PANDUAN PERLINDUNGAN TERHADAP JENAYAH PENYAMARAN LAMAN WEB (WEB PHISHING SCAMS)
UNIT PEMODENAN TADBIRAN DAN PERANCANGAN PENGURUSAN MALAYSIA (MAMPU) JABATAN PERDANA MENTERI
HAK CIPTA 2010 @ MAMPU
MAMPU, Jabatan Perdana Menteri
1
PANDUAN PERLINDUNGAN TERHADAP JENAYAH PENYAMARAN LAMAN WEB (WEB PHISHING SCAMS)
A.
PENGENALAN
Phishing adalah merujuk kepada jenayah penipuan melalui penghantaran e-mel atau mesej palsu melalui aplikasi e-mel, teks pesanan ringkas (sms), instant messenger atau media jaringan sosial kepada pengguna bertujuan untuk mendapatkan maklumat peribadi yang sensitif seperti nama pengguna (username), kata laluan (password), nombor kad pengenalan, butiran kad kredit dan sebagainya. Maklumat peribadi yang telah diserahkan akan diguna sebagai elemen pencurian identiti ke atas pengguna tersebut dan disalahgunakan untuk tujuan tertentu (rujuk Rajah 1).
Rajah 1: Contoh E-mel Phishing kepada Pengguna
Pengguna selalunya terpedaya dengan e-mel palsu sebegini kerana e-mel penyamaran yang dilakukan hampir menyerupai e-mel dari organisasi yang sah seperti institusi perbankan elektronik, sebagai contoh Maybank2u, CIMB Clicks, RHB Banking dan sebagainya serta laman web e-dagang seperti eBay dan PayPal. Sehubungan itu, pengguna yang terpedaya akan dibawa melalui hyperlink yang disediakan di dalam
MAMPU, Jabatan Perdana Menteri
2
P E N G E N A L A N
e-mel tersebut ke laman web palsu sekaligus memasukkan maklumat yang dikehendaki oleh kumpulan penipuan siber tersebut. Kesan yang akan timbul daripada aktiviti phishing ini adalah seperti berikut: i.
Kerugian yang besar dari segi kewangan;
ii.
Pencurian identiti (digunakan untuk melakukan jenayah); dan
iii.
Halangan capaian (akses) ke akaun e-mel atau akaun perbankan elektronik.
B.
PANDUAN PERLINDUNGAN TERHADAP PHISHING
1.
Waspada Dengan E-mel Yang Meminta Maklumat Sensitif Pengguna hendaklah sentiasa berwaspada terhadap setiap e-mel yang meminta maklumat-maklumat sensitif melalui link yang disediakan di dalam e-mel. Ini berikutan semua institusi perbankan elektronik serta organisasi e-dagang (pembelian secara online) TIDAK AKAN MENGHANTAR E-MEL ATAU TEKS PESANAN RINGKAS (SMS) kepada pelanggan serta meminta mereka untuk mengemaskini atau memberikan maklumat sensitif seperti nombor akaun, nama akaun pengguna, kata laluan, nombor kad pengenalan, butiran kad kredit dan sebagainya.
2.
Jangan Log Masuk Melalui Link Yang Disediakan Dalam E-mel Pengguna dinasihatkan untuk tidak log masuk (login) ke mana-mana akaun e-mel atau perbankan online melalui link yang disediakan oleh mana-mana pihak/ laman web selain daripada capaian link sebenar yang sah dan disediakan oleh institusi tersebut.
3.
Pastikan Kesahihan Link Pastikan kesahihan link yang disediakan dengan mengarahkan kursor tetikus (mouse cursor) ke atas link tersebut bagi melihat alamat URL di bar status yang terletak di bahagian bawah pelayar web. Sekiranya alamat URL di bar status
MAMPU, Jabatan Perdana Menteri
3
P A N D U A N
adalah berbeza dengan alamat yang dinyatakan di dalam link e-mel, ia bermaksud link URL tersebut adalah link yang tidak sah dan hanya akan membawa pengguna ke laman web phishing (Rujuk Rajah 2).
Alamat URL Pada Link Yang Diberikan
Letakkan Kursor Tetikus Di Atas Alamat URL Yang Diberikan
Perbezaan Alamat URL!!
Alamat URL Pada Bar Status Pelayar Web
Rajah 2: Pengesahan Kesahihan Capaian Link
4.
Pastikan Laman Web Menggunakan Secure Hypertext Transfer Protocol (HTTPS) Laman web perbankan online / e-dagang yang sah atau mana-mana laman web yang melibatkan pemprosesan maklumat sensitif akan menggunakan protokol internet yang telah dienkripsi, iaitu dikenali sebagai Secure Hypertext Transfer Protocol (HTTPS). Sehubungan itu, pengguna hendaklah memastikan laman web yang dilayari tersebut menggunakan alamat URL yang dimulakan dengan “https” dan mempunyai simbol kekunci Secure Socket Layer (SSL) pada bar status pelayar web sebelum melakukan sebarang transaksi secara online (rujuk Rajah 3).
MAMPU, Jabatan Perdana Menteri
4
Secure Hypertext Transfer Protocol (https://)
Simbol kekunci SSL
Rajah 3: Laman Web dengan Secure Hypertext Transfer Protocol
5.
Lakukan Semakan Kesahihan Sijil Server SSL (SSL Server Certificate) Semakan ke atas kesahihan Sijil Server SSL (SSL Server Certificate) boleh dilakukan dengan langkah-langkah seperti berikut: (a)
Pelayar Web Mozilla Firefox i.
Klik sebanyak dua (2) kali pada simbol kekunci status pelayar web (rujuk Rajah 4-A);
di ruangan bar
ii.
Klik pada pilihan “View Certificate” untuk memaparkan maklumat SSL Server Certificate bagi laman web tersebut (rujuk Rajah 4-B); dan
iii.
Pastikan alamat URL yang tertera pada ruangan alamat pelayar web adalah sama dengan alamat URL yang dinyatakan di dalam ruangan maklumat SSL Server Certificate (rujuk Rajah 4-C). Sebarang percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak sah dan laman web tersebut adalah palsu.
MAMPU, Jabatan Perdana Menteri
5
Klik dua (2) kali pada simbol kekunci
Rajah 4-A: Langkah i - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
Klik Pilihan “View Certificate”
Rajah 4-B: Langkah ii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
MAMPU, Jabatan Perdana Menteri
6
Pastikan kedua-dua alamat URL adalah sama
Rajah 4-C: Langkah iii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
(b) Pelayar Web Internet Explorer: i.
Klik pada simbol Security Report di ruangan bersebelahan paparan alamat URL pada pelayar web (rujuk Rajah 5-A);
ii.
Klik pada pilihan “View Certificates” untuk memaparkan maklumat SSL Server Certificate bagi laman web tersebut (rujuk Rajah 5-B); dan
iii.
Pastikan alamat URL yang tertera pada ruangan alamat pelayar web adalah sama dengan alamat URL yang dinyatakan di dalam ruangan maklumat SSL Server Certificate (rujuk Rajah 5-C). Sebarang percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak sah dan laman web tersebut adalah palsu.
MAMPU, Jabatan Perdana Menteri
7
Klik pada simbol kekunci Security Report
Rajah 5-A: Langkah i - Semakan ke atas Sijil Server SSL (Internet Explorer)
Klik pada “View Certificates”
Rajah 5-B: Langkah ii - Semakan ke atas Sijil Server SSL (Internet Explorer)
MAMPU, Jabatan Perdana Menteri
8
Pastikan kedua-dua alamat URL adalah sama
Rajah 5-C: Langkah iii - Semakan ke atas Sijil Server SSL (Internet Explorer) 6.
Lakukan Semakan Pengesahan Pensijilan Cert Semakan penyataan pengesahan badan-badan pensijilan cert yang sah ke atas laman web tersebut boleh dilakukan dengan langkah-langkah seperti berikut: (a)
Pelayar Web Mozilla Firefox i.
Bagi laman web dengan pengesahan penyataan Cert yang sah, paparan penyataan tersebut akan tertera di ruangan kiri bersebelahan alamat URL pada pelayar web Mozilla Firefox (rujuk Rajah 6-A).
Pernyataan Pengesahan Cert
Secure Hypertext Transfer Protocol (https://)
Rajah 6-A: Laman Web Yang Sah (Dengan Pernyataan Pengesahan Cert)
MAMPU, Jabatan Perdana Menteri
9
ii.
Bagi laman web palsu yang tidak mempunyai penyataan Cert yang sah, paparan penyataan tersebut TIDAK akan tertera di ruangan kiri bersebelahan alamat URL pada pelayar web Mozilla Firefox dan hanya menggunapakai Hypertext Transfer Protocol (http://) (rujuk Rajah 6-B).
Tiada Pernyataan Pengesahan Cert
Hypertext Transfer Protocol (http://)
Rajah 6-B: Laman Web Palsu (Tanpa Pernyataan Pengesahan Cert)
(b) Pelayar Web Internet Explorer i.
Klik pada simbol kekunci Security Report di ruangan bersebelahan paparan alamat URL pada pelayar web (rujuk Rajah 7-A); dan
ii.
Pernyataan pengesahan Cert akan tertera pada kotak Website Identification. Pengguna harus memastikan alamat pada ruangan tersebut adalah sama dengan alamat URL yang tertera pada ruang alamat URL pelayar web (rujuk Rajah 7-B).
Klik pada simbol kekunci Security Report
Rajah 7-A: Langkah i – Semakan Penyataan Pengesahan Cert
MAMPU, Jabatan Perdana Menteri
10
Penyataan Pengesahan Cert
Rajah 7-B: Langkah ii – Semakan Penyataan Pengesahan Cert
C.
PENUTUP
7.
Aktiviti penipuan phishing yang dihantar ke e-mel pengguna terus meningkat secara dramatik dari semasa ke semasa. Sehubungan itu, adalah amat penting supaya setiap pengguna mempunyai kesedaran terhadap penipuan siber sebegini. Pengguna perlu lebih berhati-hati apabila melakukan transaksi secara online dan tidak memberikan maklumat peribadi yang sensitif melalui Internet bagi mengelakkan diri mereka daripada menjadi sebahagian daripada statistik jenayah tersebut.
8.
Selain daripada langkah-langkah yang telah dinyatakan di atas, pengguna juga adalah diingatkan supaya mematuhi amaran jenayah pencurian identiti daripada Polis Diraja Malaysia seperti di bawah: i.
Jangan layan sebarang panggilan telefon/ SMS/ e-mel yang meminta butir-butir perbankan anda;
ii. Jangan dedahkan maklumat akaun/ nombor PIN ATM/ kata laluan perbankan Internet anda kepada mana-mana pihak; dan
MAMPU, Jabatan Perdana Menteri
11
P E N U T U P
iii. Jangan terperdaya dengan arahan orang yang tidak dikenali untuk melakukan sebarang transaksi atau perubahan butir-butir perbankan anda.
9.
Sekiranya pengguna mengesyaki telah tertipu dengan penipuan phishing, laporan hendaklah dibuat dengan kadar segera kepada institusi/ badan yang terlibat bagi menyekat sebarang penggunaan, pengubahsuaian dan penyalahgunaan maklumat tersebut.
MAMPU, Jabatan Perdana Menteri
12
DISEDIAKAN OLEH:
BAHAGIAN PEMATUHAN ICT UNIT PEMODENAN TADBIRAN DAN PERANCANGAN PENGURUSAN MALAYSIA (MAMPU) JABATAN PERDANA MENTERI ARAS 6, BLOK B2 KOMPLEKS JABATAN PERDANA MENTERI PUSAT PENTADBIRAN KERAJAAN PERSEKUTUAN 62502 PUTRAJAYA www.mampu.gov.my Telefon Faks
: 03-8872 3000 / 8872 5000 : 03-8888 3721
PANDUAN PERLINDUNGAN TERHADAP JENAYAH PENYAMARAN LAMAN WEB (WEB PHISHING SCAMS) MAMPU@2010 MAMPU, Jabatan Perdana Menteri
13