Pas lagi asyik scrolling, mungkin kamu pernah dapat chat pribadi berisi tawaran hadiah menggiurkan atau peringatan darurat kalau akun kamu bakal diblokir. Biasanya, pesan-pesan kayak gini selalu disertai sebuah link.
Dari satu klik itulah, oknum jahat bisa dengan mudah mencuri data pribadi, mengambil alih akun media sosial, atau bahkan menyedot semua uang dalam rekening kamu sampai ludes. Itulah alasan kenapa kamu wajib banget tahu cara mengenali link phishing.
Phishing sendiri sebenarnya adalah teknik tipu-tipu klasik yang tujuannya memancing kamu buat kasih data sensitif secara sukarela. Para pelaku ini biasanya menyamar jadi instansi resmi, bank, atau layanan dompet digital favorit kamu.
Biar kamu bisa menjaga keamanan diri, yuk kita cari tahu ciri-ciri link phishing berbahaya yang harus kamu hindari sekarang juga!
BACA JUGA: Cara Mengenali Customer Service Palsu
1. Ada salah ketik dalam alamat URL
Ada salah ketik dalam alamat URL | Sumber: Unsplash.com/kommumikation
Cara mengenali link phishing yang paling gampang adalah dengan memperhatikan setiap huruf di alamat URL.
Sering kali, para penipu sengaja beli domain atau alamat website yang mirip banget sama brand aslinya, alias cuma beda satu atau dua huruf saja. Mereka berharap kamu lagi capek, buru-buru, atau nggak teliti pas baca link tersebut.
Misalnya, kalau website resmi yang asli adalah google.com, penipu bakal kirim link dengan tulisan g00gle.com (pakai angka nol) atau gooogle.com (kelebihan huruf 'o').
Terkadang, mereka juga pakai trik visual seperti facebo0k.com atau rnicrosoft.com. Kalau dilihat sekilas, huruf 'r' dan 'n' yang nempel bisa terlihat kayak huruf 'm' kan? Itulah yang sering banget bikin orang terkecoh.
Jadi, sebelum jempol kamu mendarat di layar buat klik, pastikan ejaannya udah 100% benar.
2. Nama alamat URL lebih panjang atau pendek dari aslinya
Nama alamat URL lebih panjang atau pendek dari aslinya | Sumber: Unsplash.com/ikukevk
Selain salah ketik, kamu juga harus curiga kalau lihat alamat URL yang strukturnya nggak masuk akal. Sebab, biasanya, website resmi punya nama domain yang to the point.
Penipu sering banget pakai subdomain tambahan buat mengelabui mata kamu agar percaya kalau itu link resmi. Misalnya, link phishing yang datang tulisannya verifikasi-akun-bankamanah-indonesia.login-update.com.
Kalau kamu lihat bagian paling belakang sebelum domain utama (login-update.com), itu sebenarnya bukan website resmi bank tersebut! Mereka cuma numpang nama besar di bagian depan link buat nipu kamu.
Sebaliknya, ada juga link yang kelewat pendek dan sama sekali nggak menyebutkan nama instansi terkait. Kalau link yang dikirim terasa asing dan strukturnya ribet, mending langsung hapus aja pesannya.
3. Mengandung karakter yang tidak lazim
Mengandung karakter yang tidak lazim | Sumber: Unsplash.com/stevecameup
Pernah dapat kiriman link yang isinya penuh dengan simbol-simbol aneh? Mungkin aja ada banyak garis bawah (_), tanda persen (%20), atau deretan angka acak yang seolah nggak habis-habis? Kalau iya, itu red flag dari link phishing!
Karakter-karakter nggak lazim ini biasanya dipakai untuk menyembunyikan tujuan asli dari link tersebut di mata sistem keamanan atau biar kamu bingung membacanya.
Secara teknis, karakter seperti %20 itu sebenarnya adalah kode untuk spasi. Tapi dalam kasus link resmi dari brand besar, biasanya mereka pakai kata-kata yang rapi dan gampang dibaca. Contohnya, https://gopay.co.id/promo.
Sebaliknya, link phishing sering kali terlihat seperti kode komputer yang berantakan, contohnya: bit.ly/hadiah_gratis_2023%20_promo-rekening-88234991.
4. Link disamarkan dengan link shortener
Link disamarkan dengan link shortener | Sumber: Unsplash.com/towfiqu999999
Penggunaan link shortener atau penyingkat tautan seperti Bitly, TinyURL, atau Rebrandly sebenarnya hal yang lumrah buat kebutuhan marketing agar link terlihat rapi.
Tapi masalahnya, para pelaku kejahatan digital juga suka banget pakai alat ini buat menyembunyikan isi dari link phishing mereka.
Karena link aslinya udah dipersingkat, kamu nggak bisa tahu website apa yang sebenarnya bakal kamu kunjungi sampai kamu benar-benar klik link-nya.
Kamu mungkin ngerasa aman klik link bit.ly/CekPromoGoPay, padahal sebenarnya link tersebut bisa aja mengarah ke website palsu buat mencuri kode OTP kamu.
Jadi, cara mengenali link phishing yang pakai penyingkat kayak begitu adalah gunakan layanan link expander online untuk mengintip alamat asli di balik link pendek tersebut tanpa harus membukanya.
5. Tidak ada protokol HTTPS
Tidak ada protokol HTTPS | Sumber: Unsplash.com/casparrubin
Pernah lihat ikon gembok di sebelah kiri alamat URL? Itu artinya website yang lagi kamu kunjungi 100% aman karena udah pakai protokol HTTPS (Hypertext Transfer Protocol Secure).
HTTPS berarti data yang kamu masukkan nggak bisa diintip orang lain di tengah jalan. Sementara itu, dengan HTTP biasa, data dari kamu bisa diintip.
Memang, sekarang udah ada banyak penipu pintar yang juga mulai modal pakai HTTPS gratisan. Tapi, kalau kamu ketemu website yang minta data sensitif seperti login bank atau input KTP cuma pakai HTTP, tinggalin aja. Penipu kelas teri biasanya malas ngurusin sertifikat keamanan HTTPS.
Gampangnya, kalau browser kamu sudah kasih peringatan "Not Secure" atau "Tidak Aman" dengan warna merah, jangan pernah sekalipun input data apa pun di sana.
BACA JUGA: Apa Itu Autentikasi 2 Faktor
6. Konten tidak sesuai dengan website asli
Konten tidak sesuai dengan website asli | Sumber: Freepik.com/freepik
Aksi para penipu nggak cuma berhenti sampai di ngasih link palsu. Kamu juga perlu waspada sama isi website buatan mereka yang nggak sesuai sama website asli dari brand resmi.
Anggaplah kamu nggak sengaja klik link-nya. Kalau udah masuk, coba perhatikan baik-baik desainnya. Ada logo yang pecah-pecah, kombinasi warna yang agak beda dari brand asli, atau tata bahasa yang berantakan lantaran pakai Google Translate tanpa diedit? Besar kemungkinan itu penipuan.
Selain itu, cek juga fungsinya. Website asli biasanya punya menu navigasi yang lengkap dengan tombol 'About Us', 'Contact', 'Terms of Service', dan lain-lain yang bisa diklik. Terus, kamu bakal diarahkan ke halaman yang benar.
Sementara itu, di website phishing, biasanya tombol-tombol itu cuma jadi pajangan alias nggak bisa diklik. Kalaupun bisa diklik, larinya ke halaman itu-itu saja. Wajar, soalnya penipu cuma fokus pada formulir yang minta data kamu seperti username, password, nomor kartu ATM, dan PIN.
7. Domain situs yang tidak wajar
Domain situs yang tidak wajar | Sumber: Freepik.com/freepik
Cara mengenali link phishing yang terakhir adalah coba lihat akhiran dari website tersebut atau yang biasa disebut TLD (Top Level Domain).
Website resmi perusahaan besar di Indonesia biasanya pakai .com, .id, .co.id, atau .net. Kalau kamu dapat link yang akhirannya terasa asing seperti .xyz, .cc, .top, .click, atau .work, kamu wajib curiga.
Kenapa penipu pakai domain aneh begitu? Soalnya, harganya murah dan nggak butuh verifikasi identitas yang ketat. Domain seperti .co.id itu butuh dokumen resmi perusahaan buat membelinya, jadi penipu nggak bakal bisa punya.
Jadi, mereka bakal cari domain yang harga promonya cuma seribu perak biar kalau website-nya diblokir, mereka tinggal bikin yang baru lagi tanpa rugi banyak.
BACA JUGA: Manfaat Biometrik
Cara mengenali link phishing yang ampuh adalah periksa URL-nya dengan teliti, perhatikan detail kecil di website, dan abaikan serta blokir pesan dari akun nggak dikenal.
Akan lebih baik lagi kalau kamu coba tips yang udah disebutkan dengan autentikasi tambahan. Soalnya, lebih baik sedia payung sebelum hujan.
Misalnya, aplikasi GoPay selalu mengedepankan keamanan pengguna dengan sistem Trust & Safety yang super kuat. Terutama, dengan Jaminan Saldo Kembali buat pengguna GoPay Plus, fitur Touch ID dan Face ID, dan masih banyak lagi.
Nggak cuma itu, GoPay juga aktif memberikan edukasi berkelanjutan agar transaksi digital kamu tetap aman, nyaman, dan bebas dari penipuan. Jadi, yuk, tetap teliti di dunia digital supaya saldo dan data kamu tetap aman!
