Manipulasi Psikologis (Phishing dan Situs yang Menipu)

Manipulasi psikologis adalah konten yang menipu pengunjung untuk melakukan hal yang berbahaya, seperti mengungkapkan informasi rahasia atau mendownload software. Jika Google mendeteksi bahwa situs web Anda berisi konten manipulasi psikologis, browser Chrome dapat menampilkan peringatan "Membuka situs yang menipu" saat pengunjung melihat situs. Anda dapat memeriksa apakah ada halaman di situs yang diduga berisi serangan manipulasi psikologis dengan membuka laporan Masalah Keamanan.

Buka Laporan Masalah Keamanan

Ringkasan

Apa yang dimaksud dengan manipulasi psikologis?

Serangan manipulasi psikologis terjadi saat pengguna web tertipu untuk melakukan tindakan yang berbahaya secara online.

Ada berbagai jenis serangan manipulasi psikologis:

  • Phishing: Situs ini menipu pengguna untuk memberikan informasi pribadi mereka (misalnya sandi, nomor telepon, atau kartu kredit). Dalam hal ini, konten berpura-pura bertindak, atau terlihat dan terasa, seperti entitas tepercaya — misalnya browser, sistem operasi, bank, atau pemerintah.
  • Konten penipuan: Konten ini mencoba menipu Anda untuk melakukan tindakan yang biasanya hanya dilakukan untuk entitas tepercaya — misalnya berbagi sandi, menghubungi dukungan teknis, atau mendownload software. Selain itu, konten juga dapat berisi iklan yang memberikan pemberitahuan palsu bahwa software perangkat sudah tidak update, dan mendorong pengguna untuk menginstal software yang tidak diinginkan.
  • Layanan pihak ketiga yang tidak diberi label dengan jelas: Layanan pihak ketiga adalah suatu pihak yang mengoperasikan situs atau layanan atas nama entitas lain. Jika Anda (pihak ketiga) mengoperasikan situs atas nama pihak lain (pihak pertama) tanpa ada hubungan kedua belah pihak yang jelas, tindakan Anda dapat dilaporkan sebagai manipulasi psikologis. Misalnya, jika Anda (pihak pertama) menjalankan situs amal yang menggunakan situs pengelolaan donasi (pihak ketiga) untuk mengurus pengumpulan dana di situs Anda, situs donasi harus secara jelas menyatakan bahwa situs tersebut adalah platform pihak ketiga yang bertindak atas nama badan amal, jika tidak, situs tersebut bisa dianggap sebagai manipulasi psikologis.

Google Safe Browsing melindungi pengguna web dengan memperingatkan mereka sebelum mengunjungi halaman yang terlibat dalam manipulasi psikologis secara terus menerus.

Halaman dianggap sebagai manipulasi psikologis jika:

  • Berpura-pura bertindak, atau terlihat dan terasa seperti entitas tepercaya, misalnya, perangkat atau browser Anda sendiri atau situs web itu sendiri, atau
  • Mencoba menipu Anda agar melakukan tindakan yang biasanya hanya dilakukan untuk entitas tepercaya, misalnya berbagi sandi, menghubungi dukungan teknis, atau mendownload software.

Manipulasi psikologis di konten yang disematkan

Manipulasi psikologis juga dapat muncul di konten yang disematkan di situs web yang tidak berbahaya, biasanya di iklan. Konten manipulasi psikologis yang disematkan merupakan pelanggaran kebijakan untuk halaman host.

Terkadang konten manipulasi psikologis yang disematkan akan terlihat oleh pengguna di halaman host, seperti yang ditunjukkan pada contoh di bawah. Pada kasus lain, situs host tidak berisi iklan yang terlihat, tapi mengarahkan pengguna ke halaman manipulasi sosial melalui pop-up, pop-under, atau tipe pengalihan lainnya. Dalam kedua kasus tersebut, tipe konten manipulasi psikologis yang disematkan semacam ini akan menghasilkan pelanggaran kebijakan untuk halaman host.

Tetapi saya tidak terlibat dalam manipulasi psikologis!

Konten manipulasi psikologis yang menipu dapat disertakan melalui resource di halaman, seperti gambar, komponen pihak ketiga, atau iklan. Konten penipuan tersebut dapat menipu pengunjung situs agar mendownload software yang tidak diinginkan

Selain itu, peretas dapat mengontrol situs yang tidak berbahaya dan menggunakannya untuk menghosting atau mendistribusikan konten manipulasi psikologis. Peretas dapat mengubah konten situs tersebut atau menambahkan halaman tambahan ke situs, sering kali dengan tujuan menipu pengunjung agar mengungkapkan informasi pribadi seperti nomor kartu kredit. Anda dapat mengetahui apakah situs Anda telah teridentifikasi sebagai situs yang menghosting atau mendistribusikan konten manipulasi psikologis dengan memeriksa laporan Masalah Keamanan di Search Console.

Lihat Bantuan untuk Situs yang Diretas kami jika Anda yakin bahwa situs Anda telah diretas.

Contoh pelanggaran manipulasi psikologis

Contoh konten penipuan

Berikut ini contoh halaman yang terlibat dalam tindakan manipulasi psikologi:

Social engineering popup that tries to make the user install an unwanted application.
Pop-up penipuan yang bermaksud menipu pengguna untuk menginstal malware.
Example of social engineering attempt claiming a browser update is required
Pop-up penipuan yang menyatakan ingin membantu pengguna mengupdate browser-nya.
Halaman login Google palsu. Perhatikan URL penipuan tersebut. Situs phishing lain seperti ini dapat menipu Anda untuk memberikan informasi pribadi lainnya seperti informasi kartu kredit. Situs phishing mungkin terlihat persis seperti situs asli, jadi pastikan Anda melihat kolom URL untuk memeriksa apakah URL tersebut benar, dan pastikan juga bahwa situs dimulai dengan https://

Contoh iklan penipuan

Berikut beberapa contoh konten penipuan di dalam iklan tersemat. Iklan ini tampak seperti bagian antarmuka halaman dan tidak terlihat seperti iklan.

Deceptive ad claiming to be a media player update on the page.
Pop-up penipuan yang mengklaim bahwa software pengguna sudah usang.
Deceptive ad claiming to be an installer for a required component.
Pop-up penipuan yang mengklaim bahwa pop-up berasal dari developer FLV
Deceptive ads claiming to be playback controller buttons on the host page.
Iklan menyamar sebagai tombol tindakan halaman.

Memperbaiki masalah

Jika situs Anda dilaporkan karena berisi manipulasi psikologis (konten penipuan), terlebih dahulu pastikan halaman Anda tidak terlibat dalam tindakan apa pun yang dijelaskan di atas, lalu ikuti langkah-langkah berikut:

  1. Periksa dengan Search Console
    • Pastikan Anda adalah pemilik situs di Search Console dan tidak ada pemilik baru mencurigakan yang telah ditambahkan.
    • Periksa laporan Masalah Keamanan untuk melihat apakah situs Anda termasuk dalam situs yang berisi konten penipuan (istilah pelaporan untuk manipulasi psikologis). Kunjungi beberapa contoh URL yang dilaporkan sebagai penipuan yang tercantum dalam laporan, namun gunakan komputer yang tidak berada dalam jaringan sama yang menayangkan situs Anda (peretas yang ahli dapat menonaktifkan serangannya jika mereka mengetahui pengunjung situs adalah seorang webmaster situs).
  2. Hapus konten yang menipu. Pastikan tidak ada halaman situs yang berisi konten penipuan. Jika Anda yakin Safe Browsing telah salah mengklasifikasikan halaman, harap laporkan di sini.
  3. Periksa resource pihak ketiga yang disertakan di situs Anda. Pastikan iklan, gambar, atau referensi pihak ketiga yang tersemat lainnya di halaman situs Anda tidak menipu.
    • Harap perhatikan bahwa jaringan iklan dapat merotasi iklan yang ditampilkan di halaman situs Anda. Oleh karena itu, Anda mungkin perlu memuat ulang halaman beberapa kali sebelum dapat melihat iklan manipulasi psikologis apa pun yang muncul.
    • Beberapa iklan dapat ditampilkan dalam bentuk berbeda di perangkat seluler dan komputer desktop. Anda dapat menggunakan Fitur Inspeksi URL untuk melihat situs Anda dalam tampilan seluler dan desktop.
    • Ikuti panduan layanan pihak ketiga yang dijelaskan di bawah ini untuk layanan pihak ketiga apa pun, seperti layanan pembayaran, yang digunakan di situs Anda.
  4. Minta peninjauan. Setelah menghapus semua konten manipulasi psikologis dari situs, Anda dapat meminta peninjauan keamanan di laporan Masalah Keamanan. Proses peninjauan dapat berlangsung beberapa hari.

Panduan layanan pihak ketiga

Jika Anda menyertakan layanan pihak ketiga di situs Anda, harap penuhi persyaratan berikut agar situs tidak dianggap sebagai manipulasi psikologis:

  • Pada setiap halaman, situs pihak ketiga harus mencantumkan mereknya dengan jelas sehingga pengguna memahami siapa pihak yang menjalankan situs itu. Misalnya, dengan mencantumkan merek pihak ketiga di bagian atas halaman.
  • Pada setiap halaman yang memuat merek pihak pertama, nyatakan dengan jelas hubungan antara pihak pertama dan pihak ketiga, serta sediakan link untuk mendapatkan informasi selengkapnya.  Misalnya, pernyataan seperti ini:

      Layanan ini dihosting oleh Contoh.com atas nama Contoh.lembagaamal.com. Informasi selengkapnya

Sebagai panduan kegunaan yang baik, pastikan pengguna yang melihat halaman tersebut secara terpisah memahami situs mana yang sedang mereka kunjungi dan hubungan antara pihak pertama dan pihak ketiga.

Praktik terbaik: Jika Anda memerlukan bantuan pihak ketiga untuk menjalankan layanan dukungan dasar di situs Anda, salah satu praktik terbaiknya adalah menggunakan pihak ketiga berstandar industri untuk layanan tersebut. Misalnya, untuk mengelola autentikasi pengguna di situs Anda, sebaiknya gunakan OAuth, bukan mengelolanya sendiri.
Apakah artikel ini membantu?
Bagaimana cara meningkatkannya?