Credit image: Freepix
Sementara sebagian besar pemimpin bisnis mengetahui apa itu phising, banyak yang tidak mengerti seberapa umum dan efektifnya serangan ini.
Menurut Statista, lebih dari separuh perusahaan di seluruh dunia telah menderita serangan phising hingga Februari 2024, menjadikannya serangan siber paling umum kedua yang menargetkan perusahaan.
Bisnis juga cenderung berfokus pada kerugian finansial saat mempertimbangkan ancaman phising, tetapi risikonya mencakup kerusakan reputasi, denda regulasi, dan gangguan operasional. Misalnya, pertimbangkan kasus phising yang terkenal berikut ini:
- Seorang penipu menipu Google dan Facebook hingga kehilangan lebih dari $100 juta dengan mengirimkan faktur dari perusahaan palsu yang memiliki nama mirip dengan salah satu vendor mereka.
- Seorang peretas mengakses akun GitHub pengembang Dropbox melalui penipuan phising, yang memberi penyerang akses ke kunci API, kredensial, dan beberapa ribu nama dan email karyawan Dropbox.
- Penjahat dunia maya menargetkan calon pengguna Zoom dengan meniru situs web Zoom untuk mengelabui pengguna agar mengunduh malware ke perangkat mereka.
Ini hanyalah beberapa kasus phising yang menargetkan perusahaan, tetapi mudah untuk melihat seberapa sukses serangan ini.
Taktik Phising yang Paling Umum
Untuk mencegah bisnis Anda menjadi korban serangan phising, pertama-tama Anda perlu memahami teknik yang digunakan penipu. Berikut adalah metode phising yang paling umum:
Email phising yang Disesuaikan
Juga dikenal sebagai “spear phising,” ini terjadi saat peretas mengirim email penipuan yang tampaknya berasal dari sumber yang sah, seperti kolega, bank, atau perusahaan tepercaya.
Panggilan Telepon Manipulatif
Dikenal sebagai “vishing,” penyerang melakukan panggilan telepon palsu dengan berpura-pura menjadi seseorang yang dapat dipercaya, seperti perwakilan bank, agen dukungan, atau pejabat pemerintah.
Eksploitasi Media Sosial
Ini adalah proses pengikisan profil media sosial untuk mendapatkan informasi seperti nama, jabatan, lokasi, dll. Dengan informasi tersebut, para penipu dapat membuat skenario yang lebih meyakinkan untuk serangan spear phising atau vishing.
Misalnya, dengan menggunakan media sosial untuk mengumpulkan informasi tentang perusahaan seperti struktur karyawan, proyek, dll. karyawan cenderung mempercayai email atau panggilan palsu tersebut.
Khususnya phising melalui email yang masih menjadi metode yang paling umum telah berkembang selama bertahun-tahun hingga mencakup beberapa strategi, termasuk:
- Business Email Compromise (BEC): Ini terjadi saat penipu memperoleh akses ke akun email bisnis yang sah, yang memungkinkan mereka menyamar sebagai pemilik akun dan mengirim email ke karyawan, mitra, atau klien.
- Menghindari Filter Email: Untuk melewati penyaringan email, penipu menggunakan berbagai taktik seperti menyembunyikan teks email, menggunakan gambar sebagai umpan atau menempatkan tautan berbahaya dalam gambar.
- Whaling (Penipuan CEO): Dengan serangan ini, penipu mengirim pesan palsu yang berpura-pura menjadi CEO untuk mengelabui karyawan agar mentransfer uang.
|
Baca juga: Serangan Phising Lebih Berbahaya dengan AI |
Strategi Perlindungan dan Pencegahan
Lebih sedikit bisnis yang mengalami konsekuensi parah akibat serangan siber yang berhasil dibandingkan tahun-tahun terakhir, dan penurunan dalam kampanye phising yang berhasil secara khusus mungkin terkait dengan perusahaan yang belajar dari serangan masa lalu untuk melindungi organisasi mereka.
Mendidik karyawan adalah langkah pertama. Kesalahan manusia merupakan salah satu faktor paling signifikan yang menyebabkan terjadinya pelanggaran data, jadi pelatihan yang tepat harus menjadi inti organisasi Anda.
Melakukan sesi pelatihan rutin dan simulasi phising yang disesuaikan dengan karyawan tertentu sangatlah penting. Misalnya, tim IT akan memerlukan pelatihan teknis yang mendalam sementara beberapa karyawan lain mungkin hanya perlu mengenali email phising dan taktik rekayasa sosial yang umum.
Perusahaan juga perlu mengikuti perkembangan keamanan siber terkini. Beberapa praktik terbaik saat ini untuk melindungi dari phising meliputi:
- Menerapkan autentikasi multifaktor (MFA) di semua sistem, aplikasi, dan layanan cloud.
- Melakukan audit dan pembaruan keamanan rutin untuk mengidentifikasi kerentanan.
- Melakukan audit internal (misalnya, log, pengaturan, kepatuhan, dll.), audit eksternal (mempekerjakan pakar pihak ketiga), dan audit kepatuhan (misalnya, kepatuhan terhadap GDPR, HIPAA, atau ISO 27001).
- Mempromosikan pembelajaran berkelanjutan dan memastikan semua karyawan memahami kebijakan keamanan.
Bahkan setelah Anda menerapkan semua teknik ini, bukan berarti perusahaan Anda aman dari serangan phising. Keamanan siber adalah bidang yang terus berkembang, dan bisnis juga harus terus beradaptasi.
Baca artikel lainnya:
- Mengidentifikasi 20 Jenis Phising
- Ransomware di Veeam Backup & Replication
- Pedang Bermata Dua Artificial Intelligence
- Trojan Perbankan Android TrickMo
- Penipuan Google Voice
- Risiko Utama Keamanan Aplikasi
- Quishing Mobil Listrik
- Credential Stuffing atau Pengisian Kredensial
- Cara Mengetahui Aplikasi Palsu
- PhaaS EvilProxy
Sumber berita:
