Skip to content
OSINT Open Source IntelligenceDiscoverAnalyzeVerify
Kembali ke Learn
Phishing bankMenengah 8 menit

Halaman login yang mirip bank

Domain look-alike, sertifikat HTTPS, dan halaman login yang nyaris identik. Cara membaca URL sebelum mengetik password.

Skenario

Pak Hadi, 56 tahun, pensiunan PNS yang baru saja menerima dana pensiun. Hari Senin pagi sambil ngopi, masuk SMS dari pengirim BCA-Info. Isinya, Pelanggan Yth, transaksi mencurigakan terdeteksi di akun Anda. Aktivasi keamanan dalam 24 jam di https://klikbca.com-verify.cf, jika tidak akun akan diblokir. Pak Hadi panik, dana pensiun baru masuk minggu lalu. Dia klik, halaman terbuka dengan logo BCA, warna biru khas, bahkan ada gambar kunci kecil di address bar. Form login muncul minta User ID, password, dan kode OTP sekaligus dalam satu halaman. Jari Pak Hadi sudah di keyboard.

Cara membaca URL yang benar

  1. 01Cari titik (.) paling kanan sebelum tanda slash (/). Domain utama ada sebelum titik terakhir.
  2. 02Contoh: https://klikbca.com-verify.cf/login. Titik paling kanan sebelum slash adalah '.cf'. Berarti domain ini adalah 'com-verify.cf', bukan 'klikbca.com'. Itu domain phishing.
  3. 03Contoh sah: https://ibank.klikbca.com/login. Titik paling kanan adalah '.com'. Domain utamanya 'klikbca.com'. 'ibank' itu subdomain dari klikbca.com, sah.
  4. 04Cek umur domain di whois.com. Domain phishing sering baru dibuat beberapa hari sebelum kampanye.
  5. 05Cek di phishtank.org atau urlscan.io. Database publik yang sering sudah mendata URL phishing yang dilaporkan.

Di mana OSINT bekerja di cerita ini

URL itu sendiri sudah informasi terbuka, dia berbicara kalau kita mau membaca. OSINT di sini sangat sederhana, dia menerjemahkan tata bahasa URL. Lalu dia memakai database publik seperti urlscan.io dan phishtank.org, tempat ribuan orang sukarela melaporkan link phishing. Saat Pak Hadi memasukkan URL itu ke urlscan.io, dia melihat domain baru terdaftar 3 hari lalu, di-host di server Rusia, dan sudah dilaporkan 14 kali. Tidak ada satu bytes pun data Pak Hadi yang dia bagikan, tapi dia sudah punya keputusan yang aman.

Trik domain look-alike yang sering dipakai

  • Penggantian huruf: klikbca → klikbca-secure, klikbca-login, klikbca.id-verify.com.
  • TLD murah: .cf, .ga, .tk, .ml, .xyz. Bank resmi tidak pernah pakai TLD ini.
  • Homograph attack: bcа.com (huruf a di sini Cyrillic). Tampak identik di browser lama.
  • Subdomain palsu: bca.com.attacker.com. Banyak orang baca dari kiri dan kira itu bca.com.

Yang sering bikin orang tetap kejebak

Otak kita pemalas. Kalau lihat logo familiar, layout familiar, gembok HTTPS, kita langsung percaya. Penipu paham ini. Mereka investasi waktu untuk bikin halaman yang persis identik, bahkan beli sertifikat HTTPS gratis dari Let's Encrypt. Gembok itu cuma berarti koneksi tidak disadap di tengah jalan, bukan berarti tujuannya benar.

Aturan dari bank yang perlu diingat

  • Bank tidak pernah minta password lewat SMS, WhatsApp, atau telepon.
  • Bank tidak pernah minta OTP. OTP itu kunci, kalau kasih ke orang sama saja kasih ATM plus PIN.
  • Bank tidak pernah pakai TLD aneh atau subdomain mencurigakan.
  • Kalau ragu, telepon call center resmi yang tertera di kartu fisik, bukan nomor dari SMS.
Mata bisa ditipu, otak bisa malas. Tapi URL tidak pernah berbohong, asal kita mau baca pelan.
Disclaimer. Skenario di atas fiktif, disusun dari pola yang berulang muncul di laporan publik dan komunitas. Tujuannya melatih cara berpikir, bukan menuduh siapa pun.

Cerita terkait

Akun yang menyamar jadi tokoh publikBaca cerita →Loker palsu: tawaran kerja minta depositBaca cerita →