Waspada Serangan Phishing Meningkat di Musim Mudik, Berikut Panduan untuk Melindungi Diri

JAKARTA – Masa mudik Lebaran biasanya menjadi saat dimana transaksi digital meningkat, sehingga kehati-hatian terhadap ancaman kejahatan digital, terutama phishing juga perlu ditingkatkan. Bahkan, Lembaga Konsumen Digital Indonesia mencatat adanya peningkatan jumlah laporan kasus phishing sebesar 30 selama bulan Ramadhan, terutama menjelang Lebaran.

Situasi ini serupa dengan yang terjadi sejak akhir 2024 secara global, di mana menjelang puncak musim bepergian, rangkaian serangan phishing yang menyamar sebagai agen perjalanan online dan menargetkan organisasi di industri perhotelan marak terlihat.

Berdasarkan data Microsoft Threat Intelligence, serangan phishing yang umum terjadi menggunakan teknik ClickFix untuk mencuri kredensial pengguna melalui halaman login palsu dan CAPTCHA yang tampak meyakinkan. Serangan ini masih berlangsung hingga Februari 2025 di berbagai wilayah, termasuk Asia Tenggara.

Bagaimana Modus Phishing Ini Bekerja?

Microsoft melacak serangan phishing yang terjadi sejak Desember 2024 sebagai Storm-1865, yaitu serangkaian aktivitas terkait serangan phishing yang mengarah pada pencurian data pembayaran dan transaksi tipuan.

Serangan ini berlangsung selama beberapa tahap:

• Pada umumnya pelaku mengirimkan email palsu yang meminta korban untuk melakukan sesuatu, seperti memperbarui akun, melakukan verifikasi transaksi, atau tindakan lainnya, yang perlu dilakukan dengan segera. 
• Email ini menyisipkan tautan atau lampiran PDF yang mengarahkan pengguna ke halaman login palsu. Untuk meningkatkan kredibilitas, halaman ini juga menampilkan CAPTCHA palsu, yang memberi ilusi bahwa pengguna sedang melakukan verifikasi tambahan.
• Selanjutnya, teknik ClickFix menginstruksikan korban untuk menjalankan perintah tertentu di komputer mereka, yang tanpa disadari akan mengunduh malware pencuri data serta memberi akses kepada peretas untuk melakukan transaksi tidak sah.

Pada 2023 dan 2024, Storm-1865 banyak manergetkan sektor di sektor perhotelan, serta individu yang berpotensi menggunakan jasa organisasi tersebut, termasuk tamu hotel. Oleh karena itu, pemudik dan wisatawan perlu berhati-hati saat menerima komunikasi yang mengatasnamakan hotel atau layanan travel mereka.

Cara Melindungi Bisnis & Individu dari Phishing

Ada sejumlah langkah yang dapat dilakukan oleh individu dan bisnis untuk melindungi diri dari serangan phishing. Berikut beberapa langkah yang direkomendasikan Microsoft:

Untuk Bisnis

• Gunakan multi-factor authentication (MFA) – Mengaktifkan MFA di semua akun dapat mengurangi risiko akses tidak sah, bahkan jika kredensial dicuri.
• Konfigurasi keamanan email seperti Microsoft Defender for Office 365 Safe Links – Mencegah karyawan mengklik tautan berbahaya dengan memeriksa ulang tautan secara otomatis saat diklik, termasuk dalam email dan aplikasi Microsoft 365.
• Pantau aktivitas login yang mencurigakan – Microsoft Defender XDR dapat membantu tim IT perusahaan mendeteksi dan merespons serangan phishing lebih cepat dengan investigasi otomatis.
• Gunakan proteksi berbasis cloud untuk respons cepat terhadap ancaman baru – Microsoft Defender dengan proteksi berbasis cloud dapat mendeteksi dan memblokir varian serangan phishing yang baru berkembang secara real-time.

Untuk Individu:

• Pastikan hanya berkomunikasi dengan akun resmi hotel atau agen perjalanan – Cek domain email pengirim dan pastikan sesuai dengan domain resmi penyedia layanan.
• Gunakan jaringan yang aman – Hindari login ke akun Anda melalui Wi-Fi publik atau tidak terenkripsi untuk mencegah serangan perantara (man-in-the-middle).
• Periksa alamat email pengirim – Waspadai tanda “[External]” pada email masuk dan domain yang tampak mencurigakan. Email yang mendesak pengguna untuk segera bertindak bisa jadi phishing.
• Verifikasi melalui situs resmi – Jika menerima email mencurigakan yang meminta login atau pembayaran, hindari mengklik tautan dan lakukan pengecekan langsung melalui situs web resmi layanan tersebut. Jangan lupa untuk mengarahkan kursor ke tautan tersebut sebelum mengklik apapun; jika URL tampak mencurigakan atau berbeda dari yang seharusnya, sebaiknya tidak diklik.
• Gunakan browser yang mendukung SmartScreen dapat membantu mendeteksi dan memblokir situs berbahaya yang digunakan dalam serangan phishing.

“Dengan mengenali pola serangan dan mengambil langkah-langkah pelindungan, kita bisa mengurangi tingkat keberhasilan serangan, menjaga data, serta melindungi dunia digital kita. Mari, tetap waspada selama musim mudik,” kata Menurut Panji Wasmana, National Technology Officer, Microsoft Indonesia.