Jakarta, Tribun News Indonesia —
Musim mudik lebaran, ketika mobilitas masyarakat sangat tinggi, membuka celah bagi pelaku kejahatan siber melakukan serangan phishing. Simak tips aman dari serangan phishing di momen libur lebaran.
“Pada masa-masa liburan ketika transaksi digital meningkat dan kewaspadaan digital cenderung menurun, pelaku kejahatan siber kerap memanfaatkan rasa kepercayaan individu dan organisasi terhadap travel agency populer untuk mencuri data,” ujar Panji Wasmana, National Technology Officer Microsoft Indonesia dalam keterangannya, Jumat (21/1).
“Dengan mengenali pola serangan dan mengambil langkah-langkah pelindungan, kita bisa mengurangi tingkat keberhasilan serangan, menjaga data, serta melindungi dunia digital kita. Mari, tetap waspada selama musim mudik,” lanjutnya.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Lembaga Konsumen Digital Indonesia mencatatkan peningkatan jumlah laporan kasus phishing di dalam negeri sebesar 30 persen selama bulan Ramadan, terutama menjelang Lebaran, dibandingkan bulan-bulan lainnya.
Situasi ini disebut serupa dengan yang terjadi sejak akhir 2024 secara global, saat menjelang puncak musim bepergian. Pada waktu tersebut rangkaian serangan phishing yang menyamar sebagai agen perjalanan online dan menargetkan organisasi di industri perhotelan marak bermunculan.
Berdasarkan Microsoft Threat Intelligence, serangan phishing tersebut menggunakan teknik ClickFix untuk mencuri kredensial pengguna melalui halaman login palsu dan CAPTCHA yang tampak meyakinkan. Serangan ini disebut masih berlangsung hingga Februari 2025 di berbagai wilayah, termasuk Asia Tenggara.
Microsoft menyebut serangan phishing yang terjadi sejak Desember 2024 sebagai Storm-1865,yaitu serangkaian aktivitas terkait serangan phishing yang mengarah pada pencurian data pembayaran dan transaksi tipuan, yang menargetkan organisasi di sektor perhotelan, serta individu yang berpotensi menggunakan jasa organisasi tersebut.
Serangan ini dapat berlangsung dalam beberapa tahap.
Pada contoh serangan yang menargetkan organisasi di sektor perhotelan, ada beberapa pola yang terjadi.
Pertama, hotel dan mitra bisnis menerima email palsu yang berpura-pura berasal dari platform pemesanan. Email tersebut meminta karyawan mereka untuk memperbarui akun, memverifikasi transaksi, mengkonfirmasi reservasi, atau segera menanggapi keluhan dan ulasan tamu, guna menjaga reputasi perusahaan.
Email ini menyisipkan tautan atau lampiran PDF yang mengarahkan pengguna ke halaman login palsu. Untuk meningkatkan kredibilitas, halaman ini juga menampilkan CAPTCHA palsu, yang memberi ilusi bahwa pengguna sedang melakukan verifikasi tambahan.
Selanjutnya, teknik ClickFix menginstruksikan korban untuk menjalankan perintah tertentu di komputer mereka, yang tanpa disadari akan mengunduh malware pencuri data serta memberi akses kepada peretas untuk melakukan transaksi tidak sah.
Serangan ini disebut tak hanya menyasar karyawan hotel. Pada 2023, Storm-1865 juga menargetkan tamu hotel yang menggunakan platform pemesanan tertentu dengan teknik rekayasa serupa.
Cara hindari phishing saat mudik
Pemudik dan wisatawan tentu harus meningkatkan kewaspadaan dan berhati-hati saat menerima komunikasi yang mengatasnamakan hotel atau layanan travel mereka. Berikut adalah sejumlah tips untuk menghindari praktik phisisng selama Lebaran Idulfitri 2025/1446 Hijriah:
– Pastikan hanya berkomunikasi dengan akun resmi hotel atau agen perjalanan
Cek domain email pengirim dan pastikan sesuai dengan domain resmi penyedia layanan.
– Gunakan jaringan yang aman
Hindari login ke akun Anda melalui Wi-Fi publik atau tidak terenkripsi untuk mencegah serangan perantara (man-in-the-middle).
– Periksa alamat email pengirim
Waspadai tanda “[External]” pada email masuk dan domain yang tampak mencurigakan. Khusunya email yang mendesak pengguna untuk segera bertindak bisa jadi phishing.
– Verifikasi melalui situs resmi
Jika menerima email mencurigakan yang meminta login atau pembayaran, hindari mengklik tautan dan lakukan pengecekan langsung melalui situs web resmi layanan tersebut. Jangan lupa untuk mengarahkan kursor ke tautan tersebut sebelum mengklik apapun; jika URL tampak mencurigakan atau berbeda dari yang seharusnya, sebaiknya tidak diklik.
(lom/dmi)
