Lewati ke konten utama

Cara Melindungi Diri dari Serangan Phishing

Phishing tetap menjadi cara #1 akun dicuri. Pelajari cara kerja phishing modern, tanda bahaya yang harus diwaspadai, dan pertahanan praktis yang benar-benar menghentikan serangan.

2026-04-14

TL;DR

  • Phishing adalah penyebab #1 pengambilalihan akun — penyerang mengelabui Anda untuk memberikan kredensial di situs palsu.
  • Kit phishing modern mengkloning halaman login dengan sempurna dan meneruskan kode 2FA Anda secara real time.
  • Kunci keamanan perangkat keras (YubiKey, FIDO2) adalah satu-satunya pertahanan yang tahan phishing berdasarkan desain.
  • Password manager melindungi Anda dengan menolak mengisi otomatis pada domain yang salah.
  • Periksa domain yang tepat sebelum mengetik kredensial, dan jangan pernah masuk dari tautan dalam email.

Apa itu phishing?

Phishing adalah serangan rekayasa sosial di mana penyerang membuat salinan yang meyakinkan dari situs web yang sah — sering kali sempurna hingga pixel — dan mengelabui korban untuk memasukkan kredensial di sana. Saat korban mengirimkan formulir, penyerang menangkap nama pengguna, kata sandi, dan faktor kedua apa pun, kemudian menggunakannya untuk mengambil alih akun asli dalam hitungan detik.

Kata ini berasal dari metafora "memancing" korban dengan umpan (biasanya email). Ejaan berubah untuk menekankan bahwa penyerang sering menggunakan nomor telepon (SMS phishing, atau "smishing") dan infrastruktur yang terlihat profesional.

Mengapa phishing masih menjadi ancaman #1

Sebagian besar pelanggaran akun skala besar saat ini tidak melibatkan peretasan, pemecahan kata sandi, atau melewati enkripsi. Mereka melibatkan manusia yang mengetik kata sandi ke situs palsu. Phishing adalah:

  • Murah — penyerang dapat mengirim jutaan email dengan biaya VPS dan domain palsu
  • Sulit disaring — kit modern merotasi domain, menggunakan hosting yang sah, dan beradaptasi dengan filter secara real time
  • Efektif — bahkan pengguna yang sadar keamanan terjebak upaya yang dirancang dengan baik (spear phishing)
  • Dapat diskalakan — satu phishing yang berhasil sering menghasilkan akses ke puluhan layanan terhubung melalui penggunaan ulang kata sandi

Laporan Investigasi Pelanggaran Data Verizon 2024 menemukan bahwa phishing adalah vektor akses awal dalam lebih dari 36% dari semua pelanggaran — lebih dari penyebab tunggal lainnya.

Cara kerja phishing modern

Phishing telah berkembang jauh melewati email "pangeran Nigeria" tahun 2000-an. Serangan phishing modern biasanya mencakup:

1. Umpan yang meyakinkan

Biasanya email, teks, atau pesan chat yang menciptakan urgensi ("Akun Anda akan ditangguhkan"), otoritas ("tim keamanan Microsoft"), atau rasa ingin tahu ("Seseorang menandai Anda di foto"). Spear-phishing membawa ini lebih jauh dengan detail personal yang diambil dari LinkedIn, dump pelanggaran, atau korespondensi sebelumnya.

2. Situs palsu yang sempurna hingga pixel

Penyerang menggunakan kit phishing siap pakai yang mengkloning HTML, CSS, dan JavaScript situs target. Banyak kit dijual sebagai layanan (phishing-as-a-service), dengan dashboard yang berfungsi dan dukungan pelanggan.

3. Proxy real-time untuk 2FA

Bagian berbahaya: kit modern tidak hanya menangkap kata sandi Anda. Mereka bertindak sebagai proxy man-in-the-middle yang meneruskan semua yang Anda ketik — termasuk kode TOTP Anda — ke situs asli dalam hitungan detik, melewati sebagian besar 2FA. Teknik ini disebut adversary-in-the-middle (AiTM) dan digunakan dalam alat seperti Evilginx2 dan Modlishka.

4. Pencurian token sesi

Setelah Anda mengautentikasi melalui proxy, penyerang menangkap cookie sesi Anda dan dapat menggunakannya untuk tetap masuk bahkan setelah Anda mengubah kata sandi. Inilah mengapa respons phishing selalu mencakup pencabutan sesi aktif, tidak hanya rotasi kata sandi.

Apa yang benar-benar menghentikan phishing

Kunci keamanan perangkat keras (FIDO2 / WebAuthn)

Ini adalah satu-satunya kategori pertahanan yang tahan phishing berdasarkan desain. Ketika Anda masuk dengan kunci FIDO2, kunci Anda memverifikasi secara kriptografis domain tepat dari situs yang meminta autentikasi. Situs palsu — tidak peduli seberapa sempurna secara visual — memiliki domain berbeda, jadi kunci menolak merespons. Handshake kriptografis tidak akan selesai.

Google terkenal mewajibkan YubiKey untuk semua 85.000+ karyawan pada 2017 dan melaporkan nol serangan phishing yang berhasil pada akun perusahaan di tahun-tahun berikutnya.

Passkey

Passkey adalah evolusi ramah konsumen dari FIDO2. Mereka menggunakan kriptografi terikat domain yang sama dan dibangun ke dalam iOS, Android, macOS, dan Windows. Jika situs yang Anda gunakan mendukung passkey, mengaktifkan satu membuat akun itu tahan phishing.

Password manager

Password manager adalah garis pertahanan kedua Anda karena hanya mengisi otomatis kredensial pada domain tepat di mana mereka disimpan. Jika Anda mendarat di paypaI.com (I kapital) alih-alih paypal.com, manager Anda diam-diam menolak mengisi formulir. Penolakan itu adalah peringatan keras bahwa ada yang salah.

Penyaringan email dan DNS

Penyedia email menggunakan DMARC, SPF, dan DKIM untuk mendeteksi alamat pengirim palsu. Sebagian besar penyedia modern menangkap upaya yang jelas, tetapi serangan yang ditargetkan masih lolos. Aktifkan tombol "laporkan phishing" di klien email Anda sehingga Anda membantu filter meningkat.

Tanda bahaya yang harus diwaspadai

Ketika Anda menerima pesan yang meminta Anda masuk, verifikasi, atau bertindak mendesak:

  • Urgensi dan ancaman — "Akun Anda akan ditutup dalam 24 jam"
  • Sapaan umum — "Pelanggan yang terhormat" alih-alih nama Anda
  • Domain mirippaypaI.com, app1e.com, secure-microsoft-login.net
  • Lampiran tak terduga — terutama file .zip, .html, atau .pdf yang meminta Anda masuk untuk melihatnya
  • Kesalahan tata bahasa atau format — perusahaan besar mengoreksi email mereka
  • Ketidaksesuaian tautan — arahkan kursor ke tautan dan periksa apakah tujuan sesuai dengan teks

Jika ada yang terasa aneh, tutup email. Navigasikan ke situs secara manual. Jika ada masalah nyata, Anda akan melihatnya ketika Anda masuk melalui alur kerja normal Anda.

Apa yang harus dilakukan jika Anda tertipu

Bertindak cepat — kecepatan penting karena penyerang mulai menggunakan kredensial dalam hitungan menit.

  1. Ubah kata sandi segera pada perangkat yang berbeda (ponsel Anda, misalnya, jika Anda tertipu di laptop)
  2. Cabut semua sesi aktif di pengaturan akun — ini menendang keluar siapa pun yang saat ini menggunakan token sesi yang dicuri
  3. Aktifkan 2FA jika belum aktif, dan gunakan kunci perangkat keras atau passkey jika memungkinkan
  4. Periksa aktivitas tidak sah — email yang dikirim, login terbaru, perubahan tagihan, aturan penerusan baru
  5. Beri tahu institusi yang terpengaruh jika itu akun keuangan atau kerja
  6. Periksa akun lain yang menggunakan kata sandi yang sama — bahkan jika Anda yakin tidak menggunakan ulang kata sandi, periksa

Intinya

Phishing berkembang karena melewati teknologi dan menargetkan manusia. Pertahanan terbaik mencampur tiga lapisan: password manager (menolak mengisi otomatis pada domain yang salah), 2FA tahan phishing (kunci perangkat keras atau passkey yang terikat pada domain asli), dan skeptisisme sehat (jangan pernah masuk dari tautan email).

Aktifkan ketiganya pada akun terpenting Anda — email Anda — pertama. Dari sana, sisa kehidupan digital Anda menjadi lebih aman secara bermakna.

Cara Melindungi Diri dari Phishing

Daftar periksa praktis dan terurut untuk menguatkan akun Anda terhadap serangan phishing.

  1. Gunakan password manager:Instal password manager terpercaya (1Password, Bitwarden, Proton Pass) dan biarkan mengisi kredensial secara otomatis. Ini akan menolak mengisi otomatis pada domain yang mirip, memberikan Anda detektor phishing bawaan.
  2. Aktifkan 2FA yang tahan phishing:Tambahkan kunci perangkat keras FIDO2 (YubiKey, Google Titan) atau passkey ke akun terpenting Anda — email dulu, kemudian perbankan, penyimpanan cloud, dan password manager. Ini adalah satu-satunya metode 2FA yang benar-benar menghentikan phishing modern.
  3. Jangan pernah masuk dari tautan email:Ketika Anda mendapat email yang meminta Anda masuk, tutup email dan navigasikan ke situs secara manual melalui bookmark atau dengan mengetik URL. Tautan dalam email mungkin kloning sempurna; bookmark di browser Anda bukan.
  4. Periksa domain yang tepat sebelum mengetik:Sebelum memasukkan kata sandi apa pun, lihat URL lengkap di bilah alamat. Cari https, ejaan yang benar, dan tidak ada subdomain tambahan seperti paypal.com.secure-login.net.
  5. Laporkan dan lanjutkan:Laporkan upaya phishing ke penyedia email Anda (kebanyakan memiliki tombol "Laporkan phishing"). Kemudian lanjutkan hari Anda — phishing hanya berbahaya jika Anda tertipu, dan kesadaran adalah sebagian besar dari pertempuran.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email