PANDUAN PERLINDUNGAN TERHADAP JENAYAH PENYAMARAN...
Transcript of PANDUAN PERLINDUNGAN TERHADAP JENAYAH PENYAMARAN...
M A M P U , J a b a t a n P e r d a n a M e n t e r i
1
PANDUAN PERLINDUNGAN TERHADAP
JENAYAH PENYAMARAN LAMAN WEB
(WEB PHISHING SCAMS)
UNIT PEMODENAN TADBIRAN DAN PERANCANGAN
PENGURUSAN MALAYSIA (MAMPU)
JABATAN PERDANA MENTERI
HAK CIPTA 2010 @ MAMPU
M A M P U , J a b a t a n P e r d a n a M e n t e r i
2
PANDUAN PERLINDUNGAN TERHADAP JENAYAH
PENYAMARAN LAMAN WEB (WEB PHISHING SCAMS)
A. PENGENALAN
Phishing adalah merujuk kepada jenayah penipuan melalui penghantaran e-mel atau
mesej palsu melalui aplikasi e-mel, teks pesanan ringkas (sms), instant messenger atau
media jaringan sosial kepada pengguna bertujuan untuk mendapatkan maklumat
peribadi yang sensitif seperti nama pengguna (username), kata laluan (password),
nombor kad pengenalan, butiran kad kredit dan sebagainya. Maklumat peribadi yang
telah diserahkan akan diguna sebagai elemen pencurian identiti ke atas pengguna
tersebut dan disalahgunakan untuk tujuan tertentu (rujuk Rajah 1).
Rajah 1: Contoh E-mel Phishing kepada Pengguna
Pengguna selalunya terpedaya dengan e-mel palsu sebegini kerana e-mel penyamaran
yang dilakukan hampir menyerupai e-mel dari organisasi yang sah seperti institusi
perbankan elektronik, sebagai contoh Maybank2u, CIMB Clicks, RHB Banking dan
sebagainya serta laman web e-dagang seperti eBay dan PayPal. Sehubungan itu,
pengguna yang terpedaya akan dibawa melalui hyperlink yang disediakan di dalam
P E N G E N A L A N
M A M P U , J a b a t a n P e r d a n a M e n t e r i
3
e-mel tersebut ke laman web palsu sekaligus memasukkan maklumat yang dikehendaki
oleh kumpulan penipuan siber tersebut.
B. PANDUAN PERLINDUNGAN TERHADAP PHISHING
1. Waspada Dengan E-mel Yang Meminta Maklumat Sensitif
Pengguna hendaklah sentiasa berwaspada terhadap setiap e-mel yang meminta
maklumat-maklumat sensitif melalui link yang disediakan di dalam e-mel. Ini
berikutan semua institusi perbankan elektronik serta organisasi e-dagang
(pembelian secara online) TIDAK AKAN MENGHANTAR E-MEL ATAU TEKS
PESANAN RINGKAS (SMS) kepada pelanggan serta meminta mereka untuk
mengemaskini atau memberikan maklumat sensitif seperti nombor akaun, nama
akaun pengguna, kata laluan, nombor kad pengenalan, butiran kad kredit dan
sebagainya.
3. Pastikan Kesahihan Link
Pastikan kesahihan link yang disediakan dengan mengarahkan kursor tetikus
(mouse cursor) ke atas link tersebut bagi melihat alamat URL di bar status yang
terletak di bahagian bawah pelayar web. Sekiranya alamat URL di bar status
i. Kerugian yang besar dari segi kewangan;
ii. Pencurian identiti (digunakan untuk melakukan
jenayah); dan
iii. Halangan capaian (akses) ke akaun e-mel atau
akaun perbankan elektronik.
Kesan yang akan timbul daripada aktiviti phishing ini adalah
seperti berikut:
2. Jangan Log Masuk Melalui Link Yang
Disediakan Dalam E-mel
Pengguna dinasihatkan untuk tidak log masuk
(login) ke mana-mana akaun e-mel atau
perbankan online melalui link yang disediakan
oleh mana-mana pihak/ laman web selain
daripada capaian link sebenar yang sah dan
disediakan oleh institusi tersebut.
P A N D U A N
M A M P U , J a b a t a n P e r d a n a M e n t e r i
4
adalah berbeza dengan alamat yang dinyatakan di dalam link e-mel, ia
bermaksud link URL tersebut adalah link yang tidak sah dan hanya akan
membawa pengguna ke laman web phishing (Rujuk Rajah 2).
Rajah 2: Pengesahan Kesahihan Capaian Link
4. Pastikan Laman Web Menggunakan Secure Hypertext Transfer Protocol
(HTTPS)
Laman web perbankan online / e-dagang yang sah atau mana-mana laman web
yang melibatkan pemprosesan maklumat sensitif akan menggunakan protokol
internet yang telah dienkripsi, iaitu dikenali sebagai Secure Hypertext Transfer
Protocol (HTTPS). Sehubungan itu, pengguna hendaklah memastikan laman
web yang dilayari tersebut menggunakan alamat URL yang dimulakan dengan
“https” dan mempunyai simbol kekunci Secure Socket Layer (SSL) pada bar
status pelayar web sebelum melakukan sebarang transaksi secara online
(rujuk Rajah 3).
Letakkan Kursor Tetikus Di Atas Alamat URL Yang Diberikan
Alamat URL Pada Bar Status Pelayar Web
Perbezaan Alamat URL!!
Alamat URL Pada Link Yang Diberikan
M A M P U , J a b a t a n P e r d a n a M e n t e r i
5
Rajah 3: Laman Web dengan Secure Hypertext Transfer Protocol
5. Lakukan Semakan Kesahihan Sijil Server SSL (SSL Server Certificate)
Semakan ke atas kesahihan Sijil Server SSL (SSL Server Certificate) boleh
dilakukan dengan langkah-langkah seperti berikut:
(a) Pelayar Web Mozilla Firefox
i. Klik sebanyak dua (2) kali pada simbol kekunci di ruangan bar
status pelayar web (rujuk Rajah 4-A);
ii. Klik pada pilihan “View Certificate” untuk memaparkan maklumat SSL
Server Certificate bagi laman web tersebut (rujuk Rajah 4-B); dan
iii. Pastikan alamat URL yang tertera pada ruangan alamat pelayar web
adalah sama dengan alamat URL yang dinyatakan di dalam ruangan
maklumat SSL Server Certificate (rujuk Rajah 4-C). Sebarang
percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak
sah dan laman web tersebut adalah palsu.
Secure Hypertext Transfer Protocol (https://)
Simbol kekunci SSL
M A M P U , J a b a t a n P e r d a n a M e n t e r i
6
Rajah 4-A: Langkah i - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
Rajah 4-B: Langkah ii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
Klik dua (2) kali pada simbol kekunci
Klik Pilihan “View Certificate”
M A M P U , J a b a t a n P e r d a n a M e n t e r i
7
Rajah 4-C: Langkah iii - Semakan ke atas Sijil Server SSL (Mozilla Firefox)
(b) Pelayar Web Internet Explorer:
i. Klik pada simbol Security Report di ruangan bersebelahan
paparan alamat URL pada pelayar web (rujuk Rajah 5-A);
ii. Klik pada pilihan “View Certificates” untuk memaparkan maklumat SSL
Server Certificate bagi laman web tersebut (rujuk Rajah 5-B); dan
iii. Pastikan alamat URL yang tertera pada ruangan alamat pelayar web
adalah sama dengan alamat URL yang dinyatakan di dalam ruangan
maklumat SSL Server Certificate (rujuk Rajah 5-C). Sebarang
percanggahan maklumat bermaksud sijil SSL tersebut adalah tidak
sah dan laman web tersebut adalah palsu.
Pastikan kedua-dua alamat URL adalah sama
M A M P U , J a b a t a n P e r d a n a M e n t e r i
8
Rajah 5-A: Langkah i - Semakan ke atas Sijil Server SSL (Internet Explorer)
Rajah 5-B: Langkah ii - Semakan ke atas Sijil Server SSL (Internet Explorer)
Klik pada simbol kekunci Security Report
Klik pada “View Certificates”
M A M P U , J a b a t a n P e r d a n a M e n t e r i
9
Rajah 5-C: Langkah iii - Semakan ke atas Sijil Server SSL (Internet Explorer)
6. Lakukan Semakan Pengesahan Pensijilan Cert
Semakan penyataan pengesahan badan-badan pensijilan cert yang sah ke atas
laman web tersebut boleh dilakukan dengan langkah-langkah seperti berikut:
(a) Pelayar Web Mozilla Firefox
i. Bagi laman web dengan pengesahan penyataan Cert yang sah,
paparan penyataan tersebut akan tertera di ruangan kiri bersebelahan
alamat URL pada pelayar web Mozilla Firefox (rujuk Rajah 6-A).
Rajah 6-A: Laman Web Yang Sah (Dengan Pernyataan
Pengesahan Cert)
Pastikan kedua-dua alamat URL adalah sama
Pernyataan Pengesahan Cert Secure Hypertext Transfer Protocol (https://)
M A M P U , J a b a t a n P e r d a n a M e n t e r i
10
ii. Bagi laman web palsu yang tidak mempunyai penyataan Cert yang
sah, paparan penyataan tersebut TIDAK akan tertera di ruangan kiri
bersebelahan alamat URL pada pelayar web Mozilla Firefox dan hanya
menggunapakai Hypertext Transfer Protocol (http://) (rujuk Rajah 6-B).
Rajah 6-B: Laman Web Palsu (Tanpa Pernyataan Pengesahan Cert)
(b) Pelayar Web Internet Explorer
i. Klik pada simbol kekunci Security Report di ruangan bersebelahan
paparan alamat URL pada pelayar web (rujuk Rajah 7-A); dan
ii. Pernyataan pengesahan Cert akan tertera pada kotak Website
Identification. Pengguna harus memastikan alamat pada ruangan
tersebut adalah sama dengan alamat URL yang tertera pada ruang
alamat URL pelayar web (rujuk Rajah 7-B).
Rajah 7-A: Langkah i – Semakan Penyataan Pengesahan Cert
Hypertext Transfer Protocol (http://) Tiada Pernyataan Pengesahan Cert
Klik pada simbol kekunci Security Report
M A M P U , J a b a t a n P e r d a n a M e n t e r i
11
Rajah 7-B: Langkah ii – Semakan Penyataan Pengesahan Cert
C. PENUTUP
7. Aktiviti penipuan phishing yang dihantar ke e-mel pengguna terus meningkat
secara dramatik dari semasa ke semasa. Sehubungan itu, adalah amat penting
supaya setiap pengguna mempunyai kesedaran terhadap penipuan siber
sebegini. Pengguna perlu lebih berhati-hati apabila melakukan transaksi secara
online dan tidak memberikan maklumat peribadi yang sensitif melalui Internet
bagi mengelakkan diri mereka daripada menjadi sebahagian daripada statistik
jenayah tersebut.
8. Selain daripada langkah-langkah yang telah dinyatakan di atas, pengguna juga
adalah diingatkan supaya mematuhi amaran jenayah pencurian identiti daripada
Polis Diraja Malaysia seperti di bawah:
i. Jangan layan sebarang panggilan telefon/ SMS/ e-mel yang meminta butir-butir perbankan anda;
ii. Jangan dedahkan maklumat akaun/ nombor
PIN ATM/ kata laluan perbankan Internet anda kepada mana-mana pihak; dan
P E N U T U P
Penyataan Pengesahan Cert
M A M P U , J a b a t a n P e r d a n a M e n t e r i
12
iii. Jangan terperdaya dengan arahan orang yang tidak dikenali untuk melakukan sebarang transaksi atau perubahan butir-butir perbankan anda.
9. Sekiranya pengguna mengesyaki telah tertipu dengan penipuan phishing,
laporan hendaklah dibuat dengan kadar segera kepada institusi/ badan yang
terlibat bagi menyekat sebarang penggunaan, pengubahsuaian dan
penyalahgunaan maklumat tersebut.
M A M P U , J a b a t a n P e r d a n a M e n t e r i
13
PANDUAN PERLINDUNGAN
TERHADAP JENAYAH
PENYAMARAN LAMAN WEB
(WEB PHISHING SCAMS)
MAMPU@2010
DISEDIAKAN OLEH:
BAHAGIAN PEMATUHAN ICT
UNIT PEMODENAN TADBIRAN DAN
PERANCANGAN PENGURUSAN MALAYSIA
(MAMPU)
JABATAN PERDANA MENTERI
ARAS 6, BLOK B2
KOMPLEKS JABATAN PERDANA MENTERI
PUSAT PENTADBIRAN KERAJAAN
PERSEKUTUAN
62502 PUTRAJAYA
www.mampu.gov.my
Telefon : 03-8872 3000 / 8872 5000
Faks : 03-8888 3721