Hampir setiap bisnis di dunia rentan terhadap phising. Tidak mudah untuk mendeteksi phising, oleh karena itu pengguna internet harus tahu tentang 5 teknik phising paling berbahaya.
Apa yang membuat phising sangat membuat frustrasi adalah sebagian besar dari kita mengetahui apa itu phising dan cara kerjanya, namun kita tetap saja ketahuan.
Penipu mempunyai beberapa trik untuk membodohi orang agar mengeklik tautan berbahaya atau menyerahkan informasi pribadi mereka, dan mereka menggunakan pendekatan yang sama dari waktu ke waktu.
Setiap kampanye phising mungkin berbeda secara dangkal โ dengan dalih yang merujuk pada satu Perusahaan atau lainnya โ dan penyerang menemukan cara baru untuk melewati filter keamanan, namun teknik phising mereka jarang berubah.
Sayangnya, penyesuaian kecil ini seringkali cukup untuk membuat kita terkejut. Berkat strategi yang tak lekang oleh waktu atau taktik rekayasa sosial yang dirancang dengan cermat, setiap kampanye baru tampak cukup nyata untuk mengelabui karyawan yang terlalu banyak bekerja atau lalai.
Untuk membantu Anda memahami taktik phisher berikut adalah 5 teknik phising paling berbahaya yang seringkali digunakan oleh penjahat dunia maya.
1. Email Phising
Kebanyakan serangan phising dikirim melalui email. Penjahat akan mendaftarkan domain palsu yang meniru Perusahaan asli dan mengirimkan ribuan permintaan umum.
Domain palsu sering kali melibatkan substitusi karakter, seperti menggunakan ‘r’ dan ‘n’ bersebelahan untuk membuat ‘rn’, bukan ‘m’.
Dalam kasus lain, penipu membuat domain unik yang menyertakan nama Perusahaan sah di URL-nya. Contoh di bawah ini dikirim dari ‘olivia@amazonsupport.com’.
Penerima mungkin melihat kata ‘Amazon’ di alamat pengirim dan berasumsi bahwa itu adalah email asli.
Ada banyak cara untuk mengenali email phising, namun sebagai aturan umum, Anda harus selalu memeriksa alamat email dari pesan yang meminta Anda mengeklik tautan atau mengunduh lampiran.
2. Spear Phising
Ada dua jenis phising lain yang lebih canggih yang melibatkan email.
Yang pertama, spear phising, menggambarkan email berbahaya yang dikirim ke orang tertentu. Penjahat yang melakukan hal ini sudah mempunyai beberapa atau seluruh informasi berikut tentang korbannya:
- Nama mereka.
- Tempat kerja.
- Posisi pekerjaan.
- Alamat email.
- Informasi spesifik tentang peran pekerjaan mereka.
Anda dapat melihat pada contoh di bawah betapa lebih meyakinkannya email spear phising dibandingkan dengan penipuan standar.
Penipu mempunyai kemampuan untuk memanggil individu tersebut dengan menyebutkan namanya dan (mungkin) mengetahui bahwa peran pekerjaan mereka melibatkan melakukan transfer bank atas nama perusahaan.
Informalitas email juga menunjukkan bahwa pengirimnya adalah penutur asli bahasa Inggris dan menimbulkan kesan bahwa ini adalah pesan nyata dan bukan templat.
3. Whaling
Serangan whaling bahkan lebih ditargetkan, dengan sasaran para eksekutif senior. Meskipun tujuan akhir dari penangkapan ikan paus sama dengan jenis serangan phising lainnya, tekniknya cenderung lebih halus.
Trik seperti tautan palsu dan URL berbahaya tidak membantu dalam hal ini, karena penjahat berusaha meniru staf senior.
Email whaling juga biasanya menggunakan dalih seorang CEO sibuk yang ingin karyawannya membantu mereka.
Email seperti di atas mungkin tidak secanggih email spear phising, tetapi email tersebut memanfaatkan kesediaan karyawan untuk mengikuti instruksi dari atasan mereka.
Penerima mungkin curiga ada sesuatu yang salah tetapi terlalu takut untuk mengonfrontasi pengirim sehingga menunjukkan bahwa mereka tidak profesional.
4. Smishing dan Vishing
Dengan smishing dan vishing, telepon menggantikan email sebagai metode komunikasi.
Smishing melibatkan penjahat yang mengirimkan pesan teks (isinya hampir sama dengan email phising), dan vishing melibatkan percakapan telepon.
Salah satu dalih smishing yang paling umum adalah pesan yang diduga berasal dari bank Anda yang memperingatkan Anda akan aktivitas mencurigakan.
Dalam contoh ini, pesan tersebut menyarankan bahwa Anda telah menjadi korban penipuan dan meminta Anda untuk mengikuti tautan untuk mencegah kerusakan lebih lanjut. Namun, tautan tersebut mengarahkan penerima ke situs web yang dikendalikan oleh penipu dan dirancang untuk menangkap detail perbankan Anda.
5. Angler Phising
Sebagai vektor serangan yang relatif baru, media sosial menawarkan beberapa cara bagi penjahat untuk mengelabui orang. URL palsu; situs web, postingan, dan tweet yang dikloning; dan pesan instan (yang pada dasarnya sama dengan smishing) semuanya dapat digunakan untuk membujuk orang agar membocorkan informasi sensitif atau mengunduh malware.
Alternatifnya, penjahat dapat menggunakan data yang orang-orang posting di media sosial untuk menciptakan serangan yang sangat bertarget.
Seperti yang ditunjukkan dalam contoh ini, pemancing phising sering kali terjadi karena banyaknya orang yang memuat Perusahaan secara langsung di media sosial yang menyampaikan keluhan.
Perusahaan sering kali menggunakan hal ini sebagai peluang untuk mengurangi dampak buruk โ biasanya dengan memberikan pengembalian dana kepada individu tersebut.
Namun, penipu mahir dalam membajak tanggapan dan meminta pelanggan memberikan rincian pribadi mereka. Tampaknya mereka melakukan hal ini untuk memfasilitasi beberapa bentuk kompensasi, namun hal ini malah dilakukan untuk membahayakan akun mereka.
Karyawan adalah Garis Pertahanan Terakhir
Perusahaan dapat memitigasi risiko phising dengan sarana teknologi, seperti filter spam, namun hal ini secara konsisten terbukti tidak dapat diandalkan.
Email berbahaya akan tetap masuk secara berkala, dan ketika hal itu terjadi, satu-satunya hal yang mencegah pelanggaran Perusahaan Anda adalah kemampuan karyawan Anda untuk mendeteksi sifat penipuan mereka dan merespons dengan tepat.
Kursus Kesadaran Staf phising kami membantu karyawan melakukan hal tersebut, serta menjelaskan apa yang terjadi jika orang menjadi korban dan bagaimana mereka dapat mengurangi ancaman serangan.
Kursus online ini menggunakan contoh dunia nyata seperti yang telah kita bahas di sini untuk menjelaskan cara kerja serangan phising, taktik yang digunakan penjahat dunia maya, dan cara mendeteksi email berbahaya.
Anda dan tim Anda akan menerima panduan ahli yang Anda perlukan untuk mendeteksi serangan phising dan merespons dengan tepat, sehingga melindungi Perusahaan Anda dari pelanggaran data yang merugikan.
Konten kursus diperbarui setiap tiga bulan untuk menyertakan contoh-contoh terkini dari serangan yang berhasil dan tren terbaru yang digunakan penjahat.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: