Bagi sebagian orang, phising seperti ini tidaklah penting untuk diperhatikan,  namun perlu diketahui bahwa phising adalah tindakan yang bisa sangat merugikan apabila data email yang tersimpan adalah email-email penting seperti account bank, account perusahaan, koleksi password, photo bareng selingkuhan dan lain-lain. Apakah sudah terbayang akibat yang dapat terjadi bila informasi pribadi Anda dicuri orang?

Phising sebenarnya termasuk dalam kategori tindak kejahatan cyber tingkat ringan, namun bahaya yang ditimbulkan bisa sangat fatal sesuai dengan seberapa penting data yang berhasil dicuri oleh pelaku. Email phising, seringkali dibuat semirip dan se-luwes mungkin agar korban dapat terperdaya. Sebagian besar, phising digunakan untuk mencuri account bank, account credit card, account email. Pada umumnya email phising akan dikenali sebagai spam oleh penerima karena beberapa email server akan memberikan flag SPAM atau JUNK bila email dikirimkan ke ratusan user secara bersamaan.

Berikut isi email tersebut:

Dear Account User,

This Email is from Hotmail/Live Customer Care and we are sending it to every Email User Accounts Owner for safety. We are having congestions due to the anonymous registration of Hotmail/Live accounts so we are shutting down some Hotmail/Live accounts and your account was among those to be deleted.

We also noticed a violation use of your account and if you think you have not violated the Terms and Condition of Hotmail/Live, please verify below with information requested

You will have to confirm your E-mail by filling out your Login Information below after clicking the reply button, or your account will be suspended within 48 hours for security reasons.

* Username: ……………………
* Password: ……………………
* Date of Birth: ……………….
* Country Or Territory: …………

After following the instructions in the sheet, your account will not be interrupted and will continue as normal. Thanks for your attention to this request. We apologize for any inconveniences.

Warning: Account owner that refuses to update his/her account after two weeks of receiving this warning will lose his or her account permanently.

Sincerely,

The Windows Live Hotmail/Live Team.

Beberapa hal yang agak janggal dari email diatas adalah respon mail server saya yang memberikan flag sebagai SPAM, setelah ditelusuri ternyata sender juga bukan berasal dari microsoft, selain itu email ini juga berisi ancaman. Adapun microsoft tidak pernah meminta username dan password dalam bentuk letter seperti email diatas, maintenance username dan password selalu dilakukan di halaman windows live itu sendiri.

Pagi ini saya mendapat kiriman email yang terdeteksi sebagai SPAM. SPAM bagi saya memang sudah hal biasa dan tidak pernah menarik perhatian atau tertarik untuk membacanya, namun kali ini dengan beberapa menjadi perhatian saya ketika email itu bertitle “Verify your Public Bank account” saya ingin tahu seberapa rapi pengemasan email phising ini:

Dear Public Bank Customer,

We are currently performing regular maintenance of our security measures. Your account has been selected to be verified and you will now have to be taken to a series of verification process to validate your identity, if you want to continue to use your account normally. If we don’t receive any response from you we are allowed to suspend
your account. A verification page will appear after you Log In into your account.

Protecting the security of your account is our primary concern, and we apologize for any inconvenience this may cause .

Please login at: Secure page or www.pbebank.com.my/

Copyright  ©  2010 Public Bank Berhad .

Setelah membaca dan memperhatikan email ini, layaknya email konfirmasi dari bank beneran maka dianjurkan untuk login ke sebuah website yang dalam kasus ini adalah bank PBE di malaysia, setelah saya lihat link website yang diberikan ternyata tidak sesuai website milik bank PBE, namun diarahkan ke sebuah subdomain lain, like this:

http://highclasstravel.plus.com/

Ini merupakan kekurangan si spammer yang tidak mau berusaha lebih baik dengan membuat domain yang lebih mirip dengan official websites bank PBE. Namun jangan salah, saya yakin bahwa banyak juga orang yang tertipu dengan metode ini. Kurangnya pengetahuan masih atau malah penyakit “sotoy” menjadi momok dan santapan empuk bagi penjahat cyber atau yang biasa disebut cracker, carder, phiser dan lain-lain. Disi lain, sebagai tim Information System Support di kantor saya juga harus memberikan perlindungan ke seluruh karyawan agar terhindar dari email-email seperti ini. Satu hal yang harus dilakukan adalah dengan mencari sumber email, caranya tidak sulit atau bisa dibilang cukup mudah, yakni dengan melihat full header email tersebut kemudian dilakukan blocking terhadap source smtp ataupun domain sender. Berikut full header dari email yang bersangkutan:

Return-Path: on-line-public@mycen.com.my
Received: from mail.hostku.com (LHLO mail.hostku.com) (202.12.67.88)
by mail.hostku.com with LMTP; Sun, 7 Feb 2010 10:09:23 +0700 (WIT)
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.hostku.com (Postfix) with ESMTP id 05EA089009F
for <david@hostku.com>; Sun,  7 Feb 2010 10:09:23 +0700 (WIT)
X-Virus-Scanned: amavisd-new at lerindro.com
X-Spam-Flag: YES
X-Spam-Score: 11.098
X-Spam-Level: ***********
X-Spam-Status: Yes, score=11.098 tagged_above=-10 required=6.6
tests=[AV:HTML.Phishing.Pay-271=0.1, BAYES_00=-2.599,
FH_DATE_PAST_20XX=3.188, FORGED_MUA_OUTLOOK=3.116,
FORGED_OUTLOOK_HTML=0.001, HTML_IMAGE_ONLY_20=1.546,
HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.457, MISSING_HEADERS=1.292,
TVD_PH_SUBJ_ACCOUNTS_POST=2.996] autolearn=no
Received: from mail.hostku.com ([127.0.0.1])
by localhost (mail.hostku.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id XA+Mx8+LSyiJ; Sun,  7 Feb 2010 10:09:15 +0700 (WIT)
Received: from online.garston.com (online.Garston.com [207.190.213.197])
by mail.hostku.com (Postfix) with ESMTPS id A4D30890066
for <myaddress@hostku.com>; Sun,  7 Feb 2010 10:09:07 +0700 (WIT)
Received: from online.garston.com (localhost.localdomain [127.0.0.1])
by online.garston.com (8.13.8/8.13.8) with ESMTP id o1731235014506
for <david@hostku.com>; Sat, 6 Feb 2010 22:01:25 -0500
Received: from User (host213-120-117-224.in-addr.btopenworld.com [213.120.117.224])
by online.garston.com (Scalix SMTP Relay 11.2.0.11121)
via ESMTP; Sat, 06 Feb 2010 21:57:13 -0500 (EST)
Date: Sun, 7 Feb 2010 02:57:13 +0000
From: “on-line-public@mycen.com.my”<on-line-public@mycen.com.my>
Message-ID: <6151.42441265511433.online.garston.com@MHS>
Subject: [SPAM]Verify your Public Bank account.
Priority: Urgent
X-MSMail-Priority: High
X-Priority: 1
x-scalix-Hops: 1
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Disposition: inline
To: undisclosed-recipients:;

Informasi yang didapat dari header diatas adalah email klien yang digunakan, dalam kasus ini adalah outlook express, alamat IP sender: 213.120.117.224, kemudian hal-hal yang bisa dilakukan adalah melakukan blocking dengan memasukan alamat pengirim atau domain pengirim kedalam daftar blacklist, saat ini saya menggunakan zimbra (base on postfix). Bisa juga dengan melakukan blocking terhadap IP smtp yang digunakan oleh sender, namun hal ini tidak akan bekerja bila sender menggunakan smtp lain. Yang paling efektif adalah dengan melakukan blocking domain tersebut :D.

cat /var/mailbox/spam > /dev/null :D