Apa itu smishing (SMS phishing)?
Jelajahi solusi smishing IBM Berlangganan pembaruan topik keamanan
Ilustrasi dengan kolase piktogram awan, ponsel, sidik jari, dan tanda centang.
Apa itu smishing?

Smishing adalah serangan rekayasa sosial yang menggunakan pesan SMS palsu untuk mengelabui orang agar mengunduh malware, berbagi informasi rahasia, atau mengirim uang ke penjahat siber. Istilah "smishing" adalah kombinasi dari "SMS"—atau "layanan pesan singkat", teknologi di balik pesan SMS—dan "phishing ".

Smishing adalah bentuk kejahatan dunia maya yang semakin populer. Menurut laporan State of the Phish 2023 dari Proofpoint (tautan berada di luar ibm.com), 76 persen organisasi mengalami serangan smishing pada tahun 2022. 

Beberapa faktor telah berkontribusi pada peningkatan smishing. Pertama, para peretas yang melakukan serangan ini, kadang-kadang disebut "smisher", tahu bahwa korban cenderung mengklik pesan SMS daripada tautan lainnya. Di saat yang sama, kemajuan dalam filter spam telah mempersulit bentuk-bentuk phishing lainnya, seperti email dan panggilan telepon, untuk mencapai target mereka. 

Meningkatnya penggunaan perangkat yang dibawa sendiri (BYOD) dan pengaturan kerja jarak jauh juga menyebabkan lebih banyak orang menggunakan perangkat seluler mereka di tempat kerja, sehingga lebih mudah bagi penjahat siber untuk mengakses jaringan perusahaan melalui ponsel karyawan.

IBM Security X-Force Threat Intelligence Index

Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan kecepatan dan efektivitas yang lebih tinggi dengan IBM Security X-Force Threat Intelligence Index.

Konten terkait

Daftar untuk memperoleh laporan Biaya Pelanggaran Data

Cara kerja serangan smishing

Serangan smishing mirip dengan jenis serangan phishing lainnya, di mana penipu menggunakan pesan palsu dan tautan berbahaya untuk menipu orang agar mau membobol ponsel, rekening bank, atau data pribadi mereka. Satu-satunya perbedaan utama adalah medianya. Dalam serangan smishing, para penipu menggunakan SMS atau aplikasi perpesanan untuk melakukan kejahatan siber mereka, bukan email atau panggilan telepon. 

Para penipu memilih smishing daripada jenis serangan phishing lainnya karena berbagai alasan. Mungkin yang paling penting, penelitian menunjukkan bahwa orang lebih cenderung mengklik tautan dalam pesan teks. Klaviyo melaporkan bahwa tingkat klik-tayang SMS berkisar antara 8,9 persen dan 14,5 persen (tautan berada di luar ibm.com). Sebagai perbandingan, email hanya memiliki tingkat klik rata-rata 1,33 persen, menurut Constant Contact (tautan berada di luar ibm.com). 

Selain itu, para penipu dapat semakin menutupi asal-usul pesan smishing dengan menggunakan taktik seperti memalsukan nomor telepon dengan telepon pembakar atau memanfaatkan perangkat lunak untuk mengirim teks melalui email. Juga lebih sulit untuk menemukan tautan berbahaya pada ponsel. Misalnya, di komputer, pengguna dapat mengarahkan kursor ke tautan untuk melihat ke mana tautan tersebut mengarah, tetapi di ponsel pintar, mereka tidak memiliki opsi tersebut. Orang-orang juga terbiasa dengan bank dan merek yang menghubungi mereka melalui SMS dan menerima URL yang dipersingkat dalam pesan teks.

Pada tahun 2020, Federal Communications Commission (FCC) mengamanatkan agar perusahaan telekomunikasi mengadopsi protokol STIR/SHAKEN (tautan berada di luar ibm.com), yang mengautentikasi panggilan telepon dan merupakan alasan mengapa beberapa ponsel sekarang menampilkan "scam yang kemungkinan" atau "spam yang kemungkinan" pesan ketika nomor yang mencurigakan menelepon. Namun, meskipun STIR/SHAKEN membuat panggilan penipuan lebih mudah dikenali, namun tidak memiliki efek yang sama pada pesan teks, sehingga membuat banyak penipu mengalihkan fokus mereka ke serangan smishing.

Contoh-contoh penipuan smishing

Seperti bentuk-bentuk rekayasa sosial lainnya, sebagian besar jenis serangan smishing bergantung pada pretexting, yaitu menggunakan cerita palsu untuk memanipulasi emosi korban dan mengelabui mereka untuk melakukan permintaan penipu.

Berpura-pura menjadi lembaga keuangan

Penipu mungkin menyamar sebagai bank korban yang memperingatkan mereka tentang masalah pada rekening mereka, sering kali melalui pemberitahuan palsu. Jika korban mengklik tautan tersebut, maka mereka akan dibawa ke situs web atau aplikasi palsu yang mencuri informasi keuangan rahasia seperti PIN, kredensial login, kata sandi, dan informasi rekening bank atau kartu kredit. Pada tahun 2018, sekelompok penipu (tautan berada di luar ibm.com) menggunakan metode ini untuk mencuri USD 100.000 dari nasabah Fifth Third Bank.

Berpura-pura menjadi pemerintah

Penipu mungkin berpura-pura menjadi petugas polisi, petugas kantor pajak, atau pejabat pemerintah lainnya. SMS smishing ini sering mengklaim korban berutang denda atau harus melakukan sesuatu untuk mendapatkan tunjangan dari pemerintah. Misalnya, pada puncak pandemi COVID-19, Komisi Perdagangan Federal (FTC) memperingatkan serangan smishing (tautan berada di luar ibm.com) yang menawarkan keringanan pajak, tes COVID gratis, dan layanan serupa. Ketika korban mengikuti tautan dalam SMS ini, scammer mencuri nomor jaminan sosial mereka dan informasi lain yang dapat mereka gunakan untuk melakukan pencurian identitas. 

Berpura-pura menjadi dukungan pelanggan

Penyerang menyamar sebagai agen dukungan pelanggan di merek dan peritel tepercaya seperti Amazon, Microsoft, atau bahkan penyedia nirkabel korban. Mereka biasanya mengatakan bahwa ada masalah dengan akun korban atau hadiah atau pengembalian dana yang tidak diklaim. Biasanya, SMS ini mengirim korban ke situs web palsu yang mencuri nomor kartu kredit atau informasi perbankan mereka.

Berpura-pura menjadi pengirim barang

Pesan-pesan smishing ini mengklaim berasal dari perusahaan pengiriman seperti FedEx, UPS, atau Layanan Pos AS. Mereka memberi tahu korban bahwa ada masalah saat mengirim paket dan meminta mereka untuk membayar “biaya pengiriman” atau masuk ke akun mereka untuk memperbaiki masalah. Kemudian para scammer mengambil uang atau informasi akun dan kabur. Penipuan ini biasa terjadi di sekitar liburan ketika banyak orang menunggu paket. 

Berpura-pura menjadi bos atau kolega

Dalam SMS bisnis penipuan (mirip dengan email bisnis penipuan, hanya melalui pesan SMS), peretas berpura-pura menjadi bos, rekan kerja atau kolega, vendor, atau pengacara yang membutuhkan bantuan dengan tugas mendesak. Penipuan ini sering kali meminta tindakan segera dan berakhir dengan korban mengirimkan uang kepada peretas.

Berpura-pura mengirim pesan ke nomor yang salah

Penipu mengirimkan teks yang tampaknya ditujukan untuk orang lain selain korban. Ketika korban mengoreksi "kesalahan" si penipu, si penipu akan memulai percakapan dengan korban. Penipuan melalui nomor yang salah ini cenderung bersifat jangka panjang, di mana penipu berusaha mendapatkan pertemanan dan kepercayaan korban melalui kontak berulang-ulang selama berbulan-bulan atau bahkan bertahun-tahun. Penipu bahkan mungkin berpura-pura mengembangkan perasaan romantis kepada korban. Tujuannya adalah untuk mencuri uang korban melalui peluang investasi palsu, permintaan pinjaman, atau cerita serupa.

Berpura-pura terkunci dari akun

Dalam penipuan ini, yang disebut penipuan otentikasi multifaktor (MFA), peretas yang telah memiliki nama pengguna dan kata sandi korban mencoba mencuri kode verifikasi atau kata sandi sekali pakai yang diperlukan untuk mengakses akun korban. Peretas mungkin berpura-pura menjadi salah satu teman korban, mengaku telah dikunci dari akun Instagram atau Facebook mereka, dan meminta korban untuk menerima kode untuk mereka. Korban mendapatkan kode MFA—yang sebenarnya untuk akun mereka sendiri—dan memberikannya kepada peretas.

Berpura-pura menawarkan aplikasi gratis

Beberapa penipuan smishing kecil-kecilan menipu korbannya untuk mengunduh aplikasi yang tampaknya aman—misalnya, pengelola file, aplikasi pembayaran digital, bahkan aplikasi antivirus—yang sebenarnya adalah malware atau ransomware

Smishing vs. phishing vs. vishing

Phishing adalah istilah luas untuk serangan siber yang menggunakan rekayasa sosial untuk mengelabui korban agar membayar uang, menyerahkan informasi sensitif, atau mengunduh malware. Smishing dan vishing hanyalah dua jenis serangan phishing yang dapat digunakan peretas pada korbannya. 

Perbedaan utama antara berbagai jenis serangan phishing adalah media yang digunakan untuk melakukan serangan. Dalam serangan smishing, peretas menargetkan korban mereka secara eksklusif menggunakan pesan teks atau SMS — sedangkan, dalam serangan vishing (kependekan dari "voice phishing"), peretas menggunakan komunikasi suara seperti panggilan telepon dan pesan suara untuk menyamar sebagai organisasi yang sah dan memanipulasi korban.

Melawan serangan smishing

Banyak pakar keamanan siber percaya bahwa smishing akan semakin umum terjadi di tahun-tahun mendatang. CISO Proofpoint Lucia Milică (tautan berada di luar ibm.com) berpendapat bahwa alat smishing akan muncul di pasar malware, yang memungkinkan para penipu yang tidak terlalu paham secara teknis untuk mengirim teks berbahaya.

Gartner memprediksi (tautan berada di luar ibm.com) peningkatan upaya phishing "multisaluran" yang menggabungkan SMS, email, panggilan telepon, dan saluran komunikasi lainnya. Sebagai contoh, Grup Lazarus, sebuah geng peretas yang didukung oleh Korea Utara, telah dikenal menggunakan taktik multisaluran. Kelompok ini menggunakan profil LinkedIn palsu untuk menyamar sebagai perekrut untuk bursa mata uang kripto (tautan berada di luar ibm.com), menghubungi korban dengan kedok mendiskusikan lowongan pekerjaan dan kemudian memindahkan percakapan dari LinkedIn ke SMS atau WhatsApp, yang lalu meminta mereka untuk mengunduh trojan horse atau malware lainnya. 

FCC (tautan berada di luar ibm.com) sedang mempertimbangkan peraturan yang mewajibkan penyedia layanan nirkabel untuk memblokir SMS spam. Namun, sementara itu, individu dan perusahaan dapat mengambil langkah-langkah penting untuk melindungi diri mereka sendiri:

  • Solusi keamanansiber seluler : Sistem operasi Android dan iOS memiliki perlindungan dan fungsi bawaan, seperti memblokir aplikasi yang tidak disetujui dan memfilter SMS yang mencurigakan ke folder spam. Di tingkat organisasi, perusahaan bisa menggunakan solusi manajemen titik akhir terpadu (UEM) untuk mengatur kontrol dan kebijakan keamanan seluler.

  • Pelatihan kesadaran keamanan: Melatih orang untuk mengenali tanda-tanda peringatan serangan siber dan upaya penipuan—seperti nomor telepon yang tidak biasa, URL yang tidak diharapkan, dan rasa urgensi yang meningkat—dapat membantu melindungi organisasi. Pelatihan juga dapat menetapkan aturan untuk menangani data rahasia, mengotorisasi pembayaran, dan memverifikasi permintaan sebelum menindaklanjutinya.

Solusi terkait
Solusi keamanan seluler

Hentikan ancaman keamanan seluler di perangkat apa pun sambil menciptakan pengalaman tanpa gesekan bagi pengguna dan menjaga tim TI dan keamanan tetap efisien.

Jelajahi solusi keamanan seluler
Deteksi dan pencegahan Ransomware

Deteksi ransomware sebelum dapat menyandera data Anda — dan ambil tindakan segera dan terinformasi untuk mencegah atau meminimalkan efek serangan — dengan IBM Security QRadar SIEM.

Jelajahi deteksi dan pencegahan ransomware
Deteksi dan respons terhadap ancaman

Tingkatkan investigasi dan triase peringatan dengan IBM Security QRadar Suite, pilihan teknologi keamanan yang telah dimodernisasi yang menampilkan pengalaman analis terpadu serta AI dan otomatisasi yang disematkan. 

Jelajahi deteksi dan respons ancaman
Sumber daya Apa itu phishing?

Penipuan phishing mengelabui korban untuk membocorkan data rahasia, mengunduh malware, dan mengekspos diri mereka sendiri atau organisasi mereka terhadap kejahatan siber.

Apa yang dimaksud dengan rekayasa sosial?

Serangan rekayasa sosial bergantung pada sifat manusia dan bukan pada peretasan teknis untuk memanipulasi orang agar mengorbankan keamanan pribadi mereka atau keamanan jaringan perusahaan.

Apa itu keamanan seluler?

Keamanan perangkat seluler artinya perangkat bebas dari bahaya atau risiko kehilangan aset atau kehilangan data menggunakan komputer seluler dan perangkat keras komunikasi

Ambil langkah selanjutnya

Ancaman keamanan siber menjadi lebih canggih, lebih gigih, dan menuntut lebih banyak upaya dari analis keamanan untuk menyaring peringatan dan insiden yang tak terhitung jumlahnya. IBM Security QRadar SIEM membantu memudahkan untuk memulihkan ancaman dengan lebih cepat sekaligus mempertahankan keuntungan Anda. QRadar SIEM memprioritaskan peringatan dengan fidelitas tinggi untuk membantu Anda menangkap ancaman yang dilewatkan orang lain.

Jelajahi QRadar SIEM Pesan demo langsung