Siri 3/2015 Artikel Keselamatan ICT : Jom Phishing!

Dalam ICT, phishing (sebutan: 'fishing') adalah satu cubaan bersifat jenayah serta penipuan untuk mendapatkan maklumat sensitif di dalam perhubungan elektronik seperti nama penggunakata laluan, dan butiran kad kredit dengan menyamar sebagai sebuah entiti yang boleh dipercayai. eBay, PayPal serta bank-bank dalam talian adalah antara yang sering kali menjadi sasaran. Phishing selalunya dilakukan melalui email ataupesanan ringkas, dan selalunya mengarahkan pengguna untuk memasukkan butiran pada laman web tertentu. Ia menyerupai e-mel palsu dariinstitusi kewangan atau pembekal perkhidmatan. Mesej ini biasanya mengandungi nama syarikatlogo dan pautan ke laman web yang meminta anda untuk mengemas kini maklumat anda dengan memberikan butiran akaun atau maklumat peribadi dengan amaran keras jika tindakan tidak diambil.Maklumat peribadi anda mungkin digunakan untuk melakukan penipuan. Selain itu, perhubungan telefon juga pernah digunakan. Phishing merupakansatu contoh teknik social engineering iaitu topik pada artikel yang lepas yang digunakan untuk memperdayakan pengguna. 
Antara cubaan-cubaan untuk mengatasi laporan kejadian phising yang semakin meningkat termasuklah pemasangan Antivirus (Panda Cloud Antivirus, Webroot, Symantec Endpoint Protection dan lain2), penguatkuasaan undang-undang, latihan untuk para pengguna, kesedaran umum (hebahan artikel melalui emel sebegini), serta langkah-langkah teknikal ICT.
Teknik phising telah mula dikenali secara terperinci seawal tahun 1987, sementara rekod pengunaan istilah phising yang pertama telah dibuat pada1996. Istilah ini adalah ejaan kelainan bagi fishing (perkataan English untuk memancing), ia juga mungkin dipengaruhi oleh perkataan phreaking, dan menyentuh kepada meningkatnya penggunaan umpan-umpan canggih dengan harapan untuk "menangkap" maklumat kewangan dan kata-kata laluan. Perkataan tersebut mungkin juga boleh dihubungkan dengan leetspeak, di mana ph pada kebiasaannya digunakan untuk menggantikan f.

[Kes phishing di Malaysia ? (Sumber : PDRM - 2015)]
Sebanyak 652 laman sesawang 'phishing' disekat dari Januari hingga Mei tahun ini berbanding 835 bagi tempoh sama tahun lepas, yang menyaksikan pengurangan sebanyak 22 peratus.
Pada tahun ini daripada 652 laman yang disekat, 117 melibatkan laman sesawang lucah, kesalahan syariah (lima), menggunakan Internet atau telefon untuk menyebar berita palsu yang tertakluk di bawah Seksyen 233 Akta Komunikasi dan Multimedia (dua), perubatan iaitu penjualan serta periklanan dan laman syarikat masing-masing.
"Daripada bilangan itu, jumlah kes sebanyak 39 membabitkan kerugian RM178,700 manakala pada 2012, sebanyak 332 kes dengan kerugian RM1,959,932 berbanding tahun 2011 iaitu 872 kes melibatkan kerugian RM3,294,740," katanya sambil menasihatkan orang ramai agar tidak mudah terpedaya.
Sementara itu, Bukti Aman memaklumkan bahawa phishing hanya membabitkan lapan peratus daripada jenayah siber di Malaysia.
"Kebiasaannya, mangsa yang membuat laporan terdiri daripada mereka yang mengalami kerugian, ada juga yang tidak melaporkan kerana tidak melibatkan kerugian seperti akaun Facebook diceroboh,"

[Jenis-jenis Phishing]
Ada sebanyak 12 jenis Phishing yang dikenalpasti sehingga kini...wow! banyak kan. Jangan risau, artikel kali ni akan jelaskan 4 jenis phishing terlebih dahulu dan akan bersambunga artikel seterusnya untuk artikel sambungan bagi topik Phishing ini.
1) E-mel / Spam
Phishing menggunakan emel menjadi kebiasaan dan kaedah yang paling mudah dan berkesan bagi pengguna Emel. Phisher boleh menghantar e-mel yang sama untuk berjuta-juta pengguna melalui tools tertentu bagi meminta mereka melengkapkan butir-butir peribadi. Butiran ini akan digunakan oleh phisher untuk aktiviti haram mereka. Phishing dengan e-mel dan spam adalah satu penipuan phishing yang sangat umum. Kebanyakan mesej yang mempunyai kedudukan yang amat penting yang memerlukan pengguna untuk memasukkan kelayakan untuk mengemas kini maklumat akaun, menukar butiran, dan mengesahkan akaun. Kadang-kadang, mereka mungkin akan diminta untuk mengisi borang untuk mengakses perkhidmatan baru melalui pautan yang disediakan dalam e-mel.
keterangan mudah :
  1. Dalam kes "phishing" biasa, anda akan menerima e-mel yang kelihatan datang dari sebuah syarikat terkemuka seperti institusi kewangan anda, agensi kerajaan atau syarikat kad kredit.
  2. Terdapat juga e-mel yang dilihat seperti datang dari pengirim dan sumber dalam talian yang sah. Jangan terpedaya kepada nama atau e-mel dalam ruangan "daripada" kerana ia mudah dipalsukan.
  3. Mesej yang terpapar akan memaksa anda untuk segera "mengesahkan" atau "hantar semula" maklumat peribadi atau sulit dengan mengklik pada pautan yang terpapar di dalam mesej.
  4. Setelah berada di laman web palsu anda akan diminta untuk memberikan nombor IC / Pasport, nombor akaun, kata laluan atau maklumat lain yang digunakan untuk mengesahkan identiti anda seperti nama ibu atau tempat lahir.
  5. Penipuan e-mel juga mungkin termasuk pautan dan / atau lampiran yang mengandungi virus komputer dan / atau "keystroke loggers" yang tidak semestinya diklik atau dibuka.
  6. Lain-lain contoh penipuan "phishing" biasa termasuk tawaran palsu pekerjaan, kaji selidik, tawaran hadiah palsu, kupon hadiah atau skim penipuan wang haram.
Situasi mangsa Email Phishing :
  • Seorang pengguna Online Banking yang mempunyai duit yang banyak dalam bank baru berjinak-jinak dengan penggunaan Online Banking. 
  • Dia terima emel dari Admin Maybank2U bagitau yang akaun kita kena kemaskini sebab ada kerja upgrade keselamatan server dan perlu masuk ke login page untuk tukar password. Mesej juga bagitau supaya standby handphone untuk masukkan no TAC nanti.
  • Dalam emel juga ada link ke laman login tersebut memang nampak pandangan mata sebijik sama.
  • Muka login sebijik sama macam yang real page siap dengan logo dan banner semua.
  • Kemudian pengguna ni tanpa usul periksa klik Link dan masukkan maklumat login dan kata laluan ke Maybank2U dan dia sendiri pun tak berapa ingat gambar yang dikeluarkan apabila nak masukkan password.
  • Dah login, sistem minta masukkan no TAC. No TAC hanya boleh diperolehi jika menggunakan Maybank2u.com atau *Kawanku Phone Banking" sahaja. Jadi dia pun berusahalah dan daftar.
  • Tanpa diketahui maklumat tersebut dah digunakan untuk mengeluarkan aset pengguna ni sebanyak RM2.6k dari akaunnya tanpa diketahui.
  • Termenung pengguna dan tidak lagi percaya dengan Online Banking.
Contoh laman web Online Banking palsu :
Cuba cari apa yang tak betul dengan laman web ni?

2) Penghantaran Berasaskan Web
Penyampaian berasaskan web adalah salah satu teknik phishing paling canggih. Juga dikenali sebagai "man-in-the-middle," penggodam terletak di antara laman web asal dan sistem phishing. Phisher dapat melihat dan mengesan semua maklumat semasa transaksi antara laman web yang sah dan pengguna. Pengguna secara tak sedar akan terus memberikan maklumat yang dikumpulkan oleh phisher. Pada pandangan pengguna, mereka mengakses kepada laman web sebenar. Aktiviti ini biasa dibuat di Wifi Hotspot percuma.
3) Instant Messaging
Instant Messaging adalah kaedah di mana pengguna menerima mesej dengan pautan mengarahkan mereka ke laman web phishing palsu yang mempunyai rupa yang sama dan rasa sebagai laman web yang sah. Jika pengguna tidak melihat URL, ia mungkin sukar untuk membezakan antara palsu dan laman web yang sah. Kemudian, pengguna diminta untuk memberikan maklumat peribadi pada halaman. Kaedah ini mungkin menyebabkan semua maklumat di PC juga diakses oleh Phisher / Penceroboh. Ini kerana link yang dikongsi pada Instant Messaging mungkin mengandungi virus malware yang boleh merosakkan PC dan juga boleh menyebabkan data penting dari PC di bawa keluar tanpa diketahui. Ada ada simpan gambar personal dalam PC....mungkin akan ada di Internet nanti muka lain dan badan lain. Hati-hati...
4) Trojan Hosts
Trojan Hosts adalah penggodam yang tidak dapat dilihat cuba untuk log masuk ke dalam akaun pengguna anda untuk mengumpul kelayakan melalui mesin pengguna. Maklumat yang diperolehi ini kemudiannya dihantar kepada phisher. Ia adalah sejenis virus yang menjangkiti PC anda dan mencuri maklumat dalam PC tanpa anda sedari. Seperti contoh di atas, ianya attachment page HTML. Namun apabila kita klik tiada paparan diperolehi tetapi tanpa kita sedari malware Trojan Hosts telah diinstall ke dalam PC kita.

Ok cukuplah dulu ilmu 4 jenis Phishing kali ini, sambungan bagi 8 jenis Phishing lagi dalam artikel seterusnya.

Be SmartEmotional Wil Uncover Your Weakness

Ulasan