Phising media sosial adalah serangan apa pun yang terjadi melalui platform media sosial seperti Instagram, LinkedIn, Facebook, atau Twitter.
Alasan di balik serangan media sosial sering kali adalah untuk mencuri data pribadi atau mendapatkan kendali atas akun media sosial Anda, untuk melakukan serangan phising lebih lanjut terhadap teman, kolega, atau jika Anda menggunakan platform ini untuk bisnis, juga pelanggan Anda.
Dengan lebih dari 90% pengguna mengakses media sosial melalui perangkat seluler, phising media sosial juga telah dikaitkan dengan phising seluler, yang sudah menjadi masalah besar bagi bisnis.
Pengaruh Phising Media Sosial Terhadap Bisnis
Jenis serangan media sosial yang paling umum adalah yang berkaitan dengan penipuan, diikuti oleh peniruan identitas oleh karyawan, merek, dan eksekutif.
Serangan phising media sosial dapat menyebabkan malapetaka bagi bisnis dan pelanggan. Pelanggaran ukuran apa pun biasanya menyebabkan gangguan bisnis, umumnya dalam bentuk hilangnya data atau aset.
Atau jika serangan phising memengaruhi pelanggan Anda, mereka mungkin mulai kehilangan kepercayaan terhadap merek Anda, yang dapat mengakibatkan hilangnya kebiasaan.
Jika data pelanggan Anda dicuri atau bocor, hal ini juga dapat mengakibatkan tuntutan hukum dan denda, terutama jika data tersebut dilindungi oleh peraturan perlindungan data.
Beberapa aplikasi terpopuler di dunia, WhatsApp dan Facebook messenger juga merupakan salah satu aplikasi paling berisiko bagi pengguna bisnis.
Dalam sebuah studi diketahui bahwa WhatsApp dan Facebook Messenger memiliki skor risiko tertinggi. Perusahaan tidak hanya mengkhawatirkan kebocoran data tradisional tetapi juga kebocoran daftar kontak dan, dalam beberapa kasus, lokasi karyawan.
Menurut laporan lain karyawan memiliki kemungkinan 18x lebih besar untuk terkena serangan phising seluler dibandingkan mengunduh malware seluler.
Serangan Phising Media Sosial Berhasil
Meskipun sebagian besar phising masih terjadi melalui email, hal ini dengan cepat berubah, karena serangan phising media sosial jauh lebih berhasil dibandingkan phising email tradisional.
Sebuah studi oleh Google menemukan bahwa email phising rata-rata efektif 13,7%. Sebaliknya, penelitian selanjutnya yang dilakukan oleh Blackhat menemukan bahwa serangan phising media sosial efektif hingga 66%.
Berikut beberapa contoh mengapa serangan phising media sosial berhasil:
1. Url yang Diperpendek
Karena URL yang sering diperpendek di browser seluler, semakin sulit mendeteksi situs tidak sah berdasarkan sekilas URL, yang merupakan teknik umum untuk mengenali phising.
Juga lebih sulit untuk memeriksa URL sebelum mengkliknya di beberapa aplikasi media sosial, seperti Facebook Messenger karena umumnya, URL tersebut tidak melihat pratinjau URL lengkap, hanya teks hyperlink.
2. Penerusan Pesan
Seringkali penipuan WhatsApp menggunakan penerusan pesan sebagai cara mengirim pesan berbahaya melalui jaringan tepercaya. Hanya satu orang yang perlu meneruskannya sebelum tampaknya berasal dari sumber yang sah.
Misalnya, satu serangan phising melibatkan pesan yang memberi tahu pengguna bahwa WhatsApp membuat layanan ‘Emas’.
Tautan dalam pesan mengarahkan ke situs web jahat, namun penipuan masih menyebar ke seluruh jaringan sosial, umumnya melalui obrolan grup besar.
3. Akun Publik/Akun Terlihat
Serangan LinkedIn beroperasi dengan asumsi bahwa semua orang di situs adalah profesional, dan akun yang terlihat secara publik memberi penyerang akses mudah ke banyak informasi.
LinkedIn tampaknya sering digunakan untuk mengumpulkan informasi guna mendorong kampanye phising, seperti alamat email dan informasi pekerjaan.
Hal ini dapat digunakan untuk membuat kampanye spear phising yang menargetkan industri atau posisi tertentu dalam suatu perusahaan, dengan tingkat keberhasilan yang lebih tinggi.
Data dapat dikumpulkan dengan menambahkan orang-orang dengan akun palsu atau dengan menghapus jutaan akun yang terlihat secara publik.
4. Profil Palsu/Spear Phising
Serangan phising tahun 2020 di LinkedIn, melibatkan profil palsu yang akan menghubungi korban, terutama menargetkan pemilik bisnis dan pengambil keputusan penting.
Serangan tersebut menggunakan halaman login OneDrive palsu untuk mencuri kredensial Microsoft. Profil palsu ini sulit dikenali secara sekilas, karena umumnya mereka memiliki jaringan koneksi besar yang relevan dengan korbannya, sehingga membuatnya tampak sah.
Melindungi Bisnis
Meskipun ada sejumlah alat dan teknologi pemfilteran spam yang tersedia di pasaran, cara terbaik untuk mencegah serangan adalah dengan mengedukasi orang-orang Anda tentang potensi ancaman, karena mereka adalah garis pertahanan pertama Anda.
Hal ini mencakup pelatihan kesadaran bagi staf dan serangan phising yang disesuaikan untuk melihat seberapa rentan tenaga kerja.
Tentu saja, hasilnya sering kali mengejutkan sebuah organisasi. Namun, informasi ini memungkinkan pelatihan diberikan jika diperlukan dan mengembangkan pendekatan pendidikan keamanan yang lebih pragmatis dan hemat biaya.
Tidak seorang pun boleh paranoid terhadap pesan yang mereka terima, namun mereka berhak untuk merasa aman di dunia yang semakin bergantung pada email dan komunikasi instan.
Jika phising bertanggung jawab atas 91% serangan siber, maka dengan mengetahui cara mengenali dan menghindarinya, Anda telah meningkatkan keamanan online organisasi Anda, dan bahkan keamanan Anda sendiri.
Baca artikel lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising QRIS
- Pengelabuan Eksploitasi TLD
Sumber berita: