July 4, 2026
Membedah Serangan Phishing: Cara Kerja SEToolkit & Zphisher (dan Cara Melindungi Diri dari…
Disclaimer: Artikel ini dibuat untuk tujuan edukasi security awareness dan pengujian di lab pribadi. Semua demonstrasi dilakukan di…
By Jamalayajakuja
3 min read
Membedah Serangan Phishing: Cara Kerja SEToolkit & Zphisher (dan Cara Melindungi Diri dari Serangan)
Disclaimer: Artikel ini dibuat untuk tujuan edukasi security awareness dan pengujian di lab pribadi. Semua demonstrasi dilakukan di lingkungan terisolasi (VM/localhost) milik sendiri. Menggunakan tools ini untuk menyerang, mengelabui, atau mengambil kredensial orang lain tanpa izin tertulis adalah tindakan ilegal — di Indonesia diatur dalam UU ITE Pasal 30 & 35 dengan ancaman pidana penjara dan denda. Kenali serangannya agar bisa menghindarinya, bukan untuk menyalahgunakannya.
— -
## Kenapa Kamu Perlu Paham Phishing?
Phishing masih jadi vektor serangan nomor satu dalam insiden keamanan siber. Menurut berbagai laporan industri, mayoritas data breach berawal dari satu hal sederhana: seseorang memasukkan password-nya di halaman login palsu.
Cara terbaik untuk mengenali jebakan adalah dengan memahami cara membuatnya. Di artikel ini kita akan membedah dua tools edukasi yang paling sering dipakai untuk mendemonstrasikan serangan phishing — Social-Engineer Toolkit (SEToolkit) dan Zphisher — lalu menutupnya dengan bagian terpenting: cara mendeteksi dan melindungi diri.
— -
## Menyiapkan Lab yang Aman (Wajib Baca)
Sebelum menyentuh tool apa pun, siapkan lingkungan terisolasi. Jangan pernah menjalankan demo ini di jaringan produksi atau menargetkan orang lain.
Rekomendasi setup lab:
-
Virtual Machine — pakai VirtualBox atau VMware dengan Kali Linux / Parrot OS.
-
Mode jaringan Host-Only atau NAT — supaya tidak bocor ke internet publik.
-
Target = diri sendiri — uji halaman phishing dengan browser di VM/host yang sama.
-
Akun uji coba (dummy) — jangan pernah pakai kredensial asli, bahkan untuk testing.
# Cek IP lokal VM kamu sebelum mulai
ip addr show
# Cek IP lokal VM kamu sebelum mulai
ip addr show
— -
## Bagian 1: Social-Engineer Toolkit (SEToolkit)
SEToolkit adalah framework social engineering open-source buatan TrustedSec, sudah terpasang secara default di Kali Linux. Fitur Credential Harvester-nya sering dipakai untuk mendemonstrasikan bagaimana halaman login bisa dikloning.
### Langkah 1 — Instalasi (jika belum ada)
# Kali Linux biasanya sudah terpasang. Jika belum:
sudo apt update
sudo apt install set -y
# Atau instalasi dari sumber:
git clone [https://github.com/trustedsec/social-engineer-toolkit.git](https://github.com/trustedsec/social-engineer-toolkit.git)
cd social-engineer-toolkit
pip3 install -r requirements.txt
sudo python3 setup.py install
# Kali Linux biasanya sudah terpasang. Jika belum:
sudo apt update
sudo apt install set -y
# Atau instalasi dari sumber:
git clone [https://github.com/trustedsec/social-engineer-toolkit.git](https://github.com/trustedsec/social-engineer-toolkit.git)
cd social-engineer-toolkit
pip3 install -r requirements.txt
sudo python3 setup.py install
### Langkah 2 — Menjalankan SEToolkit
sudo setoolkit
sudo setoolkit
Saat pertama kali jalan, akan muncul Terms of Service. Ketik y untuk menyetujui (dengan pemahaman bahwa penggunaan hanya untuk lab pribadi).
### Langkah 3 — Navigasi Menu
Menu SEToolkit berbasis angka. Untuk demo credential harvester:
1) Social-Engineering Attacks
└─ 2) Website Attack Vectors
└─ 3) Credential Harvester Attack Method
└─ 2) Site Cloner
1) Social-Engineering Attacks
└─ 2) Website Attack Vectors
└─ 3) Credential Harvester Attack Method
└─ 2) Site Cloner
### Langkah 4 — Konfigurasi Demo
-
Masukkan IP lokal VM kamu (misal
192.168.56.101) sebagai alamat penerima data. -
Masukkan URL yang akan dikloning (untuk demo, gunakan halaman login milikmu sendiri atau situs demo publik).
-
SEToolkit akan menghosting kloningan di server lokal port 80.
### Langkah 5 — Mengamati Hasil
Buka browser di VM yang sama, akses http://<IP-lokal>. Masukkan kredensial dummy. Di terminal SEToolkit, kamu akan melihat data yang tertangkap — inilah momen "aha" yang menunjukkan betapa mudahnya kredensial dicuri jika korban tidak waspada.
Poin edukasi: Perhatikan bahwa URL di address bar adalah IP mentah / domain aneh — bukan domain asli. Ini adalah tanda pengenal phishing yang pertama.
— -
## Bagian 2: Zphisher
Zphisher adalah tool phishing edukasi otomatis yang menyediakan template halaman login siap-pakai dan integrasi tunneling. Populer karena antarmukanya sederhana.
### Langkah 1 — Instalasi
# Clone repositori
git clone [https://github.com/htr-tech/zphisher.git](https://github.com/htr-tech/zphisher.git)
cd zphisher
# Beri izin eksekusi dan jalankan
chmod +x zphisher.sh
bash zphisher.sh
# Clone repositori
git clone [https://github.com/htr-tech/zphisher.git](https://github.com/htr-tech/zphisher.git)
cd zphisher
# Beri izin eksekusi dan jalankan
chmod +x zphisher.sh
bash zphisher.sh
### Langkah 2 — Memilih Template
Zphisher menampilkan daftar template (Facebook, Instagram, Google, dll). Ini mengajarkan satu hal penting: halaman phishing meniru brand tepercaya untuk menurunkan kewaspadaan korban.
### Langkah 3 — Memilih Metode Tunneling
Zphisher menawarkan opsi seperti:
-
Localhost — paling aman untuk lab, hanya bisa diakses dari mesin yang sama.
-
Cloudflared / LocalXpose — membuat URL publik (JANGAN dipakai untuk menargetkan siapa pun).
Untuk edukasi, selalu pilih Localhost. Ini menjaga demo tetap di dalam lab.
### Langkah 4 — Mengamati Mekanisme
Akses URL localhost yang diberikan, masukkan kredensial dummy. Zphisher akan menampilkan kredensial yang tertangkap beserta alamat IP. Amati bagaimana tool menangkap data secara real-time.
Poin edukasi: Perhatikan bahwa halaman login palsu sering kekurangan HTTPS yang valid, punya URL mencurigakan, dan kadang ada typo kecil pada template.
— -
## Bagian 3 (Paling Penting): Cara Mendeteksi & Melindungi Diri
Ini bagian yang membuat artikel kamu bernilai. Setelah paham cara kerja serangan, inilah pertahanannya.
### 🔍 Tanda-Tanda Halaman Phishing
| Tanda | Penjelasan |
| — — — -| — — — — — -|
| URL mencurigakan | Cek domain dengan teliti: faceb00k.com, IP mentah, atau subdomain aneh. |
| Tidak ada HTTPS / sertifikat tidak valid | Gembok putus atau peringatan sertifikat = red flag. |
| Desakan waktu | "Akun akan diblokir dalam 24 jam!" — taktik urgency klasik. |
| Minta kredensial via link | Layanan sah jarang meminta login lewat link email. |
| Typo & tata bahasa buruk | Template phishing sering ceroboh. |
### 🛡️ Cara Melindungi Diri
-
Aktifkan Multi-Factor Authentication (MFA/2FA) — meskipun password bocor, penyerang tetap terhambat.
-
Selalu cek URL secara manual — ketik alamat situs langsung, jangan klik link.
-
Gunakan password manager — ia tidak akan meng-autofill di domain palsu.
-
Verifikasi lewat kanal resmi — kalau ragu, hubungi layanan lewat aplikasi resminya.
-
Update browser & OS — banyak browser modern punya filter anti-phishing bawaan.
-
Edukasi orang sekitar — bagikan artikel ini ke keluarga & rekan kerja.
### 🏢 Untuk Organisasi
-
Adakan simulasi phishing internal (dengan izin & kebijakan tertulis).
-
Terapkan email security gateway dan DMARC/SPF/DKIM.
-
Lakukan security awareness training rutin.
— -
## Penutup
Memahami cara kerja SEToolkit dan Zphisher bukan tentang belajar "cara nge-hack" — melainkan tentang melihat serangan dari sisi penyerang agar bisa bertahan dengan lebih baik. Pengetahuan ini menjadikanmu pengguna internet yang lebih aman dan, jika kamu berkarier di keamanan siber, seorang defender yang lebih tajam.
Ingat: kekuatan besar datang dengan tanggung jawab besar. Gunakan pengetahuan ini secara etis dan legal.
— -
Kalau artikel ini bermanfaat, kasih 👏 dan bagikan ke temanmu. Punya pertanyaan soal keamanan siber? Tulis di komentar!
Tags: Cybersecurity, Phishing, Security Awareness, Ethical Hacking, InfoSec