan dari pengirim email yang tujuannya untuk mendapatkan password email anda. Kombinasi seluruh data-data akan dapat diketahui, termasuk Password Account Internet Banking anda yang verifakasinya biasa masuk melalui email. Maka akan habis uang anda di account tersebut.

PEMBAHASAN

2.1  Studi Kasus

Pemboblan pada E-banking BCA dengan Phising

Pada tahun 2001 internet banking diri butkan oleh kasus pembobolan internet banking milik bank BCA. Kasus tersebut dilakukan oleh seorang manatan mahasiswa ITB Bandung dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama Steven ini bukan Insinyur Elektro ataupun Informatika, melainkan Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah megetikkan alamat website. Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkin orang-orang salah mengetikkan dan tampil yang sama persis dengan situs internet banking BCA. Kemudian yang menggunakan nama dengan tampilan yang sama persis dengan situs internet banking BCA, http://www.klikbca.com , seperti:

wwwklikbca.com

kilkbca.com

clikbca.com

klickbca.com

klikbac.com

Orang tidak kaan sadar bahwa dirinya telah menggunakan situs aspal tersebut karen tampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut mampu mendapatkan User ID dan passworddari pengguna yang memasuki situs aspal tersebut, namun hacker tersebut tidak bermaksud melakukan tindakan kriminal seperti mencuri dana nasabah, hal ini murni dilakukan atas keingin tahuannya mencuri mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com, sekaligus menguji tingkat keamanan dari situs milik BCA tersebut. Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu sistem milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa besar tingkat keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebut white-hat hacker karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu. Namun tindakan yang dilakukan oleh Steven, juga termasuk blak-hat hacker karena membuat situs palsu dengan diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain scans, sniffer, dan password crackers. Karena perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia telah mengganggu suatu sistem milik orang lain, yang dilindungi privasinya dan pemalsuan situs internet banking palsu. Maka perkara ini bisa dikategorikan sebagai perkara perdata. Melakukan kasus pembobolan bank serta telah mengganggu suatu sistem milik orang lain, dan mengambil data pihak orang lain yang dilindungi privasinya artinya mengganggu privasi oorang lain dan dengan diam-diam mendapatkan User ID dan password milik nasabah yang masuk dalam situs internet banking palsu.

2.2  Penanggulangan phising

Berikut tips untuk mencegah serangan phising:

1.      Berhati-hati dan tidak sembarangan memberikan data pribadi di internet terutama data keuangan seperti nomor account di bank, nomor kartu kredit, account internet banking dan password.

2.      Email dari phisher ini umumnya tidak di personalized sementara kalau email yang legal (valid) umumnya lebih personal.

3.      Selalu berprasangka curiga dengan email yang intinya berisi permintaan penting untuk informasi atau data keuangan pribadi.

4.      Jangan mengklik link pada pesan email. Jika anda menerima email semacam ini yang meminta data pribadi terutama data finansial, telpon ke perusahaan yang bersangkutan unutk konfirmasi atau masuk kesitus tersebut secara langsung tanpa melalui link yang disediakan di email.

5.      Selalu menggunakan situs web yang aman. Situs yang aman biasanya mengunakan SSL (enkripsi) dan selalu mulai dengan https:// dan bukan http://.

6.      Log-on secara rutin kesitus online-account anda dan cek datanya misalnya data transaksi kredit maupun debet untuk memastikan data transaksi itu benar.

7.      Pastikan bahwa web browser yang digunakan selalu ter up to date dengan patch terbaru.

8.      Pertimbangkan untuk menggunakan atau meng-intall web browser tool-bar untuk membantu memproteksi terhadap situs-situs phising.

9.      Sebelum memasukkan informasi yanag sifatnya personal seperti informasi finansial kita. Kartu kredit dan sebagainya, ada baiknya lakukan klarifikasi terlebih dahulu. Misalnya situs visa menyatakan bahwa mereka tidak pernah mengirimkan email, untuk meminta update informsi atau klarifiaksi.

10.  Mengintall software untuk keamanan internet dan tetap mengupdate antivirus.

11.  Waspada terhadap email dan pesan instan yang tidak diminta.

12.  Berhati-hati ketika login yang meminta hak admistrator dan cermati alamat URL dan address bar.

2.3  Penegakan Hukum

Cyberlaw adalah hukum yang digunakan di dunia maya (cyber space) yang umumnya diasosiasikan dengan internet. Adapun Undang-undang yang akan dilimpahkan kepada pelanggar kasus Phising adalah:

1.      Hukum dan Undang-undang yanag dikenakan pada kasus ini adalah: Pasal 35 UU ITE 2008: Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan dokumen elekronik dengan tujuan agar informasi elektronik dan dokumen tersebut seolah-olah data yang otentik [phising=penipuan situs]

2.      Pasal 30 UU ITE tahun 2008 ayat 3: setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan system elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol system pengaman (cracking, hacking, illegal access). Ancaman pidana pasal 46 ayat 3 setiap orang yang memenuhi unsur dengan pidana penjara paling lama 8 (delapan) tahun atau denda paling besar Rp.800.000.000,00 (delapan ratus juta rupiah).

3.      Pasal 46 : Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) di pidana dengan kurungan penjara paling lama 6 (enam) tahun atau denda paling banyak Rp.600.000.000,00 (enam ratus juta rupiah). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan penjara paling lama 7 (tujuh) tahun dan denda paling banyak Rp.700.000.000,00 (tujuh ratus juta rupaih). Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan denda paling banyak Rp.800.000.000,00 (delapan ratus juta rupiah).

4.      Pasal 51 : Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam palsa 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan denda paling banyak Rp.12.000.000.000,00 (dua belas miliar rupiah).