ANALISIS ANCAMAN PHISHING DALAM LAYANAN ONLINE BANKING ANALYZE PHISING THREATS IN ONLINE BANKING SERVICES

ANALISIS ANCAMAN PHISHING DALAM LAYANAN ONLINE BANKING ANALYZE PHISING THREATS IN ONLINE BANKING SERVICES Ikhsan Radiansyah1, Candiwan2, Yudi Priyadi3 1Prodi S1 Manajemen Bisnis Telekomunikasi Informatika, Fakultas Ekonomi Bisnis, Universitas Telkom 21Prodi S1 Manajemen Bisnis Telekomunikasi Informatika, Fakultas Ekonomi Bisnis, Universitas Telkom 21Prodi S1 Manajemen Bisnis Telekomunikasi Informatika, Fakultas Ekonomi Bisnis, Universitas Telkom [email protected], [email protected], [email protected] Abstrak Phishing merupakan ancaman yang menggunakan teknik rekayasa sosial yang mengelabui pengguna dengan cara menyamar sebagai entitas yang resmi untuk mendapatkan informasi sensitif pengguna. Industri Perbankan menjadi salah satu sasaran dari phishing. Melalui penelitian ini faktor-faktor penyebab munculnya phishing dan pencegahan terhadap ancaman phishing dijelaskan melalui metode Systematic Literature Review. Metode Systematic Literature Review dipakai untuk menemukan jawaban atas pertanyaan penelitian tersebut dengan mencari studi-studi yang berhubungan dengan topik penelitian (ancaman phishing pada layanan online banking) dan melakukan narrative synthesis atas temuan tersebut. Pengetahuan pengguna yang minim, psikologis pengguna dan privasi social networking services pengguna dinilai sebagai faktor-faktor penyebab phishing. Edukasi terhadap pengguna mengenai ancaman kejahatan siber, pencegahan pada tingkat email, penggunaan perangkat lunak anti-phishing, dan implementasi sistem kata sandi sekali pakai pada layanan perbankan merupakan pencegahan efektif pada ancaman phishing. Pengguna (nasabah) harus memiliki pengetahuan yang baik mengenai ancaman kejahatan kriminal khususnya phishing dan Bank mempunyai tanggung jawab untuk memberikan edukasi terkait ancaman yang dapat merugikan pengguna. Kata kunci : Phishing, Cyber Crime, Fraud, Online Banking, Information Security. Abstract Phishing is a cybercrime threat that use social engineering technique that trick users by masquerading as a trustworthy entity to acquire user sensitive information. Online banking services became one of the targets. Through this study the factors causing the emergence of phishing and prevention against phishing threats described by Systematic Literature Review method. Systematic

Literature Review used to find an answers of research questions by searching studies related to the research. User's knowledge, psychological and user’s social media privacy suspected as factors that cause phishing. Education to user, stop phishing at e-mail level, the use of anti-phishing software, and implementation one-time password system at online banking services is an effective prevention to the threat of phishing. Keywords: Phishing, Cyber Crime, Fraud, Online Banking, Information Security. Pendahuluan Perkembangan Teknologi Informasi dan Komunikasi (ICT) di dunia sangat dirasakan manfaatnya dalam berbagai sektor Industri, Perbankan maupun Usaha Kecil-Menengah (UKM). Sektor-sektor tersebut merasakan manfaat efisiensi dan efektivitas dalam segi operasional maupun peningkatan layanan terhadap pengguna. Namun perkembangan tersebut memunculkan tantangan baru dengan munculnya berbagai tindak kriminal berbasis siber (cyber crime) oleh pihak-pihak yang berusaha mengeksploitasi kelemahan sistem dan kesadaran pengguna terhadap Sistem Informasi. Salah satu bentuk cyber crime yang dilakukan oleh para frauder adalah Phishing. Phishing adalah kegiatan kriminal dengan menggunakan teknik rekayasa sosial. Phisher (sebutan bagi pelaku kriminal phishing) berupaya menipu untuk mendapatkan informasi sensitif, seperti username, password dan rincian kartu kredit, dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik [1]. Phishing menyerang semua sektor Industri berbasis online, seperti e-commerce, sosial media dan perbankan. Tindakan Phishing mengincar informasi sensitif pengguna untuk digunakan oleh pihak yang tidak berwenang. Pengguna dirugikan dalam hal privasi, penyalahgunaan (eksploitasi) dari tindakan hacking bahkan kerugian Finansial. Anti - Phishing Working Group [2] melaporkan bahwa layanan pembayaran (payment service) menjadi sektor industri yang paling ditargetkan pada kuartal kedua 2014, dengan 39,80 persen dari serangan selama periode tiga bulan dari April sampai Juni 2014, sedangkan jasa keuangan (financial) terus mengikuti dengan 20,20%. Ini terlihat dalam pie-chart pada Gambar 1.1. 1.

Gambar 1.1 Keseluruhan Statistik untuk serangan phishing, April - Juni 2014 Sektor Finansial merupakan salah satu target eksploitasi oleh para frauder. Perbankan sebagai layanan transaksi keuangan massal tidak luput dari cyber crime yang dilakukan frauder. Phishing dapat menggunakan halaman website palsu untuk mengelabui dan mencuri data-data pribadi pengguna seperti Gambar 1.2 dibawah ini

Gambar 1.2 Halaman Phishing Bank Mandiri Phishing tidak hanya menyerang Indonesia saja. Pada tahun 2013, Serangan Phishing menyebabkan kerugian finansial sebesar $ 5,9 Milyar (Rp 80,328 Triliun) di dunia berdasarkan laporan EMC [3]. Serangan Phishing tidak hanya menimbulkan kerugian finansial saja. Phishing menyebabkan konsekuensi serius terhadap kehilangan data pribadi pengguna, dan kerugian nama merk perusahaan yang tercemar akibat kasus phishing. [4] Berbagai kasus phishing terhadap dunia financial service (perbankan) di dunia mendorong akademisi untuk melakukan penelitian terhadap serangan phishing. Telah banyak studi penelitian dengan topik phishing yang berhubungan dengan deskripsi serangan, tipe-tipe phishing dan pencegahan terhadap phishing.

Studi tersebut dibuat dalam waktu yang berbeda-beda, pada lingkungan (tempat) yang berbeda dan fenomena yang berbeda juga. Belum adanya penjelasan umum terkait faktor yang menyebabkan ancaman phising muncul ketika pengguna menggunakan layanan Online Banking dan Rekomendasi Pencegahan terhadap serangan Phishing pada Online Banking melalui metode systematic literature review. Topik dari penelitian ini adalah “ANALISIS ANCAMAN PHISHING DALAM LAYANAN ONLINE BANKING” berdasarkan metode systematic literature review dengan fokus terhadap dua tujuan penelitian yaitu menganalisis faktor yang memungkinkan ancaman phising muncul ketika pengguna menggunakan online banking dan memberikan rekomendasi pencegahan terhadap ancaman phising. 2. Landasan Teori 2.1 Kejahatan Siber (Crime Online/Cyber Crime) "Cybercrimes adalah kegiatan kriminal atau tindakan berbahaya yang mengeksploitasi informasi, bergerak secara global dan jaringan dan kejahatan yang hanya menggunakan komputer. Kejahatan Kriminal merupakan produk teknologi jaringan yang telah mengubah kriminal (biasa) dan memberikan kesempatan yang sama sekali baru dengan bentuk-bentuk baru kejahatan yang biasanya melibatkan akuisisi atau manipulasi informasi dan di dunia jaringan untuk mendapatkan keuntungan. Mereka dapat dipecah menjadi kejahatan yang terkait dengan integritas sistem, kejahatan di mana jaringan komputer digunakan untuk membantu perbuatan yang kejahatan, dan kejahatan yang berhubungan dengan isi dari komputer [5] Menurut McQuade (2009) [6] tipe kejahatan kriminal dapat dibagi menjadi 12 butir yaitu: 1. Kelalaian penggunaan sistem informasi yang menyebabkan pelanggaran terhadap kebijakan keamanan dan mengakibatkan sistem dan data rentan terhadap serangan siber. 2. Kejahatan konvensional yang melibatkan penggunaan komputer atau jenis lain dari perangkat IT elektronik untuk komunikasi dan / atau pencatatan dalam mendukung kegiatan ilegal. 3. Penipuan online (online fraud) seperti phishing, spoofing, spimming, atau menipu pengguna untuk mendapatkan keuntungan finansial seperti dalam kasus penipuan kartu kredit dan pencurian identitas. 4. Hacking, pelanggaran akses komputer tanpa izin, dan password cracking untuk membobol password pengguna lain dan / atau melawan hukum memasukkan sistem informasi untuk melakukan kejahatan online dan / atau offline. 5. Menulis dan mendistribusikan kode berbahaya (malicous code) yang melibatkan menciptakan, menyalin, dan / atau melepaskan malware (contohnya: virus distruptif atau deskruktif, trojan, worm, atau program adware/spyware). 6. Pembajakan terhadap property digital seperti musik, film, dan / atau perangkat lunak terutama melalui jaringan peer-to-peer. 7. Pelecehan cyber, ancaman, mempermalukan seseorang dengan sengaja, paksaan, termasuk Intimidasi Siber (Cyber Bullying). 8. Menguntit secara online (online stalking) dan menyinggung seks secara siber (cyber-sex offending), termasuk pengiriman gambar atau teks bersifat

seksual yang tidak diinginkan , mempromosikan pariwisata seks, atau menggunakan Internet untuk memfasilitasi perdagangan manusia untuk tujuan seksual atau lainnya. 9. Kecurangan akademik atau tindakan plagiat yang dilakukan oleh mahasiswa, guru/dosen, profesor, dan mencontek tugas atau ujian atau metode dan temuan penelitian palsu. 10. Kejahatan terorganisir yang melibatkan penggunaan internet oleh etnis berbasis geng untuk memfasilitasi kombinasi dari kegiatan ilegal dan legal seperti penyelundupan dan jual orang, senjata, dan obat-obatan terlarang. 11. Tindakan memata-matai termasuk spionase yang melibatkan penggunaan gelap spyware dan software keylogger untuk menemukan data yang dapat dicuri atau digunakan untuk melakukan kejahatan. 12. Cyberterrorism oleh orang yang mencoba untuk mengemukakan “tujuan sosial, agama atau politik dengan menanamkan ketakutan yang meluas atau dengan menganggu infrastruktur informasi yang kritis. Penelitian ini fokus membahas tipe kejahatan kriminal dalam bentuk ancaman phishing dalam dunia online banking. 2.2 Phishing Phishing adalah upaya untuk mendapatkan informasi sensitif seperti username, password, dan rincian kartu kredit dan umumnya untuk alasan berbahaya, dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik. [7] Phishing, penipuan untuk mengumpulkan informasi pribadi dengan meniru situs terpercaya. Karena phishing adalah serangan semantik yang mengandalkan pengguna yang bingung, maka sulit untuk mendeteksi secara otomatis serangan tersebut dengan akurasi yang akurat. [8] Menurut Whittaker, Ryner & Nazif, Phishing adalah kejahatan rekayasa sosial (social engineering crime) yang umumnya didefinisikan sebagai kejahatan yang berkedok/menyamar sebagai pihak ketiga terpercaya untuk mendapatkan akses ke data pribadi. [9] Dapat diambil kesimpulan bahwa Phishing merupakan tindak kriminal untuk mendapatkan informasi sensitif pribadi seperti username dan password dengan cara melakukan penyamaran sebagai entitas yang terpercaya dan membuat korban tidak sadar telah memberikan informasi sensitif ke scammer. Tipe-tipe serangan phishing dapat diklasifikasikan sebagai berikut [10] • Phishing Penipuan. Istilah "phishing" awalnya direferensikan sebagai pencurian akun melalui pesan singkat namun umumnya saat ini menggunakan pesan surat elektronik palsu. Pesan yang berisi untuk memvefikasi informasi akun, kesalahan sistem yang membutuhkan penginputan ulang informasi, informasi mengenai biaya yang fiktif, mendapatkan diskon/hadiah yang memerlukan login ke halaman website palsu adalah cara-cara yang digunakan oleh cyber criminal untuk mengelabui pengguna. Diharapkan pengguna mengklik URL yang telah disediakan setelah membaca pesan tersebut • Phishing berbasis Malware adalah teknik scam dengan melibatkan perangkat lunak jahat (malware) pada komputer pengguna. Malware yang terdapat pada pengguna dapat didistribusikan melalui lampiran pada surat elektronik, file yang dapat diunduh pada web site atau dari sistem keamanan rentan yang telah dieksploitasi yang sering terjadi pada sektor UMKM dimana tidak selalu

melakukan update pada aplikasi komputernya • Keyloggers dan Screenloggers adalah varietas dari perangkat lunak jahat (malware) yang akan mereka setiap input pada keyboard maupun tampilan layar komputer lalu mengirimkan informasi tersebut kepada hacker via internet. • Sesi Pembajakan adalah serangan dimana aktivitas pengguna dimonitor hingga pengguna tersebut melakukan sign in pada halaman perbankan untuk melakukan transaksi. Pada saat ini malware dapat melakukan take over / pembajakan dengan melakukan tindakan yang tidak diizinkan seperti melakukan transfer uang tanpa sepengetahuan pengguna.. • Web Trojans pesan pop up yang muncul ketika pengguna mencoba untuk log in. Mereka mengumpulkan informasi kredensial pengguna dan mengirimkannya ke phisher. • Serangan Rekonfigurasi Sistem adalah serangan yang memodifikasi pengaturan pada PC pengguna untuk tujuan jahat. Sebagai contoh: URL dalam file favorit (bookmark) dimodifikasi dan diarahkan pada situs palsu. Sebagai contoh: URL situs web bank dapat berubah dari "bankofabc.com" menjadi "bancofabc.com". • Pencurian Data adalah ketika PC yang tidak aman dalam jaringan jaminan sering mengandung informasi sensitif yang disimpan di tempat lain di server aman. Tentu PC yang digunakan untuk mengakses server tersebut dan dapat lebih mudah dikompromikan. Pencurian data adalah pendekatan secara luas digunakan untuk spionase bisnis. Dengan mencuri komunikasi rahasia, dokumen desain, hal mengenai regulasi, dan catatan terkait karyawan, pencuri data dapat mendapatkan keuntungan dari menjual kepada mereka yang mungkin ingin mempermalukan atau menyebabkan kerusakan ekonomi atau pesaing. • Phishing berdasarkan DNS ("Pharming"). Pharming adalah istilah yang diberikan untuk modifikasi file host atau Domain Name System (DNS) berbasis phishing. Dengan skema pharming, hacker mengutak-atik file host sebuah perusahaan atau (DNS sehingga permintaan untuk URL resmi selanjutnya diarahkan ke situs palsu. Hasilnya adalah pengguna tidak menyadari bahwa situs web di mana mereka memasukkan informasi rahasia dikendalikan oleh hacker. • Phishing Konten Injeksi menggambarkan situasi di mana hacker mengganti bagian dari isi situs yang sah dengan konten palsu yang dirancang untuk menyesatkan atau menyesatkan pengguna agar memberi informasi rahasia mereka untuk hacker. Sebagai contoh, hacker dapat menyisipkan kode berbahaya untuk login kredensial pengguna atau menyisipkan kolom pop-up palsu yang diam-diam dapat mengumpulkan informasi dan mengirimkannya ke server phishing hacker. • Man-in-the-Middle Phishing Lebih sulit untuk mendeteksi daripada banyak bentuk lain dari phishing. Dalam serangan ini hacker memposisikan diri antara pengguna dan situs/sistem yang sah. Mereka merekam informasi yang masuk tapi tetap meneruskannya kepada pengguna sehingga transaksi pengguna tidak terpengaruh. Kemudian mereka dapat menjual atau menggunakan informasi atau kredensial yang dikumpulkan ketika pengguna tidak aktif pada sistem. • Phishing Mesin Pencari terjadi ketika phisher membuat website palsu dengan

penawaran menarik yang telah diindeks sah dengan mesin pencari. Pengguna menemukan situs tersebut ketika mencari produk atau jasa dan tertipu agar memberi informasi mereka. Misalnya, scammers telah menyiapkan situs perbankan palsu yang menawarkan biaya kredit yang lebih rendah atau tingkat suku bunga yang lebih baik dari bank lain. Korban yang tertarik kemudian mentransfer sejumlah dana untuk memenuhi persyaratan penawaran dari website palsu tersebut. 2.3 Metodologi Penelitian ini menggunakan metode Systematic Literature Review (SLR). Systematic Literature Review (SLR) atau juga disebut Systematic Review adalah literature review yang umumnya dilakukan oleh peneliti untuk memecahkan masalah dari penelitian. Dulunya teknik penelitian ini digunakan untuk mencari keefektifitas dari layanan kesehatan namun sekarang teknik ini dapat jga digunakan dengan topik lebih luas. Tujuan SLR adalah untuk mensintesis temuan penelitian dari sejumlah besar studi yang berbeda pada intervensi tertentu atau isu yang kemudian dapat berpotensi digunakan untuk menginformasikan kebijakan dan praktek di bidang diselidiki [11]. Penelitian ini mengambil studi sebanyak 83 literatur dan setelah dilakukan filtering (analisis data) jumlah studi berkurang menjadi 37 literatur. Langkah-langkah yang dilakukan adalah 1. Wawancara terhadap narasumber (expert) Berkonsultasi pada pakar yang mempunyai pengalaman di bidang Information Security. Penelitian ini melibatkan akademisi dan Praktisi dalam bidang Information Security. Richi Aktorian yang berprofesi sebagai Senior Manager of IT Resilience & Security pada PT Bank Mandiri(Persero) Tbk, Surya Michrandi Nasution yang berprofesi sebagai dosen fakultas teknik elektro pada Telkom University. Beliau mengajarkan bidang Information Security pada Security lab. Memiliki pengetahuan terkait pada bidang keamanan informasi dan pernah memiliki CEH (certified ethical hacking) dan Yudha Purwanto yang berprofesi sebagai dosen fakultas teknik elektro pada Telkom University dan Konsultan IT pada beberapa perusahaan. Beliau mengajarkan bidang Information Security pada Security lab. Memiliki pengetahuan terkait pada bidang keamanan informasi dan memiliki CEH (certified ethical hacking).. 2. Melakukan Pencarian Studi Melakukan pencarian bukti/fakta pada sumber yang terpercaya yaitu Elsevier, IEEE, ACM, dan Sage. Bukti/fakta berupa research paper. Setiap research paper yang telah diunduh dan dibaca dilakukan dokumentasi mengenai judul literatur, nama penulis, tahun paper dan ringkasan penelitian. Pencarian dilakukan pada research paper yang dipublikasikan dengan dengan menggunakan kata kunci “phishing, online banking, manin-the-middle, man-in-browser, cyber crime, online banking phishing”. Kata kunci tersebut ditentukan melalui wawancara kepada praktisi (Richi Aktorian). Ditemukan 83 research paper atas pencarian tersebut. 3. Ekstraksi Data Studi Memilah dan mengambil data yang berhubungan dengan topik penelitian dari research paper yang telah dibaca. Data Ekstraksi disajikan dalam bentuk tabel ringkasan informasi yang telah diekstrak dari studi yang telah dipilih.

4. Menilai kelayakan studi Jurnal/Studi yang dijadikan landasan penelitian ditelusuri kelayakannya. Setiap research paper yang dijadikan landasan, harus memiliki jawaban “ya” terhadap tiga pertanyaan di bawah ini: • Apakah studi memiliki fokus pertanyaan yang jelas? • Apakah studi menggunakan metode yang valid untuk menjawab pertanyaan penelitiannya? • Apakah hasil valid yang berasal dari studi penting untuk dijadikan landasan? Setelah dilakukan kelayakan studi, didapatkan 37 research paper yang layak untuk dijadikan landasan untuk menjawab pertanyaan penelitian. 5. Data Sintesis Menggunakan teknik narrative synthesis sebagai pendekatan tekstual yang menyediakan analisis hubungan dalam dan di antara studi dan penilaian secara keseluruhan dari bukti. Sebuah sintesis narasi (narrative synthesis) dapat dilakukan di mana studi terlalu beragam secara metodologi. Setiap fakta yang didapatkan dari research paper dan hasil wawancara dibandingkan dan dicocokan satu dengan yang lain. Jika antara paper A dan paper B memiliki kesamaan fakta/bukti temuan penelitian maka fakta/bukti tersebut layak untuk dijadikan landasan penelitian ini. 6. Membuat laporan hasil studi Hasil laporan disajikan dalam bentuk narrative synthesis dilengkapi kesimpulan penelitian yang telah dilakukan. Dalam hal ini penelitian harus dapat menjawab faktor-faktor yang memungkinkan Ancaman Phising muncul ketika pengguna menggunakan online banking dan memberikan rekomendasi. 3. Hasil dan Pembahasan Phishing pada layanan online banking merupakan ancaman menggunakan teknik rekayasa sosial dengan mengelabui pengguna (nasabah). Pengguna tertarik terhadap penawaran-penawaran melalui e-mail, pesan singkat, telepon dari pelaku kriminal yang menyamar sebagai entitas bank resmi dan mengajak nasabah untuk memberikan data-data sensitif terkait data pengguna bank tersebut. [12] Dalam penelitian ini akan dijelaskan mengenai faktor penyebab munculnya ancaman phishing ketika pengguna menggunakan layanan online banking dan pencegahan terhadap ancaman tersebut. 3.1 Faktor penyebab munculnya ancaman phishing Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, faktor penyebab munculnya ancaman serangan phishing ketika pengguna menggunakan layanan online banking adalah minimnya pengetahuan pengguna, psikologis dan privasi social networking services pengguna. Tabel 4.1 menunjukkan faktor-faktor penyebab phishing dari berbagai studi yang telah dibaca. Tabel 3.1 Faktor penyebab phishing berdasarkan study literature No. Nama Pengarang dan Tahun Faktor penyebab phishing 1 Dhamija, Tygar, & Hearst Pengetahuan pengguna minim dan (2006) psikologis 2 Alsharnouby, Alaca, & Pengetahuan pengguna minim Chiasson (2015) 3 Arachchilage & Love (2014) Pengetahuan pengguna minim

4 5 6 7 8 10 11 12 13 14 15

Mohammad, Thabtah, & McCluskey (2015) Parmar (2012) Meulen (2013) Sein (2011) Vishwanath, Herath, Chen, Wang, & Rao (2011) Button, Nicholls, Kerr, & Owen, 2014) Zielinska, Welk, Mayhorn, & Murphy-Hill (2015) USE Act (2010) Hilley (2006) Elsevier Advanced Technology (2015) Malik & Malik (2011)

Pengetahuan pengguna minim Pengetahuan pengguna minim, psikologis dan privasi social networking services. Psikologis Pengetahuan pengguna minim Psikologis Psikologis Pengetahuan pengguna minim Pengetahuan pengguna minim Pengetahuan pengguna minim Psikologis dan pengetahuan pengguna minim Privasi social networking services

Dhamija, Tygar, & Hearst (2006) mengungkapkan bahwa pengguna dianggap tidak memiliki pengetahuan yang baik mengenai sistem komputer terutama membedakan domain yang resmi dan palsu. Pengguna juga tidak dapat mengenali indikatorindikator keamanan seperti mengecek sertifikat SSL pada browser ketika mengunjungi suatu situs pada internet. Pengguna yang mengetahui hal-hal tersebut juga rawan ketika sebuah website phishing menyerupai website resmi (visual deception) yang mengakibatkan tidak memperhatikan indikator keamanan pada browser (SSL certified icon). [13] Faktor pengetahuan dan kesadaran pengguna terhadap ancaman serangan phishing juga didukung oleh Alsharnouby, Alaca, & Chiasson (2015). Dalam paper tersebut penulis meneliti mengenai kemampuan pengguna untuk mengidentifikasi website phishing. Subjek penelitian (responden) sebelumnya telah dibekali oleh edukasi mengenai ancaman phishing dan improved browser security indicators. Hasilnya adalah 53% responden berhasil mengidentifikasi ancaman phishing. Hasil tersebut dibawah ekspektasi awal yaitu diharapkan 86% pengguna berhasil mengidentifikasi website phishing. Hal ini dikarenakan pengguna hanya menggunakan 6% waktunya untuk mengamati indikator keamanan pada browser dan fokus mengenali tampilan konten pada website yang diuji. [14] Arachchilage & Love (2014) mengungkapkan hal serupa bahwa pengetahuan prosedural dan pengetahuan konseptual pengguna mempengaruhi tindakan pengguna untuk menghindari ancaman phishing. Pengetahuan prosedural pengguna dinilai dari kemampuan pengguna untuk mengidentifikasi website phishing dari 5 URL yang telah diberikan dan pengetahuan konseptual pengguna dinilai dari bagian URL mana yang menandakan website tersebut phishing atau tidak. [15] Didukung oleh pernyataan Mohammad, Thabtah, & McCluskey (2015) faktor mengapa pengguna menjadi korban serangan phishing adalah mayoritas pengguna memiliki pengetahuan yang minim terhadap ancaman kriminalitas online, tidak memiliki pengetahuan yang baik mengenai ancaman phishing, tidak memiliki strategi yang baik dalam mengenali serangan phishing, fokus terhadap konten

dibandingkan indikator pada website, dan tidak mengetahui prosedur layanan online yang dipakai sehingga terjebak ketika mendapatkan e-mail dari layanan online yang mereka gunakan terkait informasi maintenance dan informasiinformasi lainnya yang dimanfaatkan phisher untuk mendapatkan data-tada sensitif pengguna. [16] Parmar (2012) menyatakan serangan spear-phishing yang berbeda dengan serangan phishing konvensional juga sukses dilakukan akibat pengetahuan psikologis pengguna yang mudah mempercayai situs jejaring sosial. Spear-phishing berbeda dari serangan konvensional dimana phisher tidak melakukan bulk e-mail kepada sasarannya namun mengirimkan e-mail phishing kepada sasaran potensial yang memiliki tingkat kesuksesan dan timbal balik yang lebih tinggi. Jika pada phishing biasa phisher menyamar sebagai entitas resmi maka pada spear-phishing, phiser menyamar sebagai individu/entitas yang diketahui dan digunakan oleh calon korban. Teknik ini umumnya digunakan agar korban mengunduh malware yang terlampir pada e-mail tidak seperti teknik phishing konvensional yang mengarahkan korban pada website palsu. Phisher mendapatkan data-data sensitif pengguna melalui sosial media lalu memanfaatkannya untuk mengelabui pengguna. Terbukti teknik spear-phishing memiliki tingkat kesuksesan 19% dibandingkan teknik phishing konvensional yang hanya memiliki tingkat kesuksesan 5%. [17] Malik & Malik, (2011) dalam penelitiannya mengungkapkan bahwa berbagi informasi pribadi dan mengungkapkannya pada SNS (social networking services) adalah sebuah kebutuhan. Namun hal tersebut beresiko terhadap serangan siber (termasuk phishing) yang memanfaatkan keterbukaan informasi pribadi pada SNS. [18] Meulen (2013) menyatakan tanggung jawab atas terjadinya kasus penipuan online pada layanan online banking tidak hanya dipegang oleh pihak bank saja namun pengguna turut bertanggung jawab atas terjadinya kasus tersebut. Pengguna dinilai lalai dan mengabaikan peraturan yang telah diedukasikan oleh pihak bank. Sebagai contoh terdapat kasus dimana korban mendapatkan e-mail phishing dan telepon mengatasnamakan Rabobank, bank dimana pengguna menggunakan layanan online banking. Pengguna mendapatkan telepon yang berasal dari representatif Rabobank (phisher) dan menanyakan e-mail yang diterima oleh pengguna. Phisher mengatakan akun pengguna perlu di cek dan diklarifikasi untuk menghindari masalah potensial akibat dari e-mail yang telah diterima. Pengguna diminta memberikan informasi kredensial seperti kode random atau identitas untuk melakukan transaksi. Atas informasi inilah phiser dapat melakukan transaksi dengan menggunakan akun pengguna. Pengguna yang lalai dengan tidak mengklarifikasi telepon tersebut kepada pihak bank dan tidak mengetahui peraturan permintaan informasi sensitif pada bank menyebabkan kasus tersebut terjadi. [19] Hal lainnya yang membuat pengguna terjebak dalam serangan phishing adalah sifat naif pengguna dalam menggunakan layanan perbankan para internet. Pengguna umumnya menggunakan password yang sama untuk berbagai halaman website dan password yang digunakan tidak jauh nama anak, nama peliharaan, tempat lahir, dan tanggal ulang tahun ungkap Sein (2011). [20] Hal serupa dikemukakan juga oleh Vishwanath, Herath, Chen, Wang, & Rao (2011) bahwa pengguna merupakan faktor utama terjadinya penyebab phishing. Terdapat 4 alasan mengapa pengguna menjadi korban phishing. Pertama adalah semakin banyak e-mail yang diterima pengguna maka semakin besar peluang mereka ditipu.

Kedua adalah pengguna umumnya akan membuka e-mail dari entitas yang mereka ketahui. Pengguna yang memiliki hubungan lebih dari satu lembaga bank dan melakukan transaksi online yang lebih banyak dibandingkan lainnya mereka berpeluang menjadi korban e-mail phishing. Yang ketiga adalah pengguna yang tidak mengetahui ancaman serangan phishing. Faktor keempat adalah kebiasaan dalam penggunaan media. Seseorang yang mempunyai kebiasaan mengecek emailnya setiap pagi sambil sarapan. Kebiasaan ini mengurangi rasa curiga dan berpeluang membuka dan mempercayai surel phishing. [21] Penelitian yang dilakukan oleh Button, Nicholls, Kerr, & Owen (2014) mencoba mencari tau mengenai mengapa korban jatuh kepada penipuan online. Terdapat beragam penipuan online namun dengan teknik yang sama yaitu kriminal mencoba menjadi entitas yang sah berupa e-mail dari lembaga ternama dan website yang menyerupai lembaga terpercaya. Teknik yang digunakan untuk mengajak pengguna membuka situs web palsu tersebut seragam yaitu menggunakan teknik penipuan marketing. Pengguna mendapatkan e-mail mengenai promosi transaksi dengan waktu terbatas atau menginformasikan bahwa akun pengguna mempunyai masalah dan dibutuhkan login kembali pada website resmi namun palsu. Pengguna yang mendapatkan e-mail tersebut tertarik dan membuka website phishing yang telah disediakan pada e-mail. [22] Dilihat dari pengetahuan pengguna, Zielinska, Welk, Mayhorn, & Murphy-Hill (2015) mengungkapkan bahwa para ahli (expert) cenderung memiliki pemahaman yang lebih komprehensif tentang bagaimana tren serangan phishing dan karakteristiknya melalui e-mail dibandingkan pemula. Para ahli dinilai lebih dapat mengambil resiko dan menghindari ancaman serangan phishing dibandingkan pengguna pemula. [23] Selain menggunakan website palsu,kejahatan kriminal dengan menggunakan teknik phishing juga memanfaat malware untuk mencuri data pribadi pengguna. Seperti yang diungkapkan USE Act (2010) Serangan baru Zeus Malware yang berbasis botnet juga menyerang pengguna kartu kredit di Amerika Serikat. Serangan Zeus menggunakan teknik man-in-the-middle dengan pop-up meminta untuk memberikan informasi sensitive pada website yang resmi. (Hilley, 2006) menyatakan bahwa pengguna tidak sadar mengunduh malware ketika mengunjungi situs berbau pornografi, situs yang menyediakan konten bajakan dan ketika membuka e-mail phishing. [24] Malware yang berada di komputer pengguna memiliki resiko ancaman yang lebih tinggi dibandingkan phishing konvensional. IBM menyatakan penipuan pada mayoritas bank disebabkan oleh teknik rekayasa sosial untuk menggagalkan sistem dua faktor autentikasi. Teknik ini menggunakan trojan “The Dyre” dimana malware tersebut menginjeksi halaman web palsu pada situr resmi. Halaman web palsu tersebut menginformasikan bahwa situs sedang mengalami perbaikan dan pengguna diharapkan menghubungi nomor telepon yang tertera pada halaman. Ketika pengguna menelpon nomor tersebut, pengguna akan dimintai data-data sensitif terkait bank tersebut diungkapkan oleh Elsevier Advanced Technology (2015) [25] 3.2 Pencegahan terhadap ancaman serangan Phishing Berdasarkan hasil studi literatur yang telah dilakukan sebelumnya, pencegahan terhadap ancaman serangan phishing ketika pengguna menggunakan layanan online banking adalah edukasi terhadap pengguna, psikologis dan privasi social

networking services pengguna dan penggunaan sistem one time password pada perbankan. Tabel 4.2 menunjukkan pencegahan phishing dari berbagai studi yang telah dibaca. Tabel 3.2 Pencegahan phishing berdasarkan study literature No. Nama Pengarang dan Tahun Faktor penyebab phishing 1 Alsharnouby, Alaca, & Chiasson Edukasi terhadap pengguna (2015) 2 Mohammad, Thabtah, & Edukasi terhadap pengguna McCluskey (2015) 3 Parmar (2012) Edukasi terhadap pengguna 4 Vishwanath, Herath, Chen, Edukasi terhadap pengguna Wang, & Rao (2011) 5 Parmar (2012) Edukasi terhadap pengguna dan mencegah pada tingkat e-mail 6 Bose & Leung (2008) Edukasi terhadap pengguna 7 Kumaraguru, Rhee, Acquisti, Edukasi terhadap pengguna Cranor, & Hong (2007) 8 Kumaraguru, et al. (2007) Edukasi terhadap pengguna 10 Kumaraguru, et al. (2009) Edukasi terhadap pengguna 11 Kumaraguru, Sheng, Acquisti, Edukasi terhadap pengguna Cranor, & Hong (2010) 12 Dodge Jr., Carver, & Ferguson Edukasi terhadap pengguna (2007) 13 Arachchilage & Love (2014) Edukasi terhadap pengguna 14 Vishwanath, Herath, Chen, Mencegah pada tingkat e-mail Wang, & Rao, 2011 15 Castillo, Iglesias, & Serrano Mencegah pada tingkat e-mail (2007) 16 Hamid & Abawajy (2014) Mencegah pada tingkat e-mail 17 Garfinkel, Margrave, Schiller, Mencegah pada tingkat e-mail Nordlander, & Miller (2005) 18 Kirda & Kruegel (2005) Penggunaan perangkat lunak antiphishing 19 Dunlop, Groat, & Shelly (2010) Penggunaan perangkat lunak antiphishing 20 Chiew, Chang, Sze, & Tiong Penggunaan perangkat lunak anti(2015) phishing 21 Gowtham & Krishnamurthi Penggunaan perangkat lunak anti(2014) phishing 22 Rao & Ali (2015) Penggunaan perangkat lunak antiphishing 23 Montazera & Yarmohammadi Penggunaan perangkat lunak anti(2015) phishing 24 Han, Cao, Bertino, & Yong Penggunaan perangkat lunak anti(2012) phishing 25 Nilsson, Adams, & Herd (2006) Penggunaan sistem OTP 26 Huang, Ma, & Chen (2011) Penggunaan sistem OTP

No. 27

Nama Pengarang dan Tahun Silic & Back (2016)

Faktor penyebab phishing Edukasi terhadap pengguna

1. Edukasi pengguna terhadap ancaman serangan phishing beserta pencegahannya Edukasi kepada pengguna merupakan faktor terpenting dalam pencegahan phishing. Pengguna yang memiliki pengetahuan dan kesadaran mengenai serangan phishing dan mengetahui tindakan untuk menghindari ancaman tersebut rentan lolos menghindari ancaman phishing dibandingkan pengguna yag tidak mengetahuinya. Seperti yang diungkapkan oleh Alsharnouby, Alaca, & Chiasson (2015) 53% pengguna yang telah dibekali edukasi mampu mendeteksi website phishing. Namun edukasi yang hanya dilakukan satu kali belum mampu memenuhi ekspektasi penelitian yang mengharapkan 86% pengguna mampu mendeteksi website phishing. [14] Mohammad, Thabtah, & McCluskey (2015) juga mengatakan bahwa edukasi kepada pengguna merupakan kunci pencegahan terbaik untuk menghadapi ancaman phishing. Jika pengguna mengetahui indikator keamanan, dapat mendeteksi websie phishing dan tidak tergiur pada penawaran menarik pada email phishing maka ancaman tersebut dapat dihindari. Namun edukasi membutuhkan waktu dan biaya yang tinggi sementara phishing terus berkembang. Sehingga Mohammad menyarankan perlunya solusi teknis dan solusi hukum untuk mencegah ancaman phishing. [16] Teknik spear-phishing yang lebih beresiko dibandingkan teknik phishing konvensional juga menyarankan edukasi pengguna sebagai pencegahan terbaik. Diungkapkan oleh Parmar (2012) CSCIC (Cyber Security and Critical Infrastructure Co-ordination) mengedukasi serangan phishing kepada para pegawai negeri di Amerika Serikat menggunakan e-mail. Pada awalnya 15% pengguna menginputkan passwordnya pada halaman website palsu sebelum diberi peringatan bahwa e-mail tersebut adala pelatihan phishing dan menjelaskan kesalahan atas tindakan mereka (pengguna). Empat bulan kemudian CSCIC kembali mengirimkan e-mail phishing kepada pegawai negeri di Amerika Serikat dan hasilnya hanya 8% pengguna yang mencoba berinteraksi ke halaman website palsu. [17] Pengetahuan mengenai phishing dan pencegahannya dapat diperoleh melalui edukasi, kesadaran dan pengalaman. Diperlukannya kolaborasi atas tiga aspek tersebut untuk meningkatkan self efficacy pada pengguna seperti yang diungkapkan oleh Vishwanath et al. (2011). [21] Pihak bank mempunyai kewajiban untuk memberikan informasi mengenai phishing dan pencegahannya kepada pengguna. Seperti yang diungkapkan Bose & Leung (2008) studi yang dilakukan pada Bank di hongkong, Bank menyediakan fasilitas online banking memuat informasi mengenai phishing dan tindakan anti-phishing pada pada halaman resmi websitenya. Akses kepada informasi mengenai phishing lebih mudah dilakukan dibandingkan tindakan anti-phishing. Pada Bank di Hongkong, tindakan pencegahan terhadap ancaman phishing melalui surat elektronik lebih sulit diakses dibandingkan ancaman phishing dalam bentuk malware. [26] Efektifitas pelatihan pencegahan phishing (embedded training) telah diuji oleh

Kumaraguru, Rhee, Acquisti, Cranor, & Hong (2007) dengan membandingkan dengan pesan keamanan pada umumnya. Hasilnya adalah pelatihan dinilai lebih baik dibandingkan mengirimkan pesan keamanan kepada pengguna. Mereka berkesimpulan bahwa pelatihan pencegahan phishing (embedded training) membantu pengguna mempelajari mengenai bahaya phishing dan cara untuk menghindarinya. [27] Pada research paper yang berbeda Kumaraguru, et al. (2007) mengungkapkan bahwa efektivitas pengguna dalam mempelajari materi phishing lebih baik ketika pengguna telah mengalami simulasi serangan (embedded) dibandingkan ketika pelatihan dikirimkan melalui e-mail (non-embedded). Pengetahuan pengguna lebih bertahan setelah embedded training dibandingkan nonembedded training. [28] Kumaraguru, et al. (2009) melakukan penelitian yang berfokus mengedukasi pengguna dan membantu mereka untuk menghindari serangan phishing. Mereka mengembangkan pelatihan embedded system dengan nama PhishGuru dengan masa pelatihan 28 hari. Pelatihan ini terbukti efektif ketika pengguna yang telah dilatih dibandingkan dengan pengguna yang belum dilatih oleh PhishGuru [29]. Lalu Kumaraguru, Sheng, Acquisti, Cranor, & Hong (2010) membuat permainan bernama Anti-Phishing Phil yang bertujuan memberikan edukasi kepada pengguna agar dapat mendeteksi URL resmi dan palsu. Hasilnya adalah walaupun anti-phishing software bertindak sebagai garis pertama dalam menghadapi serangan phishing namun edukasi pengguna menawarkan pendekatan yang membantu pengguna mengidentifikasi e-mail dan website palsu. [30] Edukasi pengguna melalui media permainan (game) dinilai efektif dan meningkatkan self efficacy pengguna dalam menghindari penipuan online. Arachchilage & Love (2014) merancang kerangka desain permainan yang diharapkan tidak hanya dapat meningkatkan kesadaran pengguna terhadap serangan phishing namun serangan siber IT lainnya seperti virus, malware, botnet dan spyware. [15] Mengenai faktor privasi pada social networking sites, (Silic & Back, 2016) mengungkapkan bahwa pengguna harus diberikan edukasi mengenai resiko ketika mengungkapkan informasi pribadi di social networking services. Resiko tersebut berupa ancaman phishing dan pencurian identitas pribadi pengguna. [31] 2. Mencegah Phishing pada tingkat e-mail E-mail merupakan media yang rawan terhadap serangan phishing. Hal ini seperti diungkapkan oleh Vishwanath, Herath, Chen, Wang, & Rao (2011) bahwa semakin banyak e-mail yang diterima oleh pengguna maka semakin rawan pengguna menjadi calon korban phishing. Resiko akan semakin besar jika pengguna tidak hanya menerima e-mail dalam volume besar namun juga merespon e-mail dalam volume yang besar juga. [21] Phishing dapat dicegah melalui pemasangan filter yang mengklasifikasikan email menjadi dua kategori yaitu asli (legitimate) dan palsu (fraudulent) seperti yang diungkapkan oleh Castillo, Iglesias, & Serrano (2007). Dengan menggunakan fungsi filter, perusahaan dapat melindungi pegawai dan pelanggannya dari e-mail spam yang mengancam mencuri data pengguna email. [32]

Jika phiser mengetahui target calon korban dan menggunakan teknik spear phishing maka filter e-mail spam dan phishing menjadi tidak efektif. Parmar (2012) mengatakan hal ini dikarenakan spear-phishing melakukan pendekatan yang berbeda dibandingkan phishing konvensional yang mudah terdeteksi oleh filter. Solusi lainnya untuk mencegah phishing pada tingkat e-mail adalah pengguna internet seharusnya menggunakan fasilitas Tanda tangan digital pada e-mail atau Digital Signature E-mail seperti yang diungkapkan oleh Garfinkel, Margrave, Schiller, Nordlander, & Miller (2005). Tanda tangan digital menggunakan kunci asimetric kriptografi seperti RSA yang memungkinkan pengguna untuk membedakan identitas sang pengirim e-mail. Namun hal ini akan menjadi masalah ketika pengguna yang menggunakan satu komputer untuk mengakses akun e-mailnya. [33] 3. Penggunaan perangkat lunak anti-phishing Selain indikator keamanan pada browser seperti penggunaan protokol HTTPS (SSL certifed) pada situs terdapat solusi pencegahan lainnya yaitu menggunakan perangkat lunak anti-phishing. Kirda & Kruegel (2005) pada papernya mempresentasikan ekstensi browser yang bernama AntiPhish. AntiPhish bertujuan untuk melindungi pengguna dari halaman website palsu dengan menampilkan pesan waspada ketika pengguna mencoba menginput data sensitif (username, password) pada halaman yang tidak terpercaya. Namun AntiPhish saat ini hanya berupa prototype. [34] Dunlop, Groat, & Shelly (2010) memperkenalkan GoldPhish, sebuah plugin yang terpasang pada browser bertujuan untuk melindungi pengguna dari zeroday phishing sites. Pencegahan terhadap phishing umumnya dilakukan dengan memakai teknik blacklist maupun whitelist terhadap URL phishing yang telah dideteksi namun teknik ini tidak efektif ketika berhadapan dengan zero-day attack. Phisher selalu lebih terdepan membuat website palsu yang tidak dapat dideteksi oleh anti-phishing berbasis blacklist/whitelist, GoldPhish menawarkan solusi dengan pendekatan teknik Heuristic dengan menangkap gambar dari halaman website lalu menggunakan optical character recognition untuk mengubah gambar ke teks lalu diintegrasikan dengan algoritma Google Pagerank yang membantu untuk menentukan apakah website tersebut valid atau tidak. GoldPhish diklaim akurat dalam mendeteksi 100% website asli dan 98% mendeteksi website phishing. [35] 4. Penggunaan sistem OTP pada sistem perbankan Password digunakan untuk autentikasi pada situs website perbankan. Untuk melakukan transaksi pada layanan online, institusi perbankan memberikan perangkat token kepada pelanggan yang dapat mengeluarkan PIN atau One Time Password (OTP) yang dikirimkan melalui pesan teks kepada pelanggan seperti yang diungkapkan oleh Nilsson, Adams, & Herd (2006). [36] Password sekali pakai (one time password) adalah sistem autitentikasi dimana pengguna ketika melakukan login menggunakan password sekali pakai yang dikirimkan melalui aplikasi instant messaging atau sms. Tidak menggunakan password statis, namun sistem password ini hanya sekali pakai (OTP) diungkapkan dalam penelitian Huang, Ma, & Chen (2011). [37] Peretas menemukan celah keamanan dalam penggunaan perangkat token pada

layanan online banking. Hal ini seperti yang diungkapkan oleh Tanujaya (2015) bahwa Malware bernama Gameover Zeus yang telah berada di komputer pengguna melakukan serangan Man-in-the-Browser (MitB) dengan teknik dengan teknik LoadInjectScript yang mampu menambahkan scipt (popup) pada halaman website resmi dan mencuri informasi kredensial pengguna seperti PIN Token yang diinputkan pengguna. [38] IT Security Manager salah satu Bank di Indonesia Aktorian (2015) membenarkan ancaman tersebut. Beliau mengatakan Bank melakukan tindak pencegahan melalui tiga aspek yaitu people, process, technology. Beliau mengatakan layanan online banking di Indonesia telah memperingatkan pengguna dengan memasang pesan waspada. Bank Mandiri memasang pesan waspada yang berbunyi “Hentikan transaksi jika anda diminta sinkronisasi token pada saat login dan pastikan komputer anda bersih dari virus”. Bank BCA memasang pesan waspada “Waspada virus trojan, malware dan spyware. Stop! Jika anda menemukan hal yang tidak biasa pada saat bertransaksi Internet Banking, Stop jangan dilanjutkan!”. [39] Namun pesan waspada tersebut kembali ke pengguna apakah memperhatikan dan sadar terhadap pesan tersebut. Meulen (2013) mengungkapkan kejahatan kriminal dalam layanan online terjadi salah satunya akibat pengguna dinilai lalai dan mengabaikan peraturan yang telah diedukasikan oleh pihak bank. [19] 4. Kesimpulan Phishing merupakan ancaman yang menggunakan teknik rekayasa sosial (social engineering) yang mengelabui pengguna dengan cara menyamar sebagai entitas yang resmi. Phishing menyerang berbagai sektor industri termasuk industri perbankan yang menjadi sasaran terbesar seperti yang diungkapkan oleh laporan APWG tahun 2014. Faktor penyebab phishing pada layanan online banking 1. Pengetahuan pengguna yang minim Pengguna layanan online banking dianggap tidak memiliki pengetahuan yang baik mengenai keamanan informasi seperti membedakan nama domain yang resmi dan palsu. Pengguna juga lalai dalam memperhatikan indikator-indikator keamanan pada browser. Pengguna juga tidak mengetahui strategi untuk menghadapi serangan phishing, tidak melakukan klarifikasi atas e-mail phishing yang mereka terima kepada pihak bank dan tidak mengetahui kebijakan bank terkait layanan online banking. Pengguna juga sering menggunakan kata sandi password yang sama untuk seluruh layanan yang digunakan pada internet, hal ini membuat resiko keamanan informasi pengguna semakin besar. 2. Psikologis Pengguna dinilai mudah terperdaya dengan penawaran-penawaran menarik seperti promosi, potongan harga dan hadiah. Tidak hanya hal tersebut, ketika mendapatkan e-mail phishing (menyamar sebagai perwakilan bank) yang menyatakan terdapat kesalahan pada akun pengguna dan diperlukannya input ulang data sensitif kembali pada halaman website (yang ternyata halaman palsu) pengguna terpancing dan mengikuti instruksi yang diberikan. 3. Privasi sosial networking services Teknik spear-phishing memanfaatkan data-data pengguna yang berasal dari layanan jejaring sosial (sosial networking services). Data-data seperti Nama,

Alamat, Tanggal Lahir, Nama Orang Tua, Nama Keluarga, Pekerjaan, Bank yang dipakai dapat dicuri secara tidak langsung jika pengguna tidak mengatur privasi jejaring sosialnya dengan baik. Pencegahan serangan phishing pada Layanan Online Banking 1. Edukasi pengguna terhadap ancaman serangan Phishing beserta pencegahannya Pencegahan terbaik terhadap serangan phishing adalah melakukan edukasi kepada pengguna. Pengguna yang telah diedukasi terbukti mampu mendeteksi dan menghindari e-mail dan website phishing. Edukasi dapat berupa pelatihan phishing (embedded training) secara berkala yang dilakukan pada perusahaan, melalui media permainan (game) yang dapat memacu pengetahuan pengguna dalam mengidentifikasi url asli atau palsu. Edukasi juga dapat diberikan oleh pihak bank secara berkala kepada pengguna. Hal ini dilakukan oleh Bank BCA yang menggunakan media YouTube dalam hal mensosialisasikan bahaya kejahatan siber (termasuk phishing). Sosialisasi itu dilakukan dalam bentuk video animasi dengan judul “Detect and Thief” diunggah oleh akun Solusi BCA. Umumnya Bank menyediakan halaman khusus pada websitenya mengenai bahaya kejahatan siber pada online banking dan diharapkan pengguna membaca informasi tersebut. Empat faktor penyebab phishing juga dapat diatasi oleh edukasi. 2. Mencegah Phishing pada tingkat e-mail E-mail merupakan media yang rawan terhadap serangan phishing. Perlunya mencegah phishing pada tingkat e-mail dengan cara filtering atau menggunakan fasilitas tanda tangan digital pada e-mail atau Digital Signature E-mail. Filtering melindungi pengguna dari e-mail spam yang mengancam mencuri data pengguna e-mail dan tanda tangan digital (Digital Signature E-mail) menggunakan kunci asimetric kriptografi seperti RSA yang memungkinkan pengguna untuk membedakan identitas sang pengirim e-mail. Namun hal ini akan menjadi masalah ketika pengguna yang menggunakan satu komputer untuk mengakses akun e-mailnya. 3. Penggunaan perangkat lunak anti-phishing Menggunakan ekstensi/plugin tambahan pada browser yang dapat melindungi pengguna dari serangan phishing. Contohnya seperti AntiPhish yang dapat menampilkan pesan waspada ketika pengguna mencoba menginputkan data sensitif pada halaman yang tidak terpercaya. Anti-phishing lainnya yaitu Goldphish dapat mendeteksi halaman website palsu dengan menggunakan dengan pendekatan teknik Heuristic. 4. Penggunaan sistem OTP pada sistem perbankan Untuk menjaga keamanan informasi layanan online banking, perbankan umumnya memakai sistem kata sandi sekali pakai (one time password) dalam bentuk PIN yang dihasilkan oleh perangkat token atau kata sandi yang dikirimkan melalui pesan teks kepada pelanggan. Namun untuk OTP melalui perangkat token, peretas menggunakan serangan malware trojan (Gameover Zeus) untuk mendapatkan kombinasi PIN pengguna. Trojan tersebut melakukan serangan Man-in-the-Browser (MitB) dengan teknik LoadInjectScript yang mampu menambahkan scipt (pop-up) pada halaman website resmi dan mencuri informasi kredensial pengguna seperti PIN Token yang diinputkan pengguna. Perbankan di Indonesia mencegah hal tersebut dengan memasang pesan waspada

yang berbunyi “Waspada virus trojan, malware dan spyware. Stop! Jika anda menemukan hal yang tidak biasa pada saat bertransaksi Internet Banking, Stop jangan dilanjutkan!” Namun semuanya kembali ke pengguna, memperhatikan atau mengabaikan pesan tersebut ketika menggunakan layanan online banking. Daftar Pustaka [1] P. N. P. Singh, “Online Frauds in Banks with Phishing,” Journal of Internet Banking and Commerce, p. 4, 2007. [2] Anti-Phishing Working Group, “Phishing Activity Trends Report, 2nd Quarter,” Anti-Phishing Working Group (APWG), Washington D.C, 2014. [3] EMC, “Phishing 2013: A Look Back,” EMC, Hopkinton, 2014. [4] Symantec Brightmail TM, “Anti Phishing, White Paper: Messaging Security,” 2014. [5] H. Rush, C. Smith, E. K. Mbula dan P. Tang, “Crime online,” Cybercrime and illegal innovation, p. 11, 2009. [6] S. C. McQuade, “CyberCrime,” dalam Encyclopedia of cybercrime, Westport, Greenwood Publishing Group, Inc., 2009, p. 44. [7] Z. Ramzan, “Phishing attacks and countermeasures,” In Stamp, Mark & Stavroulakis, Peter. Handbook of Information and Communication Security, Springer. ISBN 9783642041174., 2010. [8] S. Egelman, L. F. Cranor dan J. Hong, “You’ve Been Warned: An Empirical Study of the,” You’ve Been Warned: An Empirical Study of the, Published in Proceeding CHI '08 Proceedings of the SIGCHI Conference on Human Factors in Computing Systems Pages 1065-1074 , pp. 1065-1074, 2008. [9] C. Whittaker, B. Ryner dan M. Nazif, “Large-Scale Automatic Classification of Phishing Pages,” Large-Scale Automatic Classification of Phishing Pages, 2010. [10] Courtesy of Computer Associates, “Types of Phishing Attacks,” 03 Desember 2014. [Online]. Available: http://www.pcworld.com/article/135293/article.html. [11] D. Ridley, The Literature A Step-by-Step Guide, London: Sage Publication, 2012. [12] S. M. Nasution, Interviewee, Phishing sebagai Ancaman pada Layanan Online Banking. [Wawancara]. 21 January 2016. [13] R. Dhamija, J. Tygar dan M. Hearst, “Why Phishing Works,” Proceeding of CHI-2006: Conference on Human Factors in Computing Systems, 2006. [14] M. Alsharnouby, F. Alaca dan S. Chiasson, “Why phishing still works: user strategies,” Int. J. Human-Computer Studies, 2015. [15] N. A. G. Arachchilage dan S. Love, “Security awareness of computer users: A phishing threat avoidance,” Computers in Human Behavior 38 (2014) 304– 312, 2014.

[16] R. M. Mohammad, F. Thabtah dan L. McCluskey, “Tutorial and Critical analysis of phishing websites methods,” Computer science review, 2015. [17] B. Parmar, “Protecting against spear-phishing,” Computer Fraud and Security, 2012. [18] H. Malik dan A. S. Malik, “Towards Identifying the Challenges Associated with Emerging Large Scale Social Networks,” Procedia Computer Science, p. 458–465, 2011. [19] N. S. v. d. Meulen, “You’ve been warned: Consumer liability in Internet,” Computer Law & Security Review Volume 29, Issue 6, December 2013, p. 713–718, 2013. [20] E. Sein, “The God of Phishing,” Info Security Spotlight, 2011. [21] A. Vishwanath, T. Herath, R. Chen, J. Wang dan H. R. Rao, “Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model,” Decision Support Systems 51, pp. 576-586, 2011. [22] M. Button, C. M. Nicholls, J. Kerr dan R. Owen, “Online frauds: Learning from victims why they fall for these scams,” Australian & New Zealand Journal of Criminology 2014 Vol. 47(3), p. 391–408, 2014. [23] O. A. Zielinska, A. K. Welk, C. . B. Mayhorn dan E. Murphy-Hill, “Exploring Expert and Novice Mental Models of Phishing,” Proceedings of the Human Factors and Ergonomics Society 59th Annual Meeting, 2015. [24] USE Act, “Golden hour for phishing and new Zeus botnet,” Network Security, 2010. [25] Elsevier Advanced Technology, “IBM uncovers major bank fraud,” Computer Fraud and Security, 2015. [26] I. Bose dan A. C. M. Leung, “Assessing anti-phishing preparedness: A study of online banks in Hong Kong,” Decision Support Systems 45, p. 897–912, 2008. [27] P. Kumaraguru, Y. Rhee, A. Acquisti, L. F. Cranor dan J. Hong, “Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System,” Conference Proceeding Human-Computer Interaction Institute, 2007. [28] P. Kumaraguru, Y. Rhee, S. Heng, S. Hasan, A. Acquisti, L. F. Cranor dan J. Hong, “Getting Users to Pay Attention to Anti-Phishing Education: Evaluation of Retention and Transfer,” Proceedings of the anti-phishing working groups 2nd annual eCrime researchers summit , pp. 70-81, 2007. [29] P. Kumaraguru, J. Cranshaw, A. Acquisti, J. Hong, A. Blair dan T. Pham, “School of phish: a real-world evaluation of anti-phishing training”,,” Proceedings of the 5th Symposium on Usable Privacy and Security, 2009. [30] P. Kumaraguru, S. Sheng, A. Acquisti, L. Cranor dan J. Hong, “Teaching Johnny not to fall for phish,” ACM Transactions on Internet Technology Vol.10 No.2, 2010.

[31] M. Silic dan A. Back, “The dark side of social networking sites:Understanding phishing risks,” Computers in Human Behavior, pp. 3543, 2016. [32] M. Castillo, A. Iglesias dan J. Serrano, “Detecting phishing e-mails by heterogeneous,” H. Yin et al. (Eds.): IDEAL 2007, LNCS 4881, pp. 296-305, 2007. [33] S. Garfinkel, D. Margrave, J. Schiller, E. Nordlander dan R. Miller, “How to make secure e-mail easier to user,” Proceedings of the ACM Conference on Human Factors in Computing Systems, pp. 701-10, 2005. [34] E. Kirda dan C. Kruegel, “Protecting users against phishing attacks with antiphish,” Proceedings of the 29th Annual International Conference on Computer Software and Applications, pp. 517-24, 2005. [35] M. Dunlop, S. Groat dan D. Shelly, “GoldPhish: Using Images for ContentBased,” The Fifth International Conference on Internet Monitoring and Protection, 2010. [36] M. Nilsson, A. Adams dan S. Herd, “Building security and trust in online banking,” Extended Abstracts of the ACM Conference on Human Factors in Computing Systems, pp. 1701-4, 2006. [37] C.-Y. Huang, S.-P. Ma dan K.-T. Chen, “Using one-time passwords to prevent password phishing attacks,” Journal of Network and Computer Applications 34, pp. 1292-1301, 2011. [38] A. Tanujaya, “Gameover Zeus dengan LoadInjectScript,” 23 March 2015. [Online]. Available: http://www.vaksin.com/0614-goz-load_inject_script. [39] R. Aktorian, Interviewee, Ancaman Siber dalam Online Banking. [Wawancara]. 12 January 2015.