Phishing kit adalah kumpulan alat perangkat lunak yang mempermudah individu dengan sedikit atau tanpa keterampilan teknis untuk meluncurkan eksploitasi phishing. Phishing adalah jenis penipuan internet di mana pelaku mengirimkan email atau pesan teks palsu yang tampaknya berasal dari sumber yang sah. Tujuannya adalah untuk menipu penerima agar melakukan tindakan tertentu yang menguntungkan penyerang—biasanya melibatkan mengklik tautan berbahaya, membuka lampiran yang terinfeksi, atau mengotorisasi transfer dana.
Kit phishing biasanya mencakup perangkat lunak pengembangan situs web dengan antarmuka pengguna grafis (GUI) sederhana berbasis low-code/no-code. Kit ini biasanya dilengkapi dengan template email, grafik, dan skrip sampel yang dapat digunakan untuk membuat tiruan korespondensi yang meyakinkan. Dengan biaya tambahan, beberapa kit juga dapat mencakup daftar alamat email, nomor telepon, dan perangkat lunak untuk mengotomatisasi proses distribusi malware.
Pakar keamanan merekomendasikan agar pengguna menghindari mengklik tautan dalam pesan tak terduga yang mengaku berasal dari situs tempat mereka memiliki transaksi keuangan. Jika ragu apakah pesan itu valid, pengguna disarankan untuk langsung mengunjungi situs resmi dan mencari informasi di sana atau menghubungi layanan pelanggan situs tersebut.
Kit Phishing sebagai Layanan (PaaS kits)
Menurut Cyren, penyedia keamanan berbasis SaaS, kit phishing berbasis cloud dapat ditemukan di dark web dengan harga mulai dari $50 per bulan. Ketika situs phishing dihosting di layanan cloud publik yang sah, penjahat dapat menggunakan domain dan sertifikat SSL yang tampak sah, yang dapat menipu bahkan pengguna yang paling berpengalaman untuk mengira halaman web atau email phishing itu terpercaya.
Eksploitasi Keamanan Populer
Kit phishing sering digunakan untuk melancarkan serangan keamanan siber berikut:
- Spear phishing – serangan spoofing email yang menargetkan organisasi atau individu tertentu untuk mendapatkan akses tidak sah ke informasi sensitif.
- Whaling – jenis serangan phishing yang secara khusus menargetkan karyawan tingkat tinggi, seperti CEO atau CFO.
- SMiShing – serangan keamanan di mana pengguna menerima pesan teks yang dirancang untuk menipu mereka agar mengunduh Trojan horse, virus, atau malware lainnya.
- Vishing – taktik penipuan elektronik yang dilakukan melalui email suara, VoIP (voice over IP), telepon rumah, atau ponsel.
Perkembangan terbaru dalam teknologi keamanan siber termasuk penggunaan kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk mendeteksi pola phishing secara lebih akurat. Selain itu, teknologi otentikasi multifaktor (MFA) dan sistem deteksi ancaman berbasis AI semakin banyak digunakan untuk mencegah keberhasilan serangan phishing.