Ingin Membuat Tim IT Anda Kesal? Apakah Tautannya Terlihat Kurang Cukup Jahat?

 (phishyurl.com)
1 poin oleh GN⁺ 2025-09-19 | 1 komentar | Bagikan ke WhatsApp
  • Alat ini menyediakan fungsi untuk mengubah URL apa pun agar terlihat berbahaya
  • Tidak seperti TinyURL, alih-alih memendekkannya, alat ini membuatnya tampak lebih mencurigakan
  • Tautan yang dimasukkan sebenarnya akan menuju ke alamat asli melalui metode pengalihan web
  • Tautan phishing (phishy) yang dihasilkan hanya terlihat meresahkan dari luar, dan tidak melakukan tindakan berbahaya apa pun
  • Pengguna dapat memasukkan tautan ke kolom input dan menekan tombol untuk mendapatkan tautan yang "terlihat berbahaya"

Pengenalan dan fitur utama

Alat ini adalah situs yang mengubah alamat situs web yang dimasukkan pengguna agar terlihat mencurigakan seperti tautan phishing

  • Caranya mirip dengan layanan pengubah tautan populer TinyURL, tetapi hasil akhirnya bukan menjadi lebih pendek, melainkan berbentuk tautan yang tampak berbahaya
  • Prinsipnya adalah redirect sederhana, sehingga meskipun tautan hasil diklik, pengguna hanya akan diarahkan ke alamat asli yang dimasukkan
  • Dengan memasukkan tautan ke kolom yang disediakan dan menekan tombol, pengguna bisa langsung mendapatkan tautan phishing visual yang menimbulkan rasa tidak nyaman
  • Tautan yang dihasilkan tidak mengandung malware sungguhan, dan hanya terlihat mencurigakan secara visual

Contoh penggunaan dan hal yang perlu diperhatikan

  • Alat ini aman dari sisi tautannya, tetapi jika benar-benar digunakan di dalam perusahaan atau organisasi, dapat menimbulkan kebingungan bagi tim IT
  • Dapat digunakan saat ingin menguji seberapa besar tampilan tautan memengaruhi kepercayaan dalam pelatihan respons phishing, pengujian rekayasa sosial, dan sebagainya
  • Bergantung pada aturan atau kebijakan keamanan perusahaan, sebelum penggunaan nyata perlu dipastikan terlebih dahulu apakah penggunaannya diizinkan

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-19
Komentar Hacker News

  • Ha! Aku juga sempat berpikir serupa. Di perusahaan kami ada sesuatu yang membuat tautan yang sebenarnya sah terlihat seperti tautan berbahaya. Sepertinya namanya Microsoft Safelink. Tujuannya adalah menyamarkan semua tautan di kotak masuk Outlook, sehingga saat diklik kita tidak tahu itu apa. Pada akhirnya jadinya seperti lelucon bahwa tidak ada yang dipecat karena membeli Microsoft

    • Beberapa bulan lalu server Microsoft sempat mati atau sangat lambat, dan saat itu aku pernah mengalami semua tautan di email jadi tidak berfungsi
    • Sangat relate. ProofPoint juga memfilter tautan dengan cara serupa

  • Yang seperti ini tidak buruk
    https://carnalflicks.online/var/lib/systemd/coredump/logging...

    • Jujur aku sempat berharap terjadi sesuatu seperti ini[1]. Mungkin di HN hal seperti ini tidak terlalu kelihatan
      1: https://pc-helper.xyz/scanner-snatcher/session-snatcher/cred...
    • Entah kenapa, kalau sedang berada di bagian paling atas halaman, mengeklik tautan seperti ini terasa sangat memuaskan
    • Entah kenapa terasa mencurigakan, NoScript memunculkan peringatan XSS <_<

  • Yang seperti ini bagus untuk membuat loop tak berujung
    https://gonephishing.me/shell-jacker/shell-jacker/worm_launc...

  • Seluruh percakapan ini mengingatkanku pada situasi konyol di perusahaan tempatku dulu bekerja. Perusahaan terus menekankan kepada karyawan agar mengarahkan kursor ke tautan untuk memastikan apakah itu mengarah ke situs web resmi pengirim. Tapi orang-orang tetap terus tertipu oleh tautan phishing, jadi mereka akhirnya memasang perangkat Trend Micro untuk memindai email dan menulis ulang semua tautan secara massal ke layanan pemindaian URL mereka. Akibatnya semua tautan terlihat seperti “https://ca-1234.check.trendmicro.com/?url=...;”. Setelah itu, di perusahaan kami jadi tidak bisa mengeklik tautan apa pun di email. Tentu saja, karena penulisan ulang URL, cukup banyak tautan yang berhenti berfungsi, jadi saat menerima alarm insiden di pagi hari aku harus menyalakan laptop, lalu login manual ke Pagerduty atau Sentry dan mencari lagi detail insidennya dari email

    • Aku punya pengalaman lucu yang berkebalikan. Dulu saat bekerja di Global MegaCorp, perusahaan kadang sengaja mengirim email phishing sebagai latihan, dan jika kita mengeklik tautannya, itu akan tercatat sehingga kalau tertipu dua atau tiga kali kita langsung diwajibkan ikut pelatihan ulang. Akhirnya semua orang belajar untuk tidak mengeklik tautan di email. Efektif. Tapi kemudian mereka mengirim email ke semua karyawan untuk survei tahunan, dan tidak ada satu pun yang mengeklik tautannya, jadi mereka harus mengirim email lanjutan yang mengatakan, "email survei ini benar-benar asli jadi aman untuk diklik"
    • Belakangan ini, di akun AWS pribadiku aku menerima email dari "no-reply@tax-and-invoicing.us-east-1.amazonaws.com" yang memberi tahu bahwa ke depannya faktur akan dikirim dari alamat itu, jadi aku diminta mengubah aturan pemrosesan faktur otomatis ke alamat tersebut. Ini benar-benar tindakan bodoh. Kalau aku melihat email dari alamat pengirim seperti itu, aku juga akan langsung mengiranya spam atau phishing. Pada akhirnya AWS mencabut kebijakan itu. Sebagai perbandingan, biasanya email datang dari alamat yang terlihat lebih resmi seperti "no-reply-aws@amazon.com" atau "aws-marketing-email-replies@amazon.com"

  • Anda bahkan bisa saja melaporkan email kepatuhan wajib sebagai upaya phishing. Aku pernah bekerja di beberapa perusahaan besar, dan email konfirmasi keamanan TI tahunan biasanya terlihat seperti email berbahaya: format aneh, sumber dari url eksternal yang mencurigakan, permintaan tindakan mendesak, ancaman hukuman jika melanggar, dan sebagainya. Mereka menghabiskan begitu banyak uang untuk pelatihan, tetapi akhirnya justru membuat pengguna kebal terhadap ancaman

    • Jika ada "X-PHISH" di header email, sepertinya boleh juga menambahkan aturan berdasarkan itu

  • Menurutku untuk menuju sebuah situs web, justru harus memakai URL yang terlihat lebih berbahaya
    https://pc-helper.xyz/root-exploit/virus_loader_tool.exe?id=...

  • Cara yang benar-benar jahat adalah memakai semacam psikologi terbalik

  1. Buat situs seperti ini
  2. Biarkan orang-orang menguji dengan memasukkan URL situs penting seperti bank, media sosial, email, dan sebagainya
  3. Untuk sementara biarkan situs itu berfungsi normal, lalu setelahnya diam-diam alihkan pengunjung ke situs phishing terkait
  4. Karena para pengguna sudah terbiasa mengabaikan peringatan yang "jelas palsu", kewaspadaan mereka bisa melemah saat krisis yang benar-benar nyata terjadi

  • Aku mencobanya dengan nama domainku sendiri,
    https://cheap-bitcoin.online dan aku mendapat tautan pada domain itu. Saat URL tersebut kukirim ke VirusTotal, hasilnya menunjukkan ada satu pihak yang mengklasifikasikannya sebagai malware. Kocak sekali, benar-benar pengalaman yang lucu

  • Keren! Akan bagus kalau di tautan yang dihasilkan, 'safelinks.protection.outlook' juga bisa disisipkan di suatu tempat

  • Aku mendaftarkan domain "very-secure-no-viruses.email" dan memakainya untuk email sementara. Sengaja kubuat agar terdengar semencurigakan mungkin. Tapi gara-gara itu, komunikasi dengan tim dukungan jadi sering membingungkan

    • Aku memakai alamat firstname@lastname.email, dan orang-orang terus bilang itu salah karena katanya bukan email.com