Situs tiruan itu jebakan yang dirancang supaya kamu tidak sadar sedang ditipu. Tampilannya dibuat semirip mungkin dengan aslinya, lalu disebar lewat pesan, iklan, atau hasil pencarian. Begitu kamu memasukkan data di sana, data itu langsung berpindah ke tangan pelaku.
Yang bikin licik, situs ini sering muncul justru saat kamu sedang buru-buru atau panik. Untungnya, ada beberapa tanda yang bisa kamu kenali dalam hitungan detik kalau tahu cara melihatnya.
Ini langkah paling penting, dan paling sering dilewati. Pelaku suka memakai nama yang nyaris identik dengan aslinya, cuma beda satu huruf atau menambah kata. Misalnya mengganti huruf O dengan angka 0, menambah tanda hubung, atau menempelkan kata seperti "login" atau "resmi" di tengah alamat.
Sekilas mata kita membaca nama brand-nya saja dan menganggap benar. Jadi biasakan membaca alamat lengkap di kolom browser pelan-pelan, dari awal sampai akhir. Kalau ada yang terasa janggal walau cuma sedikit, berhenti dulu.
Trik yang dipakai pelaku biasanya main di bagian yang gampang terlewat: angka yang menyaru jadi huruf, subdomain panjang yang menyembunyikan domain asli di belakang, atau akhiran domain yang berbeda dari yang resmi.
Banyak orang mengira kalau ada ikon gembok berarti situs pasti aman. Itu setengah benar. Gembok cuma menandakan koneksinya terenkripsi, bukan menandakan pemilik situsnya jujur.
Sekarang situs palsu pun gampang dapat HTTPS gratis, jadi mereka juga punya gembok. Artinya gembok saja tidak membuktikan apa-apa soal keaslian. Yang membuktikan adalah kombinasinya: gembok HTTPS plus alamat domain yang benar. Dua-duanya harus cocok, baru kamu boleh tenang.
Sebagian besar serangan phishing dimulai dari tautan yang dikirim ke kamu, lewat WhatsApp, SMS, email, atau kolom komentar. Tautannya dibungkus pesan yang memancing, entah hadiah, peringatan, atau tawaran yang terdengar enak.
Aturan amannya sederhana: jangan login lewat tautan dari pesan orang. Kalau kamu memang perlu mengakses sebuah situs, buka sendiri lewat bookmark atau ketik alamatnya langsung. Dengan begitu kamu memutus jalur yang paling sering dipakai pelaku.
Naluri yang paling melindungi adalah berani berhenti saat ada yang terasa aneh. Tidak ada hadiah atau peringatan yang nilainya sepadan dengan akun yang dibobol. Jadi kalau sebuah halaman membuatmu ragu, tutup saja, lalu akses situs resmi lewat jalur yang kamu percaya.
Mengenali phishing itu bukan soal jadi ahli teknologi. Cukup dengan satu kebiasaan: membaca alamat sebelum mengetik apa pun, dan tidak gampang percaya pada tautan yang datang sendiri ke kamu.