M A M P U , J a b a t a n P e r d a n a M e n t e r i

1

PANDUAN PERLINDUNGAN TERHADAP

JENAYAH PENYAMARAN LAMAN WEB

(WEB PHISHING SCAMS)

UNIT PEMODENAN TADBIRAN DAN PERANCANGAN

PENGURUSAN MALAYSIA (MAMPU)

JABATAN PERDANA MENTERI

HAK CIPTA 2010 @ MAMPU

M A M P U , J a b a t a n P e r d a n a M e n t e r i

2

PANDUAN PERLINDUNGAN TERHADAP JENAYAH

PENYAMARAN LAMAN WEB (WEB PHISHING SCAMS)

A. PENGENALAN

Phishing adalah merujuk kepada jenayah penipuan melalui penghantaran e-mel atau

mesej palsu melalui aplikasi e-mel, teks pesanan ringkas (sms), instant messenger atau

media jaringan sosial kepada pengguna bertujuan untuk mendapatkan maklumat

peribadi yang sensitif seperti nama pengguna (username), kata laluan (password),

nombor kad pengenalan, butiran kad kredit dan sebagainya. Maklumat peribadi yang

telah diserahkan akan diguna sebagai elemen pencurian identiti ke atas pengguna

tersebut dan disalahgunakan untuk tujuan tertentu (rujuk Rajah 1).

Rajah 1: Contoh E-mel Phishing kepada Pengguna

Pengguna selalunya terpedaya dengan e-mel palsu sebegini kerana e-mel penyamaran

yang dilakukan hampir menyerupai e-mel dari organisasi yang sah seperti institusi

perbankan elektronik, sebagai contoh Maybank2u, CIMB Clicks, RHB Banking dan

sebagainya serta laman web e-dagang seperti eBay dan PayPal. Sehubungan itu,

pengguna yang terpedaya akan dibawa melalui hyperlink yang disediakan di dalam

P E N G E N A L A N

M A M P U , J a b a t a n P e r d a n a M e n t e r i

3

e-mel tersebut ke laman web palsu sekaligus memasukkan maklumat yang dikehendaki

oleh kumpulan penipuan siber tersebut.

B. PANDUAN PERLINDUNGAN TERHADAP PHISHING

1. Waspada Dengan E-mel Yang Meminta Maklumat Sensitif

Pengguna hendaklah sentiasa berwaspada terhadap setiap e-mel yang meminta

maklumat-maklumat sensitif melalui link yang disediakan di dalam e-mel. Ini

berikutan semua institusi perbankan elektronik serta organisasi e-dagang

(pembelian secara online) TIDAK AKAN MENGHANTAR E-MEL ATAU TEKS

PESANAN RINGKAS (SMS) kepada pelanggan serta meminta mereka untuk

mengemaskini atau memberikan maklumat sensitif seperti nombor akaun, nama

akaun pengguna, kata laluan, nombor kad pengenalan, butiran kad kredit dan

sebagainya.

3. Pastikan Kesahihan Link

Pastikan kesahihan link yang disediakan dengan mengarahkan kursor tetikus

(mouse cursor) ke atas link tersebut bagi melihat alamat URL di bar status yang

terletak di bahagian bawah pelayar web. Sekiranya alamat URL di bar status

i. Kerugian yang besar dari segi kewangan;

ii. Pencurian identiti (digunakan untuk melakukan

jenayah); dan

iii. Halangan capaian (akses) ke akaun e-mel atau

akaun perbankan elektronik.

Kesan yang akan timbul daripada aktiviti phishing ini adalah

seperti berikut:

2. Jangan Log Masuk Melalui Link Yang

Disediakan Dalam E-mel

Pengguna dinasihatkan untuk tidak log masuk

(login) ke mana-mana akaun e-mel atau

perbankan online melalui link yang disediakan

oleh mana-mana pihak/ laman web selain

daripada capaian link sebenar yang sah dan

disediakan oleh institusi tersebut.

P A N D U A N

M A M P U , J a b a t a n P e r d a n a M e n t e r i

4

adalah berbeza dengan alamat yang dinyatakan di dalam link e-mel, ia

bermaksud link URL tersebut adalah link yang tidak sah dan hanya akan

membawa pengguna ke laman web phishing (Rujuk Rajah 2).

Rajah 2: Pengesahan Kesahihan Capaian Link

4. Pastikan Laman Web Menggunakan Secure Hypertext Transfer Protocol

(HTTPS)

Laman web perbankan online / e-dagang yang sah atau mana-mana laman web

yang melibatkan pemprosesan maklumat sensitif akan menggunakan protokol

internet yang telah dienkripsi, iaitu dikenali sebagai Secure Hypertext Transfer

Protocol (HTTPS). Sehubungan itu, pengguna hendaklah memastikan laman

web yang dilayari tersebut menggunakan alamat URL yang dimulakan dengan

“https” dan mempunyai simbol kekunci Secure Socket Layer (SSL) pada bar

status pelayar web sebelum melakukan sebarang transaksi secara online

(rujuk Rajah 3).

Letakkan Kursor Tetikus Di Atas Alamat URL Yang Diberikan

Alamat URL Pada Bar Status Pelayar Web

Perbezaan Alamat URL!!

Alamat URL Pada Link Yang Diberikan

M A M P U , J a b a t a n P e r d a n a M e n t e r i

5

Rajah 3: Laman Web dengan Secure Hypertext Transfer Protocol

5. Lakukan Semakan Kesahihan Sijil Server SSL (SSL Server Certificate)

Semakan ke atas kesahihan Sijil Server SSL (SSL Server Certificate) boleh

dilakukan dengan langkah-langkah seperti berikut:

(a) Pelayar Web Mozilla Firefox

i. Klik sebanyak dua (2) kali pada simbol kekunci di ruangan bar

status pelayar web (rujuk Rajah 4-A);

ii. Klik pada pilihan “View Certificate” untuk memaparkan maklumat SSL

Server Certificate bagi laman web tersebut (rujuk Rajah 4-B); dan

iii. Pastikan alamat URL yang tertera pada ruangan alamat pelayar web

adalah sama dengan alamat URL yang dinyatakan di dalam ruangan

maklumat SSL Server Certificate (rujuk Rajah 4-C). Sebarang

percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak

sah dan laman web tersebut adalah palsu.

Secure Hypertext Transfer Protocol (https://)

Simbol kekunci SSL

M A M P U , J a b a t a n P e r d a n a M e n t e r i

6

Rajah 4-A: Langkah i - Semakan ke atas Sijil Server SSL (Mozilla Firefox)

Rajah 4-B: Langkah ii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)

Klik dua (2) kali pada simbol kekunci

Klik Pilihan “View Certificate”

M A M P U , J a b a t a n P e r d a n a M e n t e r i

7

Rajah 4-C: Langkah iii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)

(b) Pelayar Web Internet Explorer:

i. Klik pada simbol Security Report di ruangan bersebelahan

paparan alamat URL pada pelayar web (rujuk Rajah 5-A);

ii. Klik pada pilihan “View Certificates” untuk memaparkan maklumat SSL

Server Certificate bagi laman web tersebut (rujuk Rajah 5-B); dan

iii. Pastikan alamat URL yang tertera pada ruangan alamat pelayar web

adalah sama dengan alamat URL yang dinyatakan di dalam ruangan

maklumat SSL Server Certificate (rujuk Rajah 5-C). Sebarang

percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak

sah dan laman web tersebut adalah palsu.

Pastikan kedua-dua alamat URL adalah sama

M A M P U , J a b a t a n P e r d a n a M e n t e r i

8

Rajah 5-A: Langkah i - Semakan ke atas Sijil Server SSL (Internet Explorer)

Rajah 5-B: Langkah ii - Semakan ke atas Sijil Server SSL (Internet Explorer)

Klik pada simbol kekunci Security Report

Klik pada “View Certificates”

M A M P U , J a b a t a n P e r d a n a M e n t e r i

9

Rajah 5-C: Langkah iii - Semakan ke atas Sijil Server SSL (Internet Explorer)

6. Lakukan Semakan Pengesahan Pensijilan Cert

Semakan penyataan pengesahan badan-badan pensijilan cert yang sah ke atas

laman web tersebut boleh dilakukan dengan langkah-langkah seperti berikut:

(a) Pelayar Web Mozilla Firefox

i. Bagi laman web dengan pengesahan penyataan Cert yang sah,

paparan penyataan tersebut akan tertera di ruangan kiri bersebelahan

alamat URL pada pelayar web Mozilla Firefox (rujuk Rajah 6-A).

Rajah 6-A: Laman Web Yang Sah (Dengan Pernyataan

Pengesahan Cert)

Pastikan kedua-dua alamat URL adalah sama

Pernyataan Pengesahan Cert Secure Hypertext Transfer Protocol (https://)

M A M P U , J a b a t a n P e r d a n a M e n t e r i

10

ii. Bagi laman web palsu yang tidak mempunyai penyataan Cert yang

sah, paparan penyataan tersebut TIDAK akan tertera di ruangan kiri

bersebelahan alamat URL pada pelayar web Mozilla Firefox dan hanya

menggunapakai Hypertext Transfer Protocol (http://) (rujuk Rajah 6-B).

Rajah 6-B: Laman Web Palsu (Tanpa Pernyataan Pengesahan Cert)

(b) Pelayar Web Internet Explorer

i. Klik pada simbol kekunci Security Report di ruangan bersebelahan

paparan alamat URL pada pelayar web (rujuk Rajah 7-A); dan

ii. Pernyataan pengesahan Cert akan tertera pada kotak Website

Identification. Pengguna harus memastikan alamat pada ruangan

tersebut adalah sama dengan alamat URL yang tertera pada ruang

alamat URL pelayar web (rujuk Rajah 7-B).

Rajah 7-A: Langkah i – Semakan Penyataan Pengesahan Cert

Hypertext Transfer Protocol (http://) Tiada Pernyataan Pengesahan Cert

Klik pada simbol kekunci Security Report

M A M P U , J a b a t a n P e r d a n a M e n t e r i

11

Rajah 7-B: Langkah ii – Semakan Penyataan Pengesahan Cert

C. PENUTUP

7. Aktiviti penipuan phishing yang dihantar ke e-mel pengguna terus meningkat

secara dramatik dari semasa ke semasa. Sehubungan itu, adalah amat penting

supaya setiap pengguna mempunyai kesedaran terhadap penipuan siber

sebegini. Pengguna perlu lebih berhati-hati apabila melakukan transaksi secara

online dan tidak memberikan maklumat peribadi yang sensitif melalui Internet

bagi mengelakkan diri mereka daripada menjadi sebahagian daripada statistik

jenayah tersebut.

8. Selain daripada langkah-langkah yang telah dinyatakan di atas, pengguna juga

adalah diingatkan supaya mematuhi amaran jenayah pencurian identiti daripada

Polis Diraja Malaysia seperti di bawah:

i. Jangan layan sebarang panggilan telefon/ SMS/ e-mel yang meminta butir-butir perbankan anda;

ii. Jangan dedahkan maklumat akaun/ nombor

PIN ATM/ kata laluan perbankan Internet anda kepada mana-mana pihak; dan

P E N U T U P

Penyataan Pengesahan Cert

M A M P U , J a b a t a n P e r d a n a M e n t e r i

12

iii. Jangan terperdaya dengan arahan orang yang tidak dikenali untuk melakukan sebarang transaksi atau perubahan butir-butir perbankan anda.

9. Sekiranya pengguna mengesyaki telah tertipu dengan penipuan phishing,

laporan hendaklah dibuat dengan kadar segera kepada institusi/ badan yang

terlibat bagi menyekat sebarang penggunaan, pengubahsuaian dan

penyalahgunaan maklumat tersebut.

M A M P U , J a b a t a n P e r d a n a M e n t e r i

13

PANDUAN PERLINDUNGAN

TERHADAP JENAYAH

PENYAMARAN LAMAN WEB

(WEB PHISHING SCAMS)

MAMPU@2010

DISEDIAKAN OLEH:

BAHAGIAN PEMATUHAN ICT

UNIT PEMODENAN TADBIRAN DAN

PERANCANGAN PENGURUSAN MALAYSIA

(MAMPU)

JABATAN PERDANA MENTERI

ARAS 6, BLOK B2

KOMPLEKS JABATAN PERDANA MENTERI

PUSAT PENTADBIRAN KERAJAAN

PERSEKUTUAN

62502 PUTRAJAYA

www.mampu.gov.my

Telefon : 03-8872 3000 / 8872 5000

Faks : 03-8888 3721