Apakah kamu salah satu pengguna internet yang masih mengandalkan keamanan dasar untuk mengetahui apakah situs yang kamu kunjungi itu palsu atau tidak, Jika iya, kamu mungkin masih menjadi korban serangan phising baru yang bisa membahayakan datamu.
Antoine Vincent Jebara, salah satu pendiri dan CEO perangkat lunak pengelolaan kata sandi Myki, mengatakan bahwa timnya baru-baru ini melihat serangan phishing baru yang membuat semua user keliru.
Vincent menemukan bahwa penjahat dunia maya mendistribusikan tautan ke blog dan layanan yang mendorong pengguna “login menggunakan akun Facebook” untuk membaca artikel eksklusif atau membeli produk dll.
Masuk dengan Facebook atau layanan media sosial lainnya adalah metode yang aman, bahkan metode ini sudah banyak digunakan oleh sejumlah besar situs web untuk memudahkan pengguna mendaftar ke layanan pihak ketiga dengan cepat.
Secara umum, ketika kamu mengklik tombol login dengan Facebook yang tersedia di situs web apa pun, kamu akan dialihkan ke domain facebook.com, meminta kamu untuk memasukkan kredensial Facebook untuk mengotentikasi menggunakan OAuth dan mengizinkan layanan untuk mengakses informasi yang diperlukan profil kamu.
Namun, Vincent menemukan bahwa blog berbahaya dan layanan online melayani pengguna dengan prompt login Facebook palsu yang sangat realistis setelah mereka mengklik tombol login yang telah dirancang untuk menangkap kredensial yang dimasukkan pengguna, sama seperti situs phising lainnya.
Seperti yang diperlihatkan dalam demonstrasi video yang dibagikan Vincent, prompt masuk pop-up palsu, yang sebenarnya dibuat dengan HTML dan JavaScript, direproduksi dengan sempurna agar terlihat dan terasa persis seperti jendela browser yang sah — bilah status, bilah navigasi, bayangan dan URL ke situs web Facebook dengan pad kunci hijau yang menunjukkan HTTPS yang valid.
Satu-satunya cara untuk melindungi diri dari serangan phising jenis ini, menurut Vincent, “adalah dengan benar-benar mencoba menyeret prompt dari jendela yang saat ini ditampilkan. Jika menyeretnya gagal (bagian dari sembulan menghilang di luar tepi jendela), itu adalah tanda yang pasti bahwa popup itu palsu.”
Selain itu, selalu disarankan untuk mengaktifkan otentikasi dua faktor dengan setiap layanan yang mungkin, mencegah peretas mengakses akun online kamu jika mereka entah bagaimana berhasil mendapatkan kredensial kamu.
Skema phising masih menjadi salah satu ancaman paling parah bagi pengguna maupun perusahaan, dan peretas terus mencoba cara-cara baru dan kreatif untuk menipu agar memberi mereka rincian data sensitif kamu yang nantinya bisa mereka gunakan untuk mencuri uang atau meretas ke dalam akun online kamu.
