Apa itu smishing (SMS phishing)?

Smishing merupakan bentuk kejahatan siber yang semakin populer. Menurut laporan State of the Phish 2024 dari Proofpoint, 75% organisasi mengalami serangan smishing pada tahun 2023.¹

Beberapa faktor telah berkontribusi pada peningkatan smishing. Pertama, para peretas yang melakukan serangan ini, kadang-kadang disebut "smisher", tahu bahwa korban cenderung mengklik pesan SMS daripada tautan lainnya. Di saat yang sama, kemajuan dalam filter spam telah mempersulit bentuk-bentuk phishing lainnya, seperti email dan panggilan telepon, untuk mencapai target mereka. 

Meningkatnya penggunaan bring your own device (BYOD) dan pengaturan kerja jarak jauh juga menyebabkan lebih banyak orang menggunakan perangkat seluler mereka di tempat kerja, sehingga lebih mudah bagi penjahat siber untuk mengakses jaringan perusahaan melalui ponsel karyawan.

Serangan smishing mirip dengan jenis serangan phishing lainnya, yaitu dengan penipu menggunakan pesan palsu dan tautan berbahaya untuk menipu orang agar dapat membobol ponsel, rekening bank, atau data pribadi mereka. Perbedaan utamanya adalah medium. Dalam serangan smishing, para penipu menggunakan SMS atau aplikasi perpesanan untuk melakukan kejahatan siber mereka, bukan email ataupun panggilan telepon.

Para penipu memilih smishing daripada jenis serangan phishing lainnya karena berbagai alasan. Penelitian menunjukkan bahwa orang lebih cenderung mengklik tautan dalam pesan SMS. Klaviyo melaporkan bahwa tingkat klik-tayang SMS berkisar antara 8,9% dan 14,5%.² Sebagai perbandingan, email memiliki tingkat klik rata-rata 2%, menurut Constant Contact.³

Selain itu, para penipu dapat menutupi asal-usul pesan smishing dengan menggunakan taktik seperti memalsukan nomor telepon dengan telepon burner atau menggunakan perangkat lunak untuk mengirim teks melalui email.

Tautan berbahaya pada ponsel juga lebih sulit disadari. Di komputer, pengguna dapat mengarahkan kursor ke tautan untuk melihat ke mana arahnya. Di smartphone, mereka tidak memiliki opsi itu. Orang-orang juga terbiasa dengan bank dan merek yang menghubungi mereka melalui SMS dan menerima URL yang dipersingkat dalam pesan teks.

Pada tahun 2020, Federal Communications Commission (FCC) mengamanatkan agar perusahaan telekomunikasi mengadopsi protokol STIR/SHAKEN. STIR/SHAKEN mengautentikasi panggilan telepon dan merupakan alasan mengapa beberapa ponsel sekarang menampilkan pesan "kemungkinan scam" atau "kemungkinan spam" ketika nomor yang mencurigakan menelepon.

Saat ini, aturan ini membuat panggilan penipuan lebih mudah untuk dikenali, namun tidak memiliki efek yang sama pada pesan teks, sehingga banyak penipu mengalihkan fokus mereka ke serangan smishing.

Seperti bentuk-bentuk rekayasa sosial lainnya, sebagian besar jenis serangan smishing bergantung pada pretexting, yaitu menggunakan cerita palsu untuk memanipulasi emosi korban dan mengelabui mereka untuk melakukan permintaan penipu.

Penipu mungkin menyamar sebagai bank korban yang memperingatkan tentang masalah pada rekening mereka, sering kali melalui pemberitahuan palsu. Jika korban mengklik tautan tersebut, maka mereka akan dibawa ke situs web atau aplikasi palsu yang mencuri informasi keuangan rahasia seperti PIN, kredensial login, kata sandi, dan informasi rekening bank atau kartu kredit.

Menurut Federal Trade Commission (FTC), peniruan nama bank adalah penipuan pesan teks yang paling umum terjadi, mencapai 10% dari semua pesan smishing.⁴

Penipu mungkin berpura-pura menjadi petugas polisi, perwakilan IRS atau pejabat instansi pemerintah lainnya. SMS smishing ini sering mengklaim korban berutang denda atau harus melakukan sesuatu untuk mendapatkan tunjangan dari pemerintah.

Sebagai contoh, pada bulan April 2024, Biro Investigasi Federal (FBI) mengeluarkan peringatan tentang penipuan smishing yang menargetkan pengemudi di Amerika Serikat.⁵ Para penipu mengirimkan pesan teks yang berpura-pura berasal dari agen penagihan tol dan mengklaim bahwa target memiliki utang tol yang belum dibayar. Pesan-pesan tersebut berisi tautan ke situs palsu yang mencuri uang dan informasi korban.

Penyerang menyamar sebagai agen dukungan pelanggan di merek dan peritel tepercaya seperti Amazon, Microsoft, atau bahkan penyedia layanan nirkabel korban. Mereka biasanya mengatakan bahwa ada masalah dengan akun korban atau hadiah atau pengembalian dana yang tidak diklaim. Biasanya, SMS ini mengirim korban ke situs web palsu yang mencuri nomor kartu kredit atau informasi perbankan mereka.

Pesan-pesan smishing ini mengklaim berasal dari perusahaan pengiriman seperti FedEx, UPS, atau Layanan Pos AS. Mereka memberi tahu korban bahwa ada masalah dalam pengiriman paket dan meminta korban untuk membayar “biaya pengiriman paket” atau masuk ke akun mereka untuk memperbaiki masalah tersebut. Kemudian, para scammer mengambil uang atau informasi akun dan kabur. Penipuan ini biasa terjadi di sekitar liburan ketika banyak orang menunggu paket.

Dalam SMS bisnis penipuan (mirip dengan email bisnis penipuan, hanya melalui pesan SMS), peretas berpura-pura menjadi bos, rekan kerja atau kolega, vendor, atau pengacara yang membutuhkan bantuan dengan tugas mendesak. Penipuan ini sering kali meminta tindakan segera dan berakhir dengan korban mengirimkan uang kepada peretas.

Penipu mengirimkan teks yang tampaknya ditujukan untuk orang lain selain korban. Ketika korban mengoreksi "kesalahan" si penipu, si penipu akan memulai percakapan dengan korban.

Penipuan melalui nomor yang salah ini cenderung bersifat jangka panjang, di mana penipu berusaha mendapatkan pertemanan dan kepercayaan korban melalui kontak berulang-ulang selama berbulan-bulan atau bahkan bertahun-tahun. Penipu mungkin juga akan berpura-pura mengembangkan perasaan romantis kepada korban. Tujuan adalah mencuri uang korban melalui peluang investasi palsu, permintaan pinjaman, atau cerita serupa.

Dalam penipuan ini, yang disebut penipuan otentikasi multifaktor (MFA), peretas yang telah memiliki nama pengguna dan kata sandi korban mencoba mencuri kode verifikasi atau kata sandi sekali pakai yang diperlukan untuk mengakses akun korban.

Peretas mungkin berpura-pura menjadi salah satu teman korban, mengaku telah dikunci dari akun Instagram atau Facebook mereka, dan meminta korban untuk menerima kode untuk mereka. Korban mendapatkan kode MFA—yang sebenarnya untuk akun mereka sendiri—dan memberikannya kepada peretas.

Beberapa penipuan smishing menipu korbannya untuk mengunduh aplikasi yang tampaknya aman—misalnya, pengelola file, aplikasi pembayaran digital, bahkan aplikasi antivirus—yang sebenarnya adalah malware atau ransomware.

Phishing adalah istilah luas untuk serangan siber yang menggunakan rekayasa sosial untuk mengelabui korban agar membayar uang, menyerahkan informasi sensitif atau mengunduh malware. Smishing dan vishing hanyalah dua jenis serangan phishing yang dapat digunakan peretas pada korbannya.

Perbedaan utama antara berbagai jenis serangan phishing adalah media yang digunakan untuk melakukan serangan. Dalam serangan smishing, peretas menargetkan korbannya menggunakan pesan teks atau SMS. Dalam serangan vishing (kependekan dari "voice phishing"), para peretas menggunakan komunikasi suara seperti panggilan telepon dan pesan suara untuk berpura-pura sebagai organisasi yang sah dan memanipulasi korban.

Untuk membantu memerangi penipuan smishing, FCC mengadopsi aturan baru yang memerintahkan penyedia layanan nirkabel untuk memblokir teks spam yang mungkin berasal dari nomor yang mencurigakan, seperti nomor telepon yang tidak terpakai atau tidak valid.⁶

Namun, tidak ada filter spam yang sempurna, dan penjahat siber selalu mencari cara untuk menyiasati langkah-langkah ini. Individu dan organisasi dapat mengambil langkah tambahan untuk memperkuat pertahanan mereka terhadap serangan smishing, termasuk:

Sistem operasi Android dan iOS memiliki perlindungan dan fungsi bawaan, seperti memblokir aplikasi yang tidak disetujui dan memfilter teks yang mencurigakan ke folder spam.

Di tingkat organisasi, perusahaan dapat menggunakan solusi manajemen titik akhir terpadu (UEM) dan alat deteksi penipuan untuk mengatur kontrol keamanan mobile, menegakkan kebijakan keamanan, dan mencegat aktivitas berbahaya.

Organisasi dapat menghentikan lebih banyak penipuan dengan melatih karyawan untuk mengenali tanda-tanda peringatan serangan siber dan upaya smishing, seperti nomor telepon yang tidak biasa, pengirim yang tidak dikenal, URL yang tidak terduga, dan rasa urgensi yang tinggi.

Banyak organisasi menggunakan simulasi smishing untuk membantu karyawan mempraktikkan keterampilan keamanan siber baru. Simulasi ini juga dapat membantu tim keamanan mengungkap kerentanan dalam sistem komputer dan kebijakan organisasi yang dapat mengekspos bisnis terhadap penipuan.

Organisasi dapat memperbaiki kerentanan ini dengan menggabungkan alat deteksi ancaman dengan kebijakan untuk menangani data sensitif, memberikan otorisasi untuk pembayaran, dan memverifikasi permintaan sebelum menindaklanjutinya.