Pada minggu lepas, sahabat saya Tn Wan Helman ada berkongsi satu poster oleh Bank Negara Malaysia mengenai ancaman penipuan phishing di satu group whatsapp Hijrah Ekonomi. Ia adalah satu group whatsapp yang memfokuskan kesedaran hijrah dari produk kewangan konvensional kepada produk kewangan patuh shariah
Lepas je dia berkongsi poster tersebut, ada seorang ahli bertanya
“Macam mana nak elak penipuan phishing?”
Sebelum tu, apa kata kita ambil tahu dulu apa itu Phishing. Pishing tau, bukan Phishang. Pishang tu bahasa budak-budak wechat nak beritahu yang dorang bosan
Phishing dalam bahasa melayu dipanggil sebagai memancing data. Ia adalah aktiviti jenayah untuk mendapatkan maklumat sensitif peribadi seperti nama, nama pengguna (userID), kata laluan, dan butiran kad kredit dengan menyamar sebagai sebuah entiti yang boleh dipercayai seperti bank, penyedia perkhidmatan kewangan dan sebagainya
Bagaimana modus operandi mereka?
Mereka akan memperdayakan pengguna melalui penghantaran email atau sistem pesanan ringkas. Dalam mesej tersebut mereka mengarahkan pengguna untuk login laman sesawang palsu yang kelihatan seperti laman sesawang sebenar dengan klik pautan terbenam (deep link) yang diberikan dan memasukkan butiran pengguna peribadi pada laman web laman web tersebut
Lepas je dapat maklumat sensitif peribadi tersebut, mereka akan melakukan transaksi pemindahan wang tanpa izin atau melakukan jenis penipuan yang lain
Jadi macam mana nak elak phishing
- Jangan menekan apa-apa pautan link UNTUK LOG MASUK sistem perbankan dalam talian atau apa-apa penyedia perkhidmatan kewangan. Ingat, disebabkan jenayah phishing ni, bank-bank telah membuat ketetapan tidak akan menghantar apa-apa pautan untuk pengguna log masuk melalui mesej yang mereka berikan
- Pastikan anda log masuk sistem perbankan atau mana-mana penyedia perkhidmatan kewangan melalui laman sesawang rasmi mereka. Ini adalah antara tip pencegahan yang terbaik
Tapi saya percaya, tak semua daripada kita ingat laman rasmi. Jangan kata orang lain lah, aku pun tak ingat juga. Jadi dekat sini aku nak beri sedikit tip
A) Kalau penyedia perkhidmatan kewangan tu melibatkan agensi berkaitan kerajaan seperti KWSP, mereka akan menggunakan domain yang diakhir .gov.my. Domain .gov.my hanya boleh digunakan oleh agensi berkaitan kerajaan sahaja. Jadi amat sukar penipu nak menipu menggunakan domain tersebut kerana dikawal ketat penggunaanya
B) Jika melibatkan perkhidmatan swasta, pastikan domain laman sesawang mereka diakhiri dengan .com.my atau .my. Domain yang diakhiri oleh .com.my dan .my ni hanya boleh digunakan oleh syarikat yang berdaftar di Malaysia sahaja. Masa nak beli domain ni, pihak kawal selia akan minta dokumen pendaftaran syarikat
C) Pastikan laman tersebut menggunakan https dan bukan sekadar http. HTTPS lebih selamat. nak tahu lebih lanjut perbezaannya, korang tanya pak sheikh google
- Sistem perbankan sekarang dah menggunakan sistem 2 key factor authentication (2FA) dalam nak mengelakkan jenayah siber. melalui sistem ni, kalau nak login sesuatu laman sesawang, tak cukup dengan hanya tahu password. satu kod rahsia akan dihantar melalui aplikasi atau mesej untuk pengesahan. ini dipanggil sebagai on time code (OTC) atau one time password (OTP)
Ingat! OTP ni hanya untuk korang sahaja. Orang lain tak boleh tahu walaupun pihak bank sekalipun. Jadi jangan pernah dedah kepada sesiapa saja. tak kisah lah melalui mesej ke, email ke mahupun panggilan telefon. tak kisah lah apa alasan yang diberikan. tersalah no lah, tersalah hantar lah, kesilapan sistem dan macam-macam lagi. ini semua bohong je
Ok itu sahaja perkongsian aku pada kali ni
Ingat, gaji kecil takpe asalkan pandai urus kewangan