Meski jadi salah satu platform komunikasi terpopuler di dunia, email kerap menjadi sasaran ancaman siber, salah satunya adalah phishing.
Email phishing terbukti ‘efektif’ dalam menipu korban dan sering menyasar data-data pribadi. Agar kamu tidak menjadi korban selanjutnya, kamu mesti mengetahui bagaimana cara menghindari email phishing.
Artikel ini akan menjelaskan apa itu email phishing dan cara menghindarinya. Yuk, disimak baik-baik!
Apa Itu Email Phishing?
Email phishing adalah serangan siber dengan mengirimkan email palsu untuk menipu korban.
Istilah ini lahir dari plesetan kata fishing (memancing), karena pelaku berusaha “memancing” informasi sensitif dari targetnya.
Biasanya, email phishing tampak seperti berasal dari sumber tepercaya dan berisi tautan atau formulir yang meminta korban memasukkan data pribadi seperti kata sandi atau nomor kartu kredit.
Selain melalui email, phishing juga bisa terjadi lewat media sosial, pesan teks, atau website.
Modusnya serupa: pelaku menyamar sebagai pihak resmi dan menawarkan promo, hadiah, atau bahkan ancaman agar korban mau mengeklik tautan atau memberikan data pribadinya.
Data yang didapat kemudian disalahgunakan atau dijual ke pihak lain untuk keuntungan pelaku.
Jenis-Jenis Email Phishing
Dalam prosesnya, ternyata email phishing memiliki sejumlah jenis yang memiliki target dan metode yang berbeda. Kamu mesti memahaminya agar tidak menjadi korban email phising.
1. Spear Phishing
Spear Phishing adalah jenis serangan phishing yang ditargetkan secara spesifik kepada individu atau kelompok tertentu, seperti karyawan di sebuah perusahaan, anggota organisasi, atau bahkan pengguna tertentu.
Berbeda dengan phishing umum yang mengirim email massal, spear phishing dirancang khusus untuk menipu korban tertentu dengan menggunakan informasi pribadi yang relevan.
Jadi, email akan disiapkan khusus untuk pengguna, dan sering kali menggunakan nama target, jabatan, atau informasi lainnya.
Di situ, pengirim akan mengaku sebagai pihak yang resmi, kemudian meminta korban untuk memverifikasi akun dengan mengeklik tautan mencurigakan/formulir yang meminta data-data sensitif korban.
2. Whaling
Sementara itu, Whaling adalah bentuk spear phishing yang menargetkan individu dengan posisi tinggi dalam organisasi, seperti CEO, CFO, atau eksekutif lainnya.
Serangan ini sering kali lebih canggih karena melibatkan penelitian mendalam tentang target dan menggunakan teknik manipulasi psikologis, hingga se-level CEO atau eksekutif pun bisa terpancing karena benar-benar terlihat sangat natural.
3. Clone Phishing
Jenis yang ketiga ini memiliki modus dengan membuat salinan (clone) email yang sah dan mengganti tautan atau lampiran berbahaya.
Email ini kemudian dikirim ke korban dan seolah-olah berasal dari sumber yang tepercaya.
Misal, kamu menerima email palsu yang tampak dikirimkan dari Shopee, kemudian tautan di dalamnya telah diubah pelaku ke halaman/website yang berbahaya.
Cara Kerja Email Phishing
Serangan email phishing bekerja dengan memanfaatkan teknik manipulasi dan penipuan untuk memancing korban agar mengungkapkan informasi pribadi atau merespon permintaan yang merugikan.
Berikut adalah langkah-langkah umum mengenai cara kerja serangan email phishing:
- Pelaku phising mengumpulkan informasi tentang target. Informasi ini bisa diperoleh dari berbagai sumber, seperti media sosial, website, atau bahkan daftar pelanggan.
- Pelaku membuat email palsu yang tampak berasal dari sumber yang tepercaya. Email tersebut biasanya berisi logo, alamat, atau nama domain yang mirip dengan sumber asli.
- Pelaku phising mengirim email tersebut ke target tertentu atau secara massal.
- Jika target mengeklik tautan, lampiran, atau mengsisi data pribadi ke formulir yang disediakan, pelaku phising dapat mencuri informasi pribadi atau data sensitif dari target.
Contoh Email Phishing
Sebagai gambaran bagi kamu supaya lebih berhati-hati dalam menanggapi email yang masuk, kami akan memberikan contoh email phishing yang sempat mencatut Kementerian Keuangan.
Dikutip dari situs hai.kemenkeu.go.id, pada hari Senin, 12 Juni 2023, telah terjadi percobaan email phishing yang mengatasnamakan Tim Penilai Kinerja Pusat dengan alamat email kinerja_pusat@kemenkeu.sg.
Email tersebut mengandung link berbahaya yang bisa mencuri data pribadi jika diklik oleh pegawai.

Berdasarkan contoh di atas, bisa kita lihat kalau pelaku menggunakan domain .sg (domain negara Singapura), alih-alih .go.id.
Untuk diketahui, semua Kementerian dan lembaga pemerintah yang lain hanya menggunakan domain .go.id, ya, Sahabat Qwords.
Kemudian, isi email juga diarahkan secara spesifik kepada seorang pegawai Kemenkeu, dengan menyertakan nama lengkapnya.
Terakhir, email ditutup dengan sebuah CTA yang mengandung link yang diduga mengarah ke situs/lampiran berbahaya jika diklik. Dilihat dari polanya, jelas ini adalah contoh dari spear phishing.
Ciri-Ciri Email Phishing
Mengingat bahwa email phishing ini bisa mengincar siapa saja, kamu sebaiknya membekali diri dengan memahami ciri-ciri email phishing, seperti:
- Alamat Pengirim yang Mencurigakan: Email datang dari alamat yang mirip dengan perusahaan resmi tetapi ada sedikit perbedaan, misalnya hal0bca@bca.co.id (mengganti huruf o menjadi angka nol) alih-alih halobca@bca.co.id.
- Subjek atau Isi Email yang Mendesak: Biasanya berisi ancaman seperti “Akun Anda akan diblokir!” atau “Segera perbarui informasi Anda!” untuk membuat panik. Bisa juga berupa iming-iming hadiah atau undian yang terdengar too good to be true.
- Tautan atau Lampiran yang Mencurigakan: Hati-hati dan jangan mudah untuk mengeklik tautan atau lampiran pada email yang mencurigakan, sebab kamu bisa diarahkan ke situs palsu yang mirip dengan website resmi. Terkadang, tautan disamarkan dengan URL yang telah dipendekkan (misalnya bit.ly/Ubah-Password) atau link aneh yang berbeda dengan situs aslinya.
- Permintaan Informasi Pribadi: Perusahaan resmi tidak akan pernah meminta username, password, nomor kartu kredit, atau kode OTP melalui email. Jika email meminta data sensitif, hampir pasti itu adalah phishing.
- Format & Tata Bahasa yang Aneh: Banyak kesalahan ejaan, tata bahasa yang janggal, atau terjemahan otomatis yang buruk. Jika berkaca pada contoh sebelumnya, penulisannya juga terkesan tidak profesional karena ada beberapa kesalahan. Misalnya, penulisan anda yang harusnya Anda (diawali dengan huruf kapital).
- Tidak Ada Personalisasi: Biasanya hanya menyapa dengan kata umum seperti “Dear Customer”, bukan menyebut nama asli penerima. Berbeda dengan layanan resmi yang biasanya menyertakan nama atau detail akun penerima.
Cara Menghindari Email Phishing
Email phishing bisa menipu siapa saja jika tidak berhati-hati. Untuk melindungi diri dari ancaman ini, berikut beberapa langkah yang bisa kamu lakukan:
1. Hati-Hati dengan Email yang Mencurigakan
Jangan langsung percaya saat kamu menerima email yang mengaku dari bank, perusahaan besar, atau instansi resmi jika meminta informasi pribadi.
Periksa dengan cermat alamat pengirim, karena email phishing kerap menggunakan alamat yang mirip dengan yang asli, tetapi ada perbedaan kecil.
Tak cuma itu, jangan tergesa-gesa saat menanggapi email. Penipu memang memainkan trik psikologis seperti ancaman akun diblokir atau tawaran hadiah menggiurkan agar korban segera bertindak cepat.
2. Jangan Klik Sembarangan Tautan dalam Email
Arahkan kursor-mu ke tautan sebelum mengeklik, dan periksa URL tujuan di bagian bawah browser. Jika terlihat mencurigakan atau berbeda dari situs resmi, jangan diklik, ya.
Kalau ragu, buka website resminya di browser secara manual, bukan lewat tautan email.
3. Jangan Unduh Lampiran dari Pengirim Tak Dikenal
File dari email phishing sering mengandung malware atau virus. Jika tidak yakin dengan pengirimnya, jangan coba-coba mengunduh atau membuka lampiran.
4. Aktifkan Autentikasi Dua Faktor (2FA)
Dengan 2FA, meskipun seseorang mencuri password kamu, mereka tetap tidak bisa masuk ke akunmu tanpa kode verifikasi tambahan.
Gunakan aplikasi autentikasi seperti Google Authenticator atau Microsoft Authenticator, bukan SMS.
5. Gunakan Email Filtering & Anti-Spam Protection
Aktifkan filter spam di layanan email kamu agar bisa otomatis menyaring email mencurigakan.
Jika menggunakan email bisnis, pastikan penyedia hosting yang kamu pakai dilengkapi dengan fitur antispam dan proteksi email yang kuat.
6. Selalu Cek Keaslian Website Sebelum Login
Sebelum memasukkan username dan password, pastikan website memiliki ikon gembok di tab browser, (tanda kalau website tersebut memiliki enkripsi SSL).
Perhatikan juga bagaimana desain dan responsivitas website yang akan kamu gunakan untuk login.
Tak kalah penting, hindari login dari email yang mencurigakan kalau kamu tidak ingin jadi korban email phishing.
7. Jangan Mudah Tergiur Hadiah atau Tawaran Tak Masuk Akal
Jika mendapatkan email yang mengatakan kamu memenangkan undian, hadiah besar, atau promo eksklusif padahal tidak pernah ikut serta, kemungkinan besar itu phishing.
8. Selalu Update Sistem & Software Keamanan
Pastikan sistem operasi, browser, dan antivirus selalu diperbarui untuk mengantisipasi celah keamanan yang bisa dimanfaatkan oleh phisher.
9. Laporkan dan Hapus Email Phishing
Segera laporkan sebagai spam agar sistem email bisa mengenali dan mencegahnya masuk ke kotak masuk di lain waktu.
Hindari Email Phishing Sekarang Juga!
Itulah ulasan mengenai email phishing. Berhati-hatilah ketika berkomunikasi melalui email, karena ancaman ini bisa mengancam siapa saja yang ceroboh.
Nah, dengan ulasan dan panduan pada artikel ini, semoga Sahabat Qwords bisa lebih aware lagi ketika menerima email. Semoga artikel ini bermanfaat!