Top 10 Teknik Phishing yang Perlu Kamu Tahu di 2025

Phishing masih jadi salah satu metode serangan siber paling umum — dan tiap tahun pelaku kejahatan terus mengembangkan trik baru. Berikut rangkuman 10 teknik phishing terbaru di 2025, dijelaskan dengan bahasa mudah dan disertai cara mencegahnya.

1. Email Phishing Tradisional (Masih Ampuh)

Pelaku mengirim email palsu yang terlihat dari bank, layanan email, atau rekan kerja, meminta klik tautan atau input data.
Ciri: Bahasa mendesak, ada tautan, atau lampiran.
Cegah: Jangan klik tautan di email yang mencurigakan; buka situs langsung lewat browser; aktifkan MFA (multi-factor authentication).

2. Spear Phishing (Target Spesifik)

Serangan yang ditujukan ke individu atau perusahaan tertentu—mis. CEO, HR, atau staf keuangan—dengan informasi personal untuk meyakinkan korban.
Ciri: Isi sangat personal (sebut nama proyek, nama atasan).
Cegah: Verifikasi via kanal lain (telepon/WhatsApp kerja), latih staf untuk mengenali tanda-tanda sosial engineering.

3. Business Email Compromise (BEC)

Pelaku menyamar sebagai eksekutif/mitra bisnis lalu meminta transfer dana atau data sensitif. Biasanya tanpa malware — hanya manipulasi komunikasi.
Ciri: Permintaan transfer uang mendesak, perubahan rekening.
Cegah: Prosedur verifikasi pembayaran (dual approval), konfirmasi lewat panggilan masuk untuk permintaan besar.

4. Phishing Melalui SMS / “Smishing”

Pesan teks yang berisi tautan palsu untuk login atau klaim hadiah. Karena orang sering percaya SMS, ini efektif.
Ciri: Link singkat, kode verifikasi palsu.
Cegah: Jangan buka link dari SMS bukan resmi; nonaktifkan penautan otomatis; gunakan aplikasi perbankan resmi.

5. Vishing (Phishing via Telepon)

Penipu menelepon, berpura-pura dari bank atau dukungan IT, dan meminta kode OTP atau mengarahkan korban ke situs palsu.
Ciri: Tekanan waktu, permintaan kode OTP atau akses jarak jauh.
Cegah: Jangan berikan OTP lewat telepon; verifikasi identitas penelepon; putus lalu hubungi nomor resmi.

6. Phishing di Media Sosial & Direct Message

Link palsu lewat DM di LinkedIn, Facebook, atau Instagram yang menyamar sebagai rekruter, kolega, atau layanan pelanggan.
Ciri: Pesan tiba-tiba dari akun baru atau terverifikasi; tawaran kerja atau dokumen.
Cegah: Periksa profil pengirim; jangan unduh file dari DM; aktifkan pengaturan privasi.

7. Clone Phishing & Website Palsu

Pelaku menyalin email atau website asli lalu mengubah tautan menjadi versi palsu yang mengumpulkan kredensial. Situs bisa tampil identik, bahkan pakai HTTPS.
Ciri: URL sedikit berbeda (typo), sertifikat SSL palsu, domain aneh.
Cegah: Periksa URL secara teliti, gunakan bookmark resmi, pakai password manager yang otomatis mengisi hanya pada domain asli.

8. Cloud Phishing & OAuth Abuse

Penyerang membuat aplikasi OAuth palsu yang meminta izin akses ke akun Google/Microsoft. Jika pengguna setuju, pelaku dapat baca email atau file tanpa password.
Ciri: Jendela permintaan izin aplikatif, tampak resmi.
Cegah: Tolak permintaan akses yang tidak jelas; admin harus batasi pendaftaran aplikasi pihak ketiga; gunakan kontrol aplikasi di dashboard admin.

9. Deepfake dan Phishing Suara/Video

Teknologi AI menghasilkan suara atau video palsu yang meniru bos atau klien untuk meminta transfer atau instruksi berbahaya.
Ciri: Nada suara mirip orang dikenal, permintaan aneh.
Cegah: Terapkan kebijakan verifikasi audio/video; gunakan kanal verifikasi sekunder; edukasi staf tentang deepfake.

10. Phishing Berbasis AI (Automated Social Engineering)

Pelaku memanfaatkan AI untuk mengumpulkan data publik, menulis pesan personal, atau membuat skenario yang sangat meyakinkan dan dikirim massal.
Ciri: Pesan sangat natural, relevan, dan sulit dibedakan dari pesan asli.
Cegah: Edukasi berkelanjutan, simulasi phishing internal, dan implementasi kontrol teknis (filter email, sandboxing lampiran).

Tips Umum untuk Melindungi Diri dan Perusahaan

  1. Aktifkan MFA di semua layanan penting.

  2. Gunakan password manager untuk menghindari pengisian kredensial di situs palsu.

  3. Pelatihan berkala untuk karyawan (simulasi phishing).

  4. Perbarui perangkat lunak dan patch sistem secara rutin.

  5. Batasi akses minimal (least privilege) dan pantau aktivitas aneh.

  6. Gunakan solusi email security dengan deteksi tautan berbahaya dan sandbox.

  7. Verifikasi manual untuk pembayaran besar menggunakan dua kanal komunikasi.

Phishing terus berevolusi — tapi langkah pencegahan dasar yang konsisten tetap efektif. Dengan kombinasi teknologi, proses, dan kesadaran manusia, kita bisa mengurangi risiko dan membuat serangan phishing menjadi jauh lebih sulit bagi pelaku jahat.

Sebagai IT System Integrator yang berpengalaman, Jespro Indonesia siap membantu perusahaan Anda membangun strategi keamanan siber yang komprehensif, mulai dari pelatihan keamanan siber, solusi endpoint, hingga implementasi sistem pertahanan yang terintegrasi

Jespro Indonesia adalah layanan IT multi-vendor dan reparasi perangkat jaringan yang berkembang paling pesat di Indonesia, dan berkomitmen untuk memperpanjang masa kerja IT dan peralatan jaringan– terlepas dari usia maupun manufaktur. 

Address List

  • Jl. Kebon Jeruk Raya Komp. Kebon Jeruk Permai Office Blok C No. 17 Jakarta 11530 Indonesia
  • sales@jesproindonesia.com
  • (+62) 21 5358719

Copyright © 2025 Jespro Indonesia