Digitalmania – Pesan teks sejauh ini merupakan cara paling responsif untuk berkomunikasi dari jarak jauh: Orang sering mengabaikan panggilan telepon dan email, tetapi 98% pesan teks dibaca dan 45% mendapat tanggapan, menurut Gartner.

Masalahnya, pesan teks atau SMS, untuk layanan pesan singkat dapat membuat perusahaan terbuka lebar terhadap serangan manipulasi psikologis, yang disebut sebagai “smishing”. Ancaman semakin parah di tengah tenaga kerja yang sebagian besar jauh yang beralih ke platform seperti Skype, WhatsApp, dan iMessage untuk saling menjangkau dengan cepat.

Sementara yang luput dari perhatian semua orang saat ini adalah bahwa SMS merupakan protokol terburuk yang digunakan untuk komunikasi. Tapi karena didukung secara luas, menjadi alasan ia masih digunakan, tetapi tanpa memberikan enkripsi atau validasi keaslian dari pengirim maupun penerima.

Meningkatnya popularitas komunikasi berbasis teks adalah hal yang membuatnya rentan terhadap smishing, di mana teks yang tampaknya berasal dari sumber tepercaya ternyata bisa saja malware yang dapat diunduh atau tautan ke situs web palsu.

Vishing mirip dengan smishing, bedanya pelaku menggunakan teknologi suara seperti telepon untuk menipu orang agar memberikan data pribadinya. Dan keduanya terkait dengan phising, yang mencakup email dan memengaruhi banyak perusahaan di dunia.

Pertanyaan besarnya, bagaimana melindungi perusahaan dari ancaman siber semacam ini? Berikut ESET akan sedikit mengupas permasalahan ini bagaimana agar karyawan tidak tertipu dari trik culas semacam ini.

Mencegah karyawan jadi korban

Untuk melindungi dari serangan smishing khususnya, tim keamanan dapat mendorong karyawan untuk mengabaikan pesan dari orang atau bisnis yang tidak dikenal, untuk mencurigai teks “mendesak”, dan berhati-hati saat mengklik tautan di dalam pesan teks.

Dengan smishing dan vishing, pelaku mungkin memiliki beberapa informasi yang membuat mereka tampak dapat dipercaya, misalnya: nama rekan kerja, nama bos, nomor telepon, nama departemen, dll.

Ini adalah informasi yang tampaknya sepele yang mereka peroleh melalui pengumpulan intelijen, smishing, phishing, atau vishing. Hal terpenting yang dapat karyawan lakukan adalah memverifikasi.

Namun seringkali pesan teks dan pesan suara tampaknya berasal dari sumber yang dapat dipercaya. Karyawan perlu diberi tahu bahwa penjahat yang mencoba mendapatkan informasi mungkin berpura-pura menjadi seorang eksekutif di perusahaan, vendor, dari peneliti pemasaran atau badan riset, bank, badan amal dan sebagainya.

Kurikulum siber

Setelah karyawan memahami “siapa”, berikut tiga tip untuk membuat mereka tetap waspada terhadap potensi penipuan:

1. Pelaku akan memanfaatkan cara-cara yang umum biasanya masalah-masalah sosial tertentu untuk mengelabui agar atrget mengungkapkan informasi sensitif tentang diri mereka sendiri, bisnis mereka, atau sistem komputer mereka.

    

Bahkan data sekecil apa pun dapat berguna bagi peretas yang mencoba melengkapi profil yang memungkinkan mereka mendapatkan akses ke kredit, perbankan, dan informasi sensitif lainnya. Jadi, garis pertahanan pertama adalah melatih karyawan untuk tidak mudah memberikan informasi sensitif.

2. Malware SMS biasanya dimulai dari pesan teks yang berisi URL. Melatih staf untuk melakukan pencarian online cepat untuk menemukan alamat web dan kemudian mengetiknya di bilah alamat secara manual, daripada hanya mengklik tautan yang dikirim, dapat menyelamatkan diri dan perusahan dari kebobolan data akibat malware. Beberapa tautan tampaknya seperti aplikasi yang sah, tetapi setelah diunduh, karyawan menyadari bahwa kata sandi dan kredensial lainnya telah dicuri.

    

Tautan lain adalah vektor untuk ransomware, memaksa pengguna membayar untuk mendekripsi ponsel mereka. Lebih lanjut, malware SMS sering merampok daftar kontak korban, memungkinkannya menyebar ke masing-masing alamat tersebut. Jelas untuk melihat bagaimana hal ini dapat terus memengaruhi seluruh organisasi.

3. Vishing bisa lebih sulit dideteksi karena orang cenderung percaya bahwa suara lebih dipercaya dan menyakinkan daripada email. Pelaku menggunakan ID spoofing, yang mirip dengan spoofing email yang keduanya membuatnya tampak seolah-olah komunikasi tersebut berasal dari sumber tepercaya.

    

Untuk mengatasi bentuk manipulasi psikologis ini, instruksikan karyawan untuk memberi tahu penelepon bahwa mereka akan membalas telepon mereka. Kemudian minta mereka mencari kantor utama perusahaan yang diklaim oleh penelepon untuk diwakili, hubungi nomor itu, dan minta untuk berbicara dengan penelepon yang mengajukan permintaan kepada karyawan Anda. Digitalmania. AN