Email spoofing merupakan bagian dari aktivitas phising dan spamming. Seseorang membuat dan mengirimkan email sama persis dengan email yang aslinya.
Seakan email tersebut dikirim secara resmi dari perusahaan aslinya. Email spoofing yang terlihat asli akan lebih mudah dibuka oleh penerima pesan karena tampak seperti email resmi.
Penipuan email spoofing ini, tentu memancing penerima email untuk membuka email tersebut, kemudian melakukan permintaan dari apa yang tertulis dalam email tersebut.
Email palsu seperti ini masih bisa dideteksi. Penggunaan tata Bahasa tentu tidak akan tampak professional, bahkan alamat email pengirim mungkin tidak resmi.
Apa isi dari email spoofing?
Tujuan utama dari email spoofing adalah mengelabui penerima pesan, supaya percaya bahwa email tersebut benar-benar dari seseorang yang ia kenal atau dari perusahaan resmi.
Memanfaatkan kepercayaan dari penerima pesan, kemudian mereka akan meminta penerima untuk membocorkan informasi atau mengambil tindakan.
Email spoofing bisa saja menggunakan logo perusahaan agar header email tampak seperti resmi. Mereka mungkin akan meminta penerima untuk mengklik sebuah tautan.
Dalam kasus PayPal, penerima pesan mungkin akan membuka tautan, kemudian mengautentikasi situs, dan mengubah kata sandi akun.
Jika berhasil, maka mereka akan memiliki kredensial untuk diautentifikasi ke akun PayPal penerima pesan yang ditargetkan. Hal ini dapat berpotensi untuk mencuri uang si penerima pesan.
Jika kasusnya ditargetkan kepada seorang karyawan pengurus keuangan, mungkin email ini akan meminta pengiriman sejumlah uang.
Berikut ini yang terjadi saat spoofing email masuk ke inbox Anda:
1, Menyembunyikan Identitas Asli Pengirim
2, Menghindari email spam dengan berpura-pura menjadi pengirim yang kredibel
3, Pura-pura menjadi sumber yang diketahui penerima
4, Meminta target melakukan tindakan, seperti mengirimkan sejumlah uang
5, Melakukan pencurian identitas
Statistik Email Phishing dan Email Spoofing
Email spoofing merupakan serangan cyber yang sangat menonjol saat ini. Berikut data statistiknya:
- 3,1 miliar email spoofing domain dikirim per hari.
- Lebih dari 90% serangan cyber dimulai dengan pesan email.
- Email spoofing dan phishing memiliki dampak di seluruh dunia yang menelan biaya sekitar $26 miliar sejak 2016.
- Pada 2019, FBI melaporkan bahwa 467.000 serangan siber berhasil, dan 24% di antaranya berbasis email.
- Penipuan rata-rata menipu pengguna dari $75.000.
Serangan umum yang menggunakan spoofing email adalah penipuan CEO, juga dikenal sebagai kompromi email bisnis (BEC).
Di BEC, penyerang memalsukan alamat email pengirim untuk menyamar sebagai eksekutif atau pemilik bisnis. Serangan ini biasanya menargetkan seorang karyawan di departemen keuangan, akuntansi, atau hutang.
Cara Mengetahui Email Palsu
Email yang dipalsukan akan direncanakan dengan sangat rapi, hingga tidak akan terdeteksi. Seseorang yang tidak paham, tidak akan merasakan jika email tersebut palsu.
Bagi seseorang yang lebih berpengalaman, mungkin tidak mudah tertipu. Berikut ini caranya agar kamu apakah email tersebut asli atau tidak.
Langkah 1
Cara pertama yang bisa kamu lakukan, melihat apakah alamat IP asal email resmi atau tidak. Jika hanya menggunakan alamat “@gmail.com” kemungkinan besar itu adalah alamat palsu.
Perusahaan yang professional tidak akan menggunakan alamat email “…@gmail.com”
Langkah 2
Google memberikan fitur spam email bukan tanpa alasan, Anda bisa memeriksa terlebih dahulu isi dari spam email ini.
Email mail yang berasal dari phishing email atau spoofing email cenderung akan masuk ke folder spam email.
Tidak tanggung-tanggung, Google yang sudah pintar juga akan memberikan peringatan seperti “This message seems dangerous”. Pesan tersebut merupakan indikasi terlaksananya email spoofing.
Langkah 3
Anda bisa membuat di tab show original. Temukan received dengan menekan CTRL + F dimana kita akan menemukan tool apa yang digunakan oleh si pengirim.
Cara Menghentikan Spoofing Email
Terapkan beberapa tool di bawah ini untuk melindungi email Anda.
- Sender Policy Framework (SPF)
- Domain Keys Identified Mail (DKIM)
- Domain-based Message Authentication, Reporting and Conformance (DMARC)
SPF
SPF merupakan tool untuk menguraikan alamat IP valid yang disetujui untuk mengirim email ke domain tertentu, tepatnya domain perusahaan, sehingga jika IP tidak valid tidak bisa mengirimkan email.
DKIM
DKIM merupakan metode untuk melakukan verifikasi email, apakah benar-benar dari pengirim atau mengaku sebagai pengirim.
Artinya, pesan tersebut dapat dilihat apakah berubah sejak dikirim pertama kali oleh server pengirim email.
Sistem versifikasi DKIM menggunakan kode privat dan kode public. Pemilik domain memasukkan kode public di DNS yang nantinya bisa digunakan server penerima email untuk memverifikasi pesan email yang diterimanya.
Ini dilakukan dengan memperbarui entri DNS domain email untuk menambahkan tanda tangan digital ke header pesan dan untuk memastikan bahwa email tetap tidak berubah sejak dikirim.
DMARC
DMARC adalah autentikasi email, pelaporan, dan protokol kebijakan yang menggunakan SPF dan DKIM untuk memberikan informasi tentang domain email (penyelarasan, kepatuhan, kegagalan, dan sebagainya.
Tindakan Pencegahan
Kita tidak pernah tahu kapan email palsu ini bisa masuk ke email domain perusahaan lewat pegawai kita. Maka dari itu, berikut tindakan pencegahan yang bisa Anda lakukan.
1. Gunakan Sertifikat Penandatanganan Email untuk Melindungi Email yang Dikirim
Sertifikat penandatanganan email, biasa disebut juga sertifikat S/MIME, merupakan sertifikat autentikasi pribadi.
Gunanya untuk membantu penerima email memverifikasi apakah email berasal dari Anda. Dapat diterapkan dengan dua metode:
- Menegaskan identitas melalui penggunaan tanda tangan digital yang unik, dan
- Gunakan enkripsi public key untuk menyediakan enkripsi end-to-end yang aman untuk email. Sebagian besar server email saat ini juga menggunakan enkripsi SSL/TLS.
Dengan menegaskan bahwa email tersebut berasal dari Anda, maka penerima email juga akan merasa yakin.
2. Sediakan Pelatihan Kejahatan Cyber pada Pegawai
Pelatihan bisa diadakan untuk pegawai agar mereka mampu untuk mengidentifikasi jika penipuan cyber sedang terjadi.
- Penggunaan bahasa, tata bahasa, dan tanda baca yang buruk.
- penggunaan bahasa yang menyampaikan rasa urgensi, untuk memacu pengguna untuk bertindak.
- Informasi yang tidak cocok atau tidak akurat di bidang “dari”. Misalnya nama pengirim yang tidak cocok dengan alamat email.
3. Selalu Waspada, Teliti, dan Hati-hati
Jangan langsung percaya pada informasi yang Anda terima via email, SMS, atua media social lainnya di internet.
Tujuan utama dari email spoofing adalah membuat urgensi kepada Anda, sehingga membuat Anda panic dan terpaksa melakukan apa yang diminta oleh isi email tersebut
Emosi Anda akan dipermainkan oleh email palsu tersebut. Jika email yang dikirimkan kepada Anda membuat Anda cemas, maka segera lakukan tindakan.
Coba lakukan konfirmasi kepada pihak yang berkaitan untuk memastikan kebenarannya. Misalnya saja Anda terpilih sebagai pemenang dari undian Shopee, coba konfirmasikan kepada pihak Shopee.
4. Jangan Langsung Klik Link
Mengidentifikasi link yang tertera pada email terlebih dahulu adalah langkah yang penting, jangan langsung mengklik link tersebut, berpotensi mencuri semua data.
Kesimpulan
Saat terjadi penipuan via email, penting bagi Anda untuk mampu mendeteksinya. Jangan pernah lengah dengan pesan email yang tampak mencurigakan.
Isinya akan penuh dengan kesalahan grammar, Bahasa yang tidak formal, dan alamat IP pengirim yang tidak jelas.
Anda bisa melakukan pelacakan dengan mencari tahu kebenaran jika pesan tersebut benar-benar berasal dari pihak yang disebutkan sebagai pengirim.
Biasanya email palsu akan mengatasnamakan pihak yang Anda kenal, seperti bos Anda, atau perusahaan resmi.
Demikian informasi yang dapat kami sampaikan tentang identifikasi dan pencegahan email spoofing, semoga informasi yang kami sampaikan tentang jenis website, bermanfaat bagi Anda. Bagi Anda yang masih bingung tentang pembuatan website dan SEO, segera hubungi jasa website Jogja atau jasa SEO Jogja sekarang juga.