• 13 February 2025

Apa Itu Serangan Smishing dan Bagaimana Cara Kerjanya?

Para penyerang telah menemukan teknik dan metode baru yang membuat sulit untuk membedakan antara yang asli dan yang palsu. Organisasi harus menghadapi kerugian finansial yang besar serta kerusakan reputasi akibat meningkatnya serangan siber setiap tahun.

Menurut statistik dari IBM, 75% organisasi di seluruh dunia melaporkan mengalami serangan smishing, yang menimbulkan kekhawatiran akan luasnya ancaman siber ini. Smishing (SMS Phishing) digunakan oleh penyerang untuk memanfaatkan kurangnya kesadaran keamanan di kalangan karyawan dan meyakinkan mereka agar mengungkapkan informasi rahasia organisasi.

Untuk melindungi organisasi dari serangan smishing modern, diperlukan pelatihan kesadaran keamanan siber yang tepat bagi karyawan guna meningkatkan pemahaman mereka tentang serangan siber serta pentingnya menerapkan strategi mitigasi dalam menghadapi serangan smishing di dunia nyata.

Dalam blog ini, kita akan membahas definisi serangan smishing, cara kerjanya, serta berbagai langkah pencegahan yang perlu diterapkan untuk melindungi diri dari serangan tersebut.

 

Apa Itu Serangan Smishing?

Smishing merupakan gabungan dari dua kata, yaitu “SMS” dan “Phishing.” Ini adalah jenis serangan phishing di mana penyerang menggunakan pesan SMS untuk menipu individu atau karyawan agar mengungkapkan informasi pribadi.

Pelaku penipuan menggunakan teknik penyamaran agar terlihat seperti sumber yang sah. Tahap selanjutnya melibatkan pengiriman pesan teks kepada korban dan membujuk mereka untuk mengklik tautan mencurigakan, serta mendorong mereka agar memberikan informasi rahasia.

Mengklik tautan mencurigakan tersebut akan mengarahkan korban ke situs web palsu yang dirancang untuk mencuri data sensitif serta menginfeksi perangkat IT dengan malware dan trojan.

 

Bagaimana Cara Kerja Smishing?

Peretas menggunakan berbagai teknik untuk menyamar sebagai sumber yang sah. Untuk mengurangi risiko menjadi korban serangan smishing, penting untuk memahami cara kerja serta metode yang digunakan oleh peretas. Berikut adalah beberapa trik yang sering digunakan dalam serangan smishing:

  • Varian Phishing: Smishing adalah bentuk lain dari serangan phishing, tetapi menggunakan SMS sebagai media utama, bukan email.
  • Teknik Penyamaran: Peretas menyamar sebagai sumber terpercaya seperti bank, pejabat pemerintah, atau layanan dukungan teknis.
  • Tautan Palsu: Penyerang membujuk pengguna untuk mengklik tautan mencurigakan yang mengarahkan mereka ke situs web berbahaya dan dapat menginfeksi perangkat dengan malware.
  • Kerentanan Perangkat: Proses verifikasi tautan di smartphone lebih sulit dibandingkan komputer, sehingga meningkatkan risiko menjadi korban penipuan siber.
  • Tingkat Klik Tinggi: Pesan SMS memiliki tingkat klik yang lebih tinggi dibandingkan email. Dengan memanfaatkan faktor ini, peretas lebih efektif dalam menjalankan serangan smishing.

Jenis-Jenis Serangan Smishing yang Digunakan oleh Penyerang

Smishing attack template

 

Jenis-Jenis Serangan Smishing yang Digunakan oleh Penyerang

  • Pesan Bank/Kartu Kredit: Peretas menyamar sebagai lembaga keuangan dan meminta penerima untuk mengklik tautan tidak dikenal guna menyelesaikan masalah mendesak.
  • Notifikasi Pengiriman: Penyerang mengirim pesan palsu tentang paket yang dikirim dan menipu pengguna agar mengklik tautan mencurigakan.
  • Peringatan Keamanan Palsu: Beberapa situs web berbahaya atau spam menampilkan peringatan keamanan palsu. Mengklik tautan ini dapat menyebabkan kebocoran data.
  • Reset Kata Sandi: Situs phishing palsu menampilkan peringatan dan meminta pengguna untuk mereset kata sandi mereka, dengan tujuan mencuri kredensial sensitif.
  • Komunikasi Bisnis: Peretas menyamar sebagai eksekutif senior atau rekan kerja untuk menipu karyawan agar mentransfer dana atau mengungkapkan informasi rahasia perusahaan.
  • Hadiah Palsu / Menang Undian: Pesan mencurigakan yang menyatakan “Anda memenangkan hadiah” dapat mengarahkan korban ke situs phishing untuk mencuri data pribadi.
  • Pemberitahuan Media Sosial: Penipu dapat menyamar sebagai seseorang yang dikenal atau akrab di platform media sosial untuk menipu korban.

 

Contoh Nyata Serangan Smishing

Upaya Smishing oleh Badan Pajak Spanyol (Januari 2025)

  • Insiden: Penyerang menggunakan pesan SMS dan menyamar sebagai Badan Pajak Spanyol untuk meminta data pribadi.
  • Dampak: Meningkatnya risiko kompromi data pengguna dan potensi kebocoran informasi.
  • Pelajaran Penting: Selalu verifikasi keaslian situs web dan hindari mengklik tautan mencurigakan dalam pesan.

Sumber: HUFFPOST SPAIN

Serangan Smishing terhadap Revolut (Januari 2025)

  • Insiden: Peretas menargetkan pengguna Revolut dengan mengirim SMS palsu yang mengklaim adanya masalah verifikasi identitas. Pesan ini mengarahkan korban ke situs phishing yang mencuri data pribadi dan finansial mereka.
  • Dampak: Korban mengalami transaksi tidak sah, kerugian finansial, dan pencurian identitas.
  • Pelajaran Penting: Insiden ini menyoroti pentingnya memverifikasi pesan mencurigakan dan menghindari mengklik tautan berbahaya.

Smishing vs Phishing vs Vishing

Banyak orang sering bingung dengan istilah smishing, phishing, dan vishing. Mereka menganggap bahwa semua serangan ini sama. Untuk mengurangi kebingungan tersebut, penting untuk memahami perbedaannya agar karyawan lebih waspada terhadap berbagai teknik modern yang digunakan oleh penyerang.

Berikut adalah tabel perbandingan yang menjelaskan perbedaan antara serangan smishing, phishing, dan vishing:

Perbandingan Smishing, Phishing, dan Vishing

Parameter Smishing Phishing Vishing
Definisi SMS/pesan teks palsu yang bertujuan mencuri informasi pribadi atau menyebarkan malware. Email atau situs web palsu yang menipu pengguna agar mengungkapkan data rahasia. Panggilan telepon palsu digunakan untuk memperoleh informasi sensitif atau menipu korban.
Media Komunikasi SMS / Pesan teks Email atau situs web palsu Panggilan telepon atau pesan suara
Target Utama Pengguna smartphone Pengguna akun email Individu melalui telepon
Contoh Serangan “Akun Anda terkunci. Klik tautan ini untuk membuka.” “Verifikasi akun Anda untuk menghindari penonaktifan. Klik di sini.” “Rekening bank Anda mengalami masalah. Silakan bagikan OTP Anda sekarang.”
Metode Pengiriman Tautan teks, lampiran. Tautan, lampiran, dan situs web palsu. Teknik rekayasa sosial melalui panggilan.

Strategi Pencegahan untuk Meminimalkan Serangan Smishing

  • Hindari Klik Tautan: Jangan pernah mengklik tautan dalam pesan dari sumber yang tidak dikenal atau mencurigakan.
  • Waspada: Jangan pernah membalas pesan teks yang meminta detail pribadi seperti kredensial login, informasi bank, atau akun media sosial.
  • Verifikasi: Selalu periksa keabsahan sumber sebelum menanggapi pesan yang terlihat seperti peringatan atau mendesak.
  • Identifikasi Pengirim: Waspadai pesan yang tidak dikirim melalui nomor telepon. Penipu sering menyembunyikan identitas mereka agar lokasi atau identitas mereka tidak dapat dilacak.
  • Jaga Kerahasiaan: Jangan pernah membagikan informasi bank atau finansial kepada pesan teks yang meminta kredensial atau verifikasi.
  • Kesadaran Keamanan: Peneliti keamanan siber sangat merekomendasikan individu dan organisasi untuk menggunakan alat kesadaran keamanan modern sebagai tindakan pencegahan.
  • Otentikasi: Gantilah PIN dan kata sandi akun secara berkala untuk mencegah login tidak sah. Tambahkan MFA (Multi-Factor Authentication) untuk keamanan tambahan.
  • Manajemen Izin: Saat mengakses situs web atau aplikasi, perhatikan situs login yang tidak biasa dan hindari memberikan izin yang tidak diperlukan.
  • Pelatihan: Perusahaan perlu melatih karyawan dengan simulasi serangan siber modern untuk meningkatkan kemampuan mereka dalam mengidentifikasi dan merespons ancaman.

Kesimpulan

Untuk menghadapi serangan smishing modern, organisasi perlu memberikan pelatihan kesadaran keamanan kepada karyawan. Selain itu, pelatihan berbasis simulasi, penerapan kebijakan keamanan, dan penggunaan solusi deteksi ancaman dapat membantu mengurangi kebocoran data, kerugian finansial, serta kerusakan reputasi.

Dengan memanfaatkan solusi kesadaran keamanan dan pelatihan simulasi berbagai serangan siber, organisasi dapat meminimalkan upaya smishing. Untuk memenuhi kebutuhan ini, Threatcop Indonesia menghadirkan solusi berbasis AI, TSAT, yang menyediakan simulasi berbagai vektor serangan serta fitur pembuatan template berbasis AI untuk mendukung kebutuhan pelatihan dan pembelajaran.

Dilengkapi dengan dukungan multi-bahasa dan metode pembelajaran interaktif, TSAT memudahkan karyawan dalam memahami berbagai konsep keamanan serta meningkatkan kesiapan mereka terhadap serangan smishing.