Lewati ke konten utama

Cara Melindungi Diri dari Serangan Phishing

Phishing adalah penyebab utama akun dicuri. Cara kerja phishing modern, tanda-tanda bahaya, dan pertahanan yang benar-benar menghentikan serangan.

Terakhir diperbarui: 14 April 2026

Ringkasan

  • Phishing adalah penyebab utama pengambilalihan akun — penyerang menipu Anda agar memberikan kredensial di situs palsu.
  • Kit phishing modern mengkloning halaman login dengan sempurna dan meneruskan kode 2FA Anda secara real-time.
  • Kunci keamanan perangkat keras (YubiKey, FIDO2) adalah satu-satunya pertahanan yang tahan phishing secara desain.
  • Pengelola kata sandi melindungi Anda dengan menolak untuk mengisi otomatis pada domain yang salah.
  • Periksa domain yang tepat sebelum mengetik kredensial, dan jangan pernah masuk dari tautan di email.

Apa itu phishing?

Phishing adalah serangan rekayasa sosial di mana penyerang membuat salinan yang meyakinkan dari situs web resmi — seringkali sempurna hingga piksel — dan menipu korban agar memasukkan kredensial di sana. Begitu korban mengirimkan formulir, penyerang menangkap nama pengguna, kata sandi, dan faktor kedua apa pun, lalu menggunakannya untuk mengambil alih akun asli dalam hitungan detik.

Kata ini berasal dari metafora "memancing" korban dengan umpan (biasanya email). Ejaannya berubah untuk menekankan bahwa penyerang sering menggunakan nomor telepon (phishing via SMS, atau "smishing") dan infrastruktur yang terlihat profesional.

Mengapa phishing masih menjadi ancaman #1

Sebagian besar pelanggaran akun berskala besar saat ini tidak melibatkan peretasan, pemecahan kata sandi, atau melewati enkripsi. Mereka melibatkan seorang manusia yang mengetik kata sandi ke situs palsu. Phishing:

  • Murah — penyerang dapat mengirim jutaan email dengan biaya VPS dan domain palsu
  • Sulit difilter — kit modern merotasi domain, menggunakan hosting yang sah, dan beradaptasi dengan filter secara real-time
  • Efektif — bahkan pengguna yang sadar keamanan pun bisa terjebak upaya bertarget yang dibuat dengan baik (spear phishing)
  • Skalabel — satu phish yang berhasil sering kali memberikan akses ke lusinan layanan yang terhubung melalui penggunaan ulang kata sandi

Laporan Investigasi Pelanggaran Data Verizon 2024 menemukan bahwa phishing adalah vektor akses awal dalam lebih dari 36% dari semua pelanggaran — lebih banyak dari penyebab tunggal lainnya.

Cara kerja phishing modern

Phishing telah berkembang jauh melampaui email "pangeran Nigeria" di tahun 2000-an. Serangan phishing modern biasanya meliputi:

1. Umpan yang meyakinkan

Biasanya berupa email, pesan teks, atau pesan obrolan yang menciptakan urgensi ("Akun Anda akan ditangguhkan"), otoritas ("Tim keamanan Microsoft"), atau rasa ingin tahu ("Seseorang menandai Anda dalam sebuah foto"). Spear-phishing lebih jauh lagi dengan detail pribadi yang diambil dari LinkedIn, data pelanggaran, atau korespondensi sebelumnya.

2. Situs palsu yang sempurna secara piksel

Penyerang menggunakan kit phishing yang tersedia di pasaran untuk mengkloning HTML, CSS, dan JavaScript situs target. Banyak kit dijual sebagai layanan (phishing-as-a-service), dengan dasbor yang berfungsi dan dukungan pelanggan.

3. Proxy real-time untuk 2FA

Bagian yang berbahaya: kit modern tidak hanya menangkap kata sandi Anda. Mereka bertindak sebagai proxy man-in-the-middle yang meneruskan semua yang Anda ketik — termasuk kode TOTP Anda — ke situs asli dalam hitungan detik, melewati sebagian besar 2FA. Teknik ini disebut adversary-in-the-middle (AiTM) dan digunakan dalam alat seperti Evilginx2 dan Modlishka.

4. Pencurian token sesi

Setelah Anda mengautentikasi melalui proxy, penyerang menangkap cookie sesi Anda dan dapat menggunakannya untuk tetap masuk bahkan setelah Anda mengubah kata sandi. Inilah mengapa respons terhadap phishing selalu mencakup pencabutan sesi aktif, bukan hanya rotasi kata sandi.

Yang benar-benar menghentikan phishing

Kunci keamanan perangkat keras (FIDO2 / WebAuthn)

Ini adalah satu-satunya kategori pertahanan yang tahan phishing secara desain. Ketika Anda masuk dengan kunci FIDO2, kunci Anda secara kriptografi memverifikasi domain tepat dari situs yang meminta autentikasi. Situs palsu — betapa pun sempurnanya secara visual — memiliki domain yang berbeda, sehingga kunci menolak untuk merespons. Jabat tangan kriptografis tidak dapat diselesaikan.

Google terkenal mewajibkan YubiKey untuk semua 85.000+ karyawannya pada tahun 2017 dan melaporkan nol serangan phishing yang berhasil pada akun perusahaan sejak saat itu.

Passkey

Passkey adalah evolusi FIDO2 yang ramah konsumen. Mereka menggunakan kriptografi yang sama yang terikat ke domain dan sudah terintegrasi ke dalam iOS, Android, macOS, dan Windows. Jika situs yang Anda gunakan mendukung passkey, mengaktifkannya membuat akun tersebut tahan phishing.

Pengelola kata sandi

Pengelola kata sandi adalah lini pertahanan kedua Anda karena hanya mengisi otomatis kredensial pada domain yang tepat tempat kredensial tersebut disimpan. Jika Anda mendarat di paypaI.com (huruf kapital I) alih-alih paypal.com, pengelola Anda secara diam-diam menolak mengisi formulir. Penolakan itu adalah peringatan keras bahwa ada sesuatu yang salah.

Filter email dan DNS

Penyedia email menggunakan DMARC, SPF, dan DKIM untuk mendeteksi alamat pengirim yang dipalsukan. Sebagian besar penyedia modern menangkap upaya yang jelas, tetapi serangan bertarget tetap bisa lolos. Aktifkan tombol "laporkan phishing" di klien email Anda sehingga Anda membantu filter menjadi lebih baik.

Tanda bahaya yang perlu diwaspadai

Ketika Anda menerima pesan yang meminta Anda untuk masuk, memverifikasi, atau bertindak segera:

  • Urgensi dan ancaman — "Akun Anda akan ditutup dalam 24 jam"
  • Sapaan generik — "Pelanggan yang terhormat" alih-alih nama Anda
  • Domain yang terlihat serupapaypaI.com, app1e.com, secure-microsoft-login.net
  • Lampiran yang tidak terduga — terutama file .zip, .html, atau .pdf yang meminta Anda masuk untuk melihatnya
  • Kesalahan tata bahasa atau format — perusahaan besar memeriksa email mereka dengan teliti
  • Ketidaksesuaian tautan — arahkan kursor ke tautan dan periksa apakah tujuannya cocok dengan teksnya

Jika ada sesuatu yang terasa tidak beres, tutup emailnya. Navigasikan ke situs secara manual. Jika ada masalah nyata, Anda akan melihatnya saat masuk melalui alur kerja normal Anda.

Apa yang harus dilakukan jika Anda terjebak

Bertindaklah dengan cepat — kecepatan sangat penting karena penyerang mulai menggunakan kredensial dalam hitungan menit.

  1. Ubah kata sandi segera dari perangkat lain (ponsel Anda, misalnya, jika Anda terjebak di laptop)
  2. Cabut semua sesi aktif di pengaturan akun — ini mengeluarkan siapa pun yang sedang menggunakan token sesi yang dicuri
  3. Aktifkan 2FA jika belum diaktifkan, dan gunakan kunci perangkat keras atau passkey jika memungkinkan
  4. Periksa aktivitas yang tidak sah — email yang terkirim, login terbaru, perubahan tagihan, aturan penerusan baru
  5. Beritahu lembaga yang terkena dampak jika ini adalah akun keuangan atau akun kerja
  6. Periksa akun lain yang menggunakan kata sandi yang sama — bahkan jika Anda yakin tidak menggunakan ulang kata sandi, tetap periksa

Kesimpulan

Phishing berkembang karena melewati teknologi dan menargetkan manusia. Pertahanan terbaik menggabungkan tiga lapisan: pengelola kata sandi (menolak mengisi otomatis pada domain yang salah), 2FA yang tahan phishing (kunci perangkat keras atau passkey yang terikat ke domain asli), dan skeptisisme yang sehat (jangan pernah masuk dari tautan email).

Aktifkan ketiganya pada akun terpenting Anda — email Anda — terlebih dahulu. Dari sana, sisa kehidupan digital Anda akan menjadi jauh lebih aman secara berarti.

Cara Melindungi Diri dari Phishing

Daftar periksa praktis dan terurut untuk memperkuat akun Anda dari serangan phishing.

  1. Gunakan pengelola kata sandi:Instal pengelola kata sandi terpercaya (1Password, Bitwarden, Proton Pass) dan biarkan ia mengisi kredensial secara otomatis. Ia akan menolak mengisi otomatis pada domain yang terlihat serupa, memberikan Anda detektor phishing bawaan.
  2. Aktifkan 2FA yang tahan phishing:Tambahkan kunci perangkat keras FIDO2 (YubiKey, Google Titan) atau passkey ke akun terpenting Anda — email terlebih dahulu, lalu perbankan, penyimpanan cloud, dan pengelola kata sandi. Ini adalah satu-satunya metode 2FA yang benar-benar menghentikan phishing modern.
  3. Jangan pernah masuk dari tautan email:Saat Anda menerima email yang meminta Anda masuk, tutup email tersebut dan navigasikan ke situs secara manual melalui bookmark atau dengan mengetik URL. Tautan dalam email mungkin merupakan klon yang sempurna; bookmark di browser Anda tidak.
  4. Periksa domain yang tepat sebelum mengetik:Sebelum memasukkan kata sandi apa pun, perhatikan URL lengkap di bilah alamat. Cari https, ejaan yang benar, dan tidak ada subdomain tambahan seperti paypal.com.secure-login.net.
  5. Laporkan dan lanjutkan:Laporkan upaya phishing ke penyedia email Anda (sebagian besar memiliki tombol "Laporkan phishing"). Kemudian lanjutkan hari Anda — phishing hanya berbahaya jika Anda terjebak, dan kesadaran adalah sebagian besar dari pertempuran ini.

Pertanyaan yang Sering Diajukan