Unikma.ac.id – Bayangkan ini, Anda membuka inbox, melihat email dari [email protected].
Logo Microsoft terpasang rapi, bahasa formal, bahkan peringatan bahwa akun Anda “akan dibekukan kecuali Anda memverifikasi”. Jantung Anda tercekat. Anda pikir ini aman, tulisan itu jelas mengatakan Microsoft.
Hanya saja, yang Anda lihat bukanlah huruf m yang biasa. Itu adalah dua huruf: r + n, ditempel sedemikian rupa sehingga dari jauh terlihat seperti “m”. Satu celah kecil dalam penglihatan dan hidup digital Anda berada di ujung tanduk.
Serangan semacam ini bukan hanya tipu muslihat sederhana; ini taktik yang semakin sering dipakai oleh penjahat siber: memanfaatkan kemiripan visual antarhuruf (homoglyph atau “evil kerning”) untuk menciptakan domain dan alamat email yang secara sekilas tampak asli.
Teknik ini membuat korban merasa aman, lalu mengambil keputusan dalam hitungan detik yang mereka sesali seumur hidup. Laporan industri dan temuan tim respons menunjukkan praktik ini meningkat dan menargetkan merek-merek besar, termasuk Microsoft.
Mengapa Satu Huruf Bisa Hancurkan Rasa Aman?
Manusia membuat keputusan cepat berdasarkan pola. Mata dan otak kita suka shortcut: logo familiar + kata yang mirip = kepercayaan.
Penjahat siber mengeksploitasi kelemahan tersebut, bukan dengan kode canggih saja, tetapi dengan tipuan visual yang sederhana, mengganti m dengan rn, mengganti o dengan angka nol, atau memanfaatkan jarak huruf yang rapat sehingga “rn” tampak seperti “m”.
Trik kecil ini disebut homoglyphing atau typographical spoofing.
Jangan Panik, Jangan juga Lengah
Kemarahan wajar, marah karena penjahat semakin licik, takut karena salah klik bisa mahal, frustasi karena kepercayaan pada merek besar menjadi alat belaka. Namun emosi ini bisa kita ubah menjadi waspada. Berikut beberapa langkah praktis untuk melindungi diri dan lingkungan Anda:
- Periksa domain, bukan hanya tampilan. Saat ragu, jangan hanya membaca cepat: tarik kursor ke tautan (hover) untuk melihat alamat sebenarnya atau buka browser dan ketik alamat resmi sendiri. Lihat dengan teliti apakah ada huruf ganjil atau subdomain aneh.
- Aktifkan autentikasi dua faktor (MFA). Bahkan bila kredensial bocor, lapisan kedua ini menyelamatkan akun.
- Verifikasi lewat kanal resmi. Hubungi dukungan langsung lewat situs resmi — jangan menggunakan nomor atau link yang ada di email mencurigakan.
- Laporkan dan bagikan bukti. Komunitas, tim IT, dan penyedia layanan sering bisa memblokir domain palsu lebih cepat bila mendapat peringatan.
- Jangan menyerah pada rasa malu. Korban penipuan sering merasa malu; jangan. Lapor agar orang lain tidak menjadi korban berikutnya. Banyak organisasi menerapkan prosedur khusus untuk menangani insiden tanpa menghukum korban.
—
Penulis: Prayoga Gymnastiar
Editor: Muhamad Ridlo
*Penulis adalah Mahasiswa Prodi TI Universitas Komputama (UNIKMA), Cilacap, Jawa Tengah
