Image credit: Freepix
Keamanan email telah lama mendominasi pembicaraan di dunia bisnis dan memang seharusnya begitu. Email adalah pintu gerbang utama untuk phising, pencurian kredensial, dan rekayasa sosial.
Namun, pada tahun 2025, peta ancaman telah berubah. Secara diam-diam namun tegas, peretas kini semakin sering melewati kotak masuk (inbox) dan memperluas jangkauan mereka ke berbagai saluran komunikasi mobile.
Data terbaru menunjukkan bahwa 41% insiden phising kini menggunakan taktik multichannel gabungan dari berbagai platform.
Trennya jelas, meskipun email masih penting, penjahat siber beralih ke platform yang didominasi mobile seperti SMS (smishing), panggilan suara (vishing), WhatsApp, iMessage, dan pesan langsung (direct message) media sosial.
Serangan ini lebih sulit dikenali, lebih sulit dikendalikan, dan lebih mungkin berhasil karena menargetkan titik paling rentan dalam rantai keamanan, manusia di balik layar.
Tiga Serangan Paling Cepat Tumbuh
Tiga metode serangan yang paling cepat berkembang saat ini smishing, vishing, dan quishing semuanya secara inheren bersifat mobile.
Berbeda dengan email yang melewati filter keamanan perusahaan, serangan ini melewati pertahanan perusahaan yang ada untuk langsung mencapai pengguna di ponsel mereka, tempat mereka paling lengah dan rentan.
|
Baca juga: Phising Email Bertarget dan Jebakan Ganda |
1. Smishing (Phising via SMS)
Smishing adalah phising yang dikirim melalui SMS atau aplikasi pesan mobile lainnya. Alih-alih tiba di email, tautan berbahaya datang sebagai pesan teks dan sering menyamar sebagai:
- Pemberitahuan dari bank.
- Peringatan keamanan yang mendesak.
- Pesan dari layanan pengiriman paket.
- Kontak tepercaya yang dibajak.
Karena SMS adalah bawaan perangkat mobile, pesan-pesan ini tidak terekspos ke alat keamanan email tradisional. Pertahanan yang berbasis di komputer (desktop) menjadi buta terhadap serangan ini.
2. Vishing (Phising via Suara)
Vishing atau voice phising (phising suara) menggunakan panggilan telepon (langsung atau rekaman) untuk menipu korban agar mengungkapkan kredensial atau mentransfer uang. Teknik ini melonjak popularitasnya karena sangat efektif.
Penyerang biasanya memalsukan ID penelepon (spoof caller IDs) agar tampak sebagai entitas tepercaya, seperti:
- Eksekutif perusahaan.
- Help desk IT.
- Badan pemerintah atau bank.
Mereka menargetkan karyawan langsung di ponsel mereka, melewati telepon meja kantor (desk phones) yang biasanya lebih terlindungi.
3. Quishing (Phising via Kode QR)
Quishing adalah serangan phising yang menggunakan Kode QR sebagai umpan. Korban dibujuk untuk memindai Kode QR dengan perangkat mobile mereka (bukan mengklik tautan).
Pemindaian tersebut mengarahkan mereka ke situs web palsu yang dirancang untuk mencuri kredensial, menyebarkan malware, atau menangkap data sensitif.
Ini sangat berisiko karena memindai Kode QR terasa rutin dan aman (seperti untuk menu restoran, pembayaran, atau tiket), dan sebagian besar alat keamanan tidak memeriksa kode-kode tersebut sebelum perangkat pengguna terhubung.
Titik Buta Keamanan
Para Chief Information Security Officer (CISO) perusahaan rutin menghabiskan jutaan dolar setiap tahun untuk keamanan email.
Pasar keamanan email global diprediksi tumbuh dari $5,17 miliar pada tahun 2025 menjadi $10,68 miliar pada tahun 2032.
Namun, ketika menyangkut saluran mobile, tempat ancaman yang menargetkan manusia meningkat pesat, investasi seringkali minimal. Ini harus diubah.
Ancaman terhadap manusia tidak hilang di luar kotak masuk; ia justru mengintensifkan diri pada perangkat mobile, di mana pengguna lebih terdistraksi, kurang berhati-hati, dan cenderung lebih cepat merespons.
Serangan smishing, vishing, dan quishing secara kolektif mengekspos titik buta yang tidak dapat dilihat oleh keamanan email tradisional.
Pertahanan Masa Depan
Tantangan utama saat ini adalah sebagian besar pertahanan tradisional berfokus pada teknologi (perangkat, jaringan) daripada manusia.
Strategi keamanan harus berevolusi sesuai dengan tempat serangan terjadi. Rekayasa sosial menjadi semakin canggih, kontekstual, dan berfokus pada mobile.
Untuk mengatasi ancaman mobile yang berkembang ini, muncul pendekatan keamanan baru yang memanfaatkan pertahanan berbasis AI (Artificial Intelligence):
- Pelatihan LLM: Sistem ini melatih Model Bahasa Besar (Large Language Models / LLM) untuk memahami konten dan niat di balik pesan.
- Deteksi Real-Time: Mereka dapat menandai aktivitas mencurigakan secara real-time dan menerapkan langkah-langkah perlindungan sebelum pengguna menjadi korban.
- Fokus pada Konten: Baik itu pesan teks yang menyamar sebagai dukungan IT atau meniru vendor, solusi generasi berikutnya ini berfokus pada penghentian ancaman pada lapisan manusia, bukan hanya di tingkat perangkat.
Keamanan mobile tidak hanya harus memastikan kondisi perangkat yang baik (device posture), tetapi juga harus memperhitungkan perilaku, konteks, dan isyarat halus yang membedakan interaksi sah dari manipulasi.
Garis pertempuran telah bergeser; serangan kini menargetkan individu di berbagai saluran, dan strategi keamanan Anda harus segera menyesuaikan diri.
Baca artikel lainnya:
- Panduan Mencegah Serangan Man-in-the-Middle
- Apakah Kamu Tahu Diam-diam Ponsel Bisa Memata-matai
- Shuyal Stealer Curi Data dari 19 Browser
- Platform Sex Toy Lovense Ekspos Data Pengguna
- Phising Phyton
- Waspada Data Pribadi di Media Sosial
- Panduan Bersih-Bersih Komputer Setelah Kena Malware
- Game Populer Disusupi Trojan Android
- Modus Penipuan Canggih untuk Menginfeksi Komputer Sendiri
- Kerentanan Ditemukan pada Teknologi eSIM Apa Bahayanya?
Sumber berita:
