Jangan membuka amplop.
getty
Dahulu, serangan dunia maya umumnya dilakukan oleh peretas yang mengidentifikasi dan memanfaatkan kelemahan jaringan perusahaan. Namun, saat ini, serangan dapat ditujukan kepada kelemahan manusia.
Kebanyakan serangan dunia maya sekarang dimulai dengan phishing – sebanyak dua pertiga menurut analisis dari Comcast Business. Ini merupakan masalah yang meningkat dengan cepat, dengan laporan baru-baru ini dari perusahaan keamanan Vade menemukan bahwa jumlah serangan phishing melonjak sebesar 173% selama kuartal ketiga 2023.
Mari kita lihat berbagai teknik phishing, dan bagaimana organisasi dan individu dapat menghindari jebakan tersebut.
Apa Itu Phishing?
Secara sederhana, phishing adalah praktik untuk menipu korban agar mengungkapkan data rahasia melalui email, pesan teks, atau panggilan telepon – dan ini merupakan salah satu masalah terbesar bagi para profesional keamanan siber.
Secara umum, phishing biasanya dilakukan oleh penjahat yang menyamar sebagai kontak bisnis terpercaya atau lembaga lain yang sah. Setelah penyerang berhasil mendapatkan kepercayaan, mereka biasanya meminta “konfirmasi” data pribadi, atau meyakinkan korban mereka untuk mengklik tautan palsu yang mengarah ke situs web yang bisa mengunduh virus atau mencuri rincian bank atau informasi pribadi lainnya. Tindakan tersebut biasanya bertujuan untuk mendapatkan uang, namun banyak serangan juga bertujuan untuk mencuri rahasia, seringkali atas perintah negara. Oleh karena itu, korban dapat menjadi siapa saja mulai dari individu pribadi hingga eksekutif perusahaan atau tokoh politik.
Jenis Serangan Phishing
Karena phishing melibatkan tipuan psikologis, ada potensi metode yang tidak terbatas. Email tetap menjadi taktik paling populer, serta menjadi yang tertua. Namun, dengan setiap bentuk komunikasi baru, muncul vektor serangan baru.
Penipuan phishing melalui panggilan suara — yang disebut vishing — umum, dan ketika SMS diperkenalkan, para penjahat siber dengan cepat memanfaatkannya. Sejak itu, para penyerang telah menyempurnakan teknik mereka, kadang-kadang menggunakan video deep fake atau metode kecerdasan buatan lainnya untuk membuat upaya mereka lebih meyakinkan. Mereka juga dalam banyak kasus menjadi lebih selektif, menargetkan individu tertentu, melalui apa yang dikenal sebagai spear phishing atau whaling (lihat di bawah). Serangan tersebut dapat didasarkan pada pendekatan yang sangat dipersonalisasi, dan oleh karena itu sangat meyakinkan. Sementara itu, teknik-teknik teknologi yang bertujuan untuk menghindari tindakan pencegahan, seperti pharming dan email spoofing, dapat membuat serangan tersebut sulit terdeteksi bagi korban.
Smishing atau SMS phishing adalah alat yang efektif bagi para peretas.
getty
Smishing
Berasal dari “SMS” dan “phishing,” smishing adalah penggunaan pesan teks untuk melakukan kontak awal dengan korban. Orang cenderung kurang curiga terhadap pesan teks daripada email, dan sering kali meresponsnya dengan terburu-buru, atau dengan lalai.
Penyerang sering mencoba untuk menyamar sebagai bank korban, meminta detail verifikasi, atau, ironisnya, mengklaim bahwa penerima telah menjadi korban penipuan; korban kemudian diminta untuk mengkonfirmasi kredensial perbankannya atau mengklik tautan (palsu) untuk memverifikasi akun mereka. Penipuan smishing lainnya termasuk menyamar sebagai dukungan teknis, pihak berwenang pajak, atau operator lotere yang menjanjikan kemenangan. Dan sementara banyak serangan smishing umumnya bertujuan untuk mengakses keuangan pribadi individu, peningkatan bekerja dari jarak jauh dan kebijakan membawa-perangkat-pribadi juga berarti mereka sering juga digunakan untuk menargetkan jaringan perusahaan.
Vishing
Istilah “vishing” — dan Anda mungkin melihat pola di sini — berasal dari phishing yang menggunakan panggilan suara sebagai metode serangan. Hal ini dapat sangat sukses, karena panggilan suara sering kali menjebak korban dalam keadaan tidak siap, sehingga kurang waktu untuk berhenti dan mempertimbangkan apakah pendekatan itu benar-benar asli.
Setipe serangan yang paling umum adalah sesuatu yang telah kita semua alami: panggilan telepon yang berpura-pura datang “dari Microsoft” memberitahu Anda ada masalah dengan komputer Anda. Organisasi lain yang sering kali dipalsukan termasuk bank, di mana sering kali menyarankan bahwa penerima telah menjadi korban penipuan, otoritas pajak, atau perusahaan yang menawarkan kompensasi untuk kecelakaan. Penyerang mungkin saja menggunakan identitas pemanggil palsu untuk tampak sah. Setelah penipu memperoleh kepercayaan korban, mereka kemudian mencoba untuk membujuk mereka untuk memberikan nomor kartu kredit, rincian rekening bank, atau kata sandi. Dan sementara banyak upaya vishing menggunakan panggilan robot dalam pendekatan yang acak, peluncuran kecerdasan buatan berarti lebih mudah bagi penjahat untuk meniru suara tertentu.
Spearphishing
Spearphishing adalah istilah untuk serangan phishing yang menargetkan individu tertentu — seringkali seorang eksekutif tingkat menengah atau senior dalam sebuah organisasi, atau tokoh politik.
Serangan spearphishing biasanya dirancang dengan hati-hati, dengan penyerang lebih dulu mengumpulkan informasi tentang korban, melalui sumber daya yang tersedia untuk umum seperti akun media sosial, dalam upaya untuk membuat pendekatan awal lebih meyakinkan. Pesan penipuan itu sendiri kemungkinan besar sangat dipersonalisasi. Ketika sukses, serangan tersebut sering memberikan akses penipu ke data perusahaan, dalam kasus eksekutif, atau ke informasi politik rahasia. Para penyerang yang disponsori oleh negara seperti kelompok Star Blizzard yang berbasis di Rusia telah, sebagai contoh, terdeteksi menargetkan akademisi, pertahanan, organisasi pemerintah, LSM, lembaga pemikir, dan politikus. Kelompok ini juga membuat profil media sosial palsu atau jaringan yang meniru pakar terkemuka, dan telah menggunakan undangan konferensi atau acara palsu sebagai jebakan.
Whaling
Whaling pada dasarnya adalah subset dari spearphishing — menargetkan ikan terbesar (ya, kami tahu). Ini melibatkan menargetkan individu pada tingkat tertinggi dalam sebuah organisasi, seperti CEO atau CFO.
Tujuannya adalah untuk mengakses informasi yang sangat berharga, seperti data keuangan perusahaan rahasia, rahasia dagang, atau kata sandi untuk akun perusahaan tingkat tinggi. Institusi keuangan dan layanan pembayaran adalah organisasi yang paling sering ditargetkan, meskipun penyimpanan cloud dan situs hosting file, layanan online, dan situs e-commerce mulai mendapatkan bagian serangan yang lebih besar. Banyak serangan whaling tidak dilaporkan, karena kemungkinan akan ada kerugian reputasi yang jelas. Namun, beberapa contoh tersedia untuk umum, termasuk insiden tahun 2020 di mana sebuah undangan Zoom palsu yang dikirim ke salah satu pendiri hedge fund Levitas Capital mengakibatkan perusahaan membayar $8,7 juta dalam faktur palsu; perusahaan tersebut bangkrut tak lama setelahnya.
Phishing hadir dalam berbagai bentuk.
getty
Pharming
Pharming melibatkan pengalihan lalu lintas situs web ke situs web berbahaya. Namun, berbeda dengan serangan phishing, ini dilakukan melalui teknis daripada sosial: mengeksploitasi Sistem Nama Domain (DNS) — “buku telepon” internet, yang menerjemahkan nama domain normal ke alamat IP yang dapat dibaca mesin.
Ini bisa dilakukan dengan beberapa cara. Namun, metode yang paling umum mungkin adalah dengan menggunakan pemalsuan DNS, yang juga dikenal sebagai DNS poisoning atau DNS cache poisoning. Hal ini memungkinkan penyerang untuk mengompromikan server DNS target agar mengarahkan pertanyaan ke alamat IP penyerang daripada yang sebenarnya. Pharming juga dapat melibatkan memasang virus, Trojan, atau keylogger pada komputer pengguna, mengubah file host pada komputer pengguna atau konfigurasi DNS pada jaringan lokal, atau menyiapkan server DNS “palsu”. Berbeda dengan serangan phishing, tidak perlu bagi pengguna untuk mengklik tautan palsu agar serangan berhasil.
Email Spoofing
Email spoofing merujuk pada pengiriman email yang terlihat berasal dari orang lain — dan karena tidak ada proses otentikasi yang dibangun ke dalam protokol pengiriman email, seringkali sulit untuk terdeteksi.
Sebuah email terdiri dari tiga elemen berbeda: amplop, yang biasanya tidak terlihat oleh pengguna, dan memberitahu server email siapa yang mengirimnya dan kemana tujuannya; header, yang terdiri dari nama pengirim dan alamat email, subjek email, alamat balasan, dan tanggal pengiriman email; dan akhirnya badan pesan itu sendiri. Penjahat bisa menyesuaikan beberapa atau seluruhnya untuk menipu korban mereka, dengan email yang mengaku berasal dari PayPal atau bank yang paling umum. Email yang dipalsukan dapat digunakan untuk menipu penerima agar menyerahkan data pribadi mereka, atau untuk menyebarkan malware.
Contoh Phishing Email Umum
Para penipu phishing seringkali sangat oportunis, menargetkan email untuk disesuaikan dengan liburan, acara olahraga besar, dan batas waktu pajak. Namun, menurut laporan terbaru dari perusahaan keamanan Cofense, email phishing biasanya berpusat pada beberapa tema tertentu.
Email phishing yang berhubungan dengan keuangan, terkait dengan faktur, pembayaran, slip gaji, laporan, pesanan, pengiriman, atau penerimaan adalah jenis yang paling umum, sebesar 54%. Yang berkaitan dengan pemberitahuan seperti kadaluarsa kata sandi atau janji temu adalah yang kedua paling umum, sebesar 35%, sementara email yang berhubungan dengan pengiriman barang akunntasikan sebesar 7%. Email phishing lainnya yang umum termasuk yang terkait dengan dokumen dan tandatangan dokumen; email dengan tema voicemail; bantuan perjalanan; dan email dengan tema hukum. Sementara itu, menurut laporan dari Check Point Research, kala itu Microsoft adalah merek yang paling sering ditiru pada kuartal kedua tahun lalu, diikuti oleh Google, Apple, Wells Fargo, dan Amazon.
Bagaimana Mencegah Serangan Phishing
Pertahanan yang efektif terhadap serangan phishing melibatkan pendekatan berlapis melalui penggunaan pelatihan kesadaran staf dan langkah-langkah teknis.
Individu harus selalu curiga ketika diminta untuk mengklik tautan atau menyediakan informasi pribadi atau keuangan. Tanda lain bahwa email tidak asli termasuk kesalahan ejaan dan tata bahasa, klaim urgensi, atau alamat email yang agak tidak benar. Mengarahkan kursor ke tautan harus memperlihatkan apakah URL tujuan cocok dengan situs web yang sah. Organisasi patut melaksanakan program pelatihan berkala, dan memastikan bahwa mudah bagi staf untuk melaporkan email yang mencurigakan. Sementara itu, otentikasi multi faktor harus digunakan, dan perangkat lunak serta browser harus tetap diperbarui. Ada saran dari Komisi Perdagangan Federal di sini. Dan siapa pun yang pernah jebakan email phishing harus melaporkannya kepada departemen IT mereka atau penyedia email, mengubah kata sandi, dan memantau akun mereka dari malware.
Kesimpulannya
Dengan meningkatnya serangan phishing, organisasi dan individu perlu waspada, terutama karena keberadaan kecerdasan buatan membuat penipuan semakin sulit untuk dideteksi. Namun, tingkat kecurigaan yang sehat, bersama dengan langkah-langkah teknis dan strategi organisasi yang tepat, dapat membantu mengurangi risiko minimal.