PayPal merupakan sistem pambayaran secara elektronik yang menggantikan transaksi konvensional berupa cek dan transfer uang. Mempunyai PayPal, ibaratnya memiliki rekening secara online yang dapat digunakan untuk membeli produk dan menerima dana dari orang yang mempunyai akun PayPal ataupun kartu kredit.
PayPal dapat mengakses akun di manapun dan kapanpun, melakukan pembayaran dengan sumber dana baik dari kartu kredit, kartu debit ataupun rekening bank. Walau tak secara khusus ditujukan untuk para penjual, namun PayPal mempermudah pengelola toko online. Baru-baru ini, peneliti ESET melihat situs web palsu yang menyamar sebagai PayPal dan berupaya menipu pengguna agar menyerahkan kredensial akses mereka ke layanan pembayaran.
Seperti umumnya dengan kampanye phising, pelaku menggunakan taktik menakut-nakuti korban yang mendorong mereka untuk mengambil tindakan tergesa-gesa. Taktik di sini melibatkan email spam yang memberi peringatan tentang ‘unusual activity’ atau aktivitas tidak biasa di akun korban, yang secara persuasif mendorong mereka untuk mengamankannya dan menghindari kerugian finansial.
Jika tautan dalam email spam phising diklik, korban akan dibawa ke halaman PayPal palsu yang menegaskan kembali adanya peretasan akun yang akan semakin membuat korban semakin percaya bahwa akun mereka dalam bahaya.
Rasa urgensi buatan bukan satu-satunya tanda untuk memberi tahu bahwa ada sesuatu yang salah. Sinyal lain yang bisa menjadi pertanda adalah termasuk URL ganjil (meskipun sebagian dikaburkan di sini karena alasan keamanan), bahasa Inggris di bawah standar, surat yang terpotong, dan penggunaan CAPTCHA.
Jika Anda tenggelam dalam tipuan tersebut, Anda akan dibawa ke antarmuka login yang dibuat untuk melihat bagian dari proses login dua langkah PayPal yang asli. Setelah Anda memberikan nama pengguna dan kata sandi, Anda diminta untuk ‘memverifikasi akun Anda’ dengan memberikan informasi pribadi tambahan.
Pada tahap ini, Anda telah menyerahkan kredensial login PayPal Anda; namun, para scammer berusaha mengumpulkan lebih dari itu. Dalam serangkaian langkah Anda diminta untuk menyerahkan serangkaian informasi sensitif, termasuk data kartu kredit atau debit, akses kredensial ke rekening bank yang ditautkan ke kartu dan, terakhir, login ke akun Anda, akun email.
Hingga akhirnya, Anda diberi tahu bahwa akses ke akun PayPal Anda telah dipulihkan. Sejak saat itu tanpa disadari, sebagian besar kehidupan digital Anda ada di tangan para penjahat, yang dapat menggunakannya untuk pencurian identitas dan segala macam penipuan, baik di dalam maupun di luar internet.
Nama domain
Meskipun jelas dapat dibedakan dari layanan tiruannya, nama-nama situs web jahat yang terlihat dalam penipuan ini berupaya memberikan kesan sebagai titik kontak aktual bagi pengguna PayPal yang mengalami masalah dalam mengakses akun mereka. Beberapa nama domain palsu telah digunakan.
Selain itu, kehadiran gembok hijau di sebelah kiri URL menjadi saksi tren baru, di mana banyak situs phising menggunakan sertifikat SSL (Secure Socket Layer) otentik untuk meningkatkan aura legitimasi mereka. Seperti yang ditunjukkan pada Gambar, salah satu domain yang menampung penipuan telah didaftarkan dan menerima sertifikat SSL yang valid awal bulan ini.
Komponen penutup
Sama seperti ancaman lain di dunia maya, serangan phising datang dalam berbagai bentuk dan cara yang terus berkembang. Namun, seperti yang diperlihatkan di atas, taktik social engineering tetap menjadi inti dari penipuan semacam itu. Bagaimanapun, dengan memangsa kelemahan manusia, penjahat dunia maya biasanya mengambil jalan dengan risiko seminimal mungkin. Bagi para korban, bahkan penyimpangan sesaat dalam pengambilan keputusan atau fokus yang terpecah sesaat dapat menjadi konsekuensi yang buruk dan merugikan.
Perlu dicatat bahwa ESET tidak menemukan bukti bahwa kampanye ini menghasilkan instalasi perangkat lunak berbahaya pada mesin korban. Dan karena penipuan ini dimulai dengan email phising, tindakan pencegahan yang biasa dilakukan akan membantu Anda tetap aman.
Sebagai permulaan, Anda harus berhati-hati dengan segala notifikasi dadakan yang meminta memasukkan informasi sensitif Anda, dan menahan keinginan untuk mengklik tautan atau mengunduh lampiran. Hati-hati terhadap penyimpangan dalam URL tempat Anda memasukkan data sensitif. Memang, untuk menambah kepastian, tidak ada salahnya untuk mengetik nama situs web ke dalam browser secara manual, atau menggunakan bookmark yang disimpan sebelumnya.