Taktik Phising Email Terbaru yang Wajib Diwaspadai

Taktik Phising Email Terbaru yang Wajib Diwaspadai – Meskipun phising email adalah salah satu ancaman tertua di internet, taktiknya terus berevolusi menjadi jauh lebih canggih dan berbahaya.

Dengan bantuan Kecerdasan Buatan (AI) dan teknik rekayasa sosial yang semakin terorganisir, serangan phising kini berhasil menembus pertahanan banyak perusahaan dan pengguna individu.

Berikut adalah kompilasi tren dan taktik terbaru dalam phising email yang harus Anda waspadai di tahun 2025:

1. Spear-Phising Berbasis AI dan Contextual Phising

Ini adalah evolusi phising massal. Penyerang kini tidak lagi mengirim ribuan email generik, melainkan:

• Personalisasi Sempurna (Hyper-Personalization): AI digunakan untuk menyusun email yang meniru gaya bahasa atasan, rekan kerja, atau bahkan keluarga Anda. AI menganalisis data yang dicuri (dari pelanggaran data atau media sosial) untuk menciptakan konteks yang sangat akurat. Contoh: Email yang menyebutkan proyek internal terbaru Anda dan menggunakan nama panggilan yang sering digunakan atasan Anda.
• Targeting Eksekutif (Whaling): Serangan yang secara khusus menargetkan eksekutif tingkat tinggi (CEO, CFO, C-Suite) untuk mencuri kredensial berharga atau memicu transfer dana besar (Wire Transfer Fraud). Karena eksekutif sering bergerak cepat, mereka lebih rentan terhadap pesan yang mendesak.
• Phising Rantai Pasok (Supply Chain): Penyerang menyusup ke vendor atau mitra bisnis yang sah, kemudian menggunakan akun email resmi mereka untuk mengirimkan phising ke perusahaan utama. Email ini secara alami akan lolos dari filter spam karena berasal dari sumber yang dipercaya.

2. Eksploitasi Layanan Tepercaya (Docusign, Microsoft 365, dll.)

Penjahat siber kini fokus mengeksploitasi layanan yang sering digunakan dalam alur kerja profesional.

• Phising Docusign/Adobe Sign: Email palsu dikirim, mengklaim bahwa “dokumen penting menunggu tanda tangan Anda.” Tautan di email mengarah ke halaman login palsu yang dirancang untuk mencuri kredensial pengguna, bukan hanya Docusign, tetapi juga kredensial email mereka.
• Phising Notifikasi Microsoft 365/Google Workspace: Penipu mengirim notifikasi palsu tentang “Dokumen Bersama,” “Pesan Suara Baru,” atau “Peringatan Keamanan Akun.” Tujuannya adalah memancing korban memasukkan kredensial mereka ke halaman login yang meniru antarmuka Microsoft atau Google, yang kemudian digunakan untuk membajak akun.
• Penyalahgunaan Kode QR (Quishing): Penipu menanamkan kode QR berbahaya di email. Korban diminta memindai kode QR untuk “memverifikasi akun” atau “mengunduh dokumen.” Karena pemindaian dilakukan di perangkat seluler, banyak alat keamanan email tidak dapat menganalisis tautan berbahaya yang tersembunsi di balik kode tersebut.

3. Taktik Penipuan yang Menyertakan Malware Terbaru

Email phising tidak hanya mencuri password, tetapi juga digunakan sebagai gerbang utama untuk menyebarkan malware canggih.

• Penyebaran Infostealer: Email digunakan untuk mengirim lampiran berbahaya yang berisi malware pencuri informasi (infostealer). Infostealer ini, sering disamarkan sebagai faktur, kontrak, atau surat peringatan, akan mencuri kredensial, cookies, data kripto, dan bahkan screenshot begitu korban membukanya.
• Penyamaran File Berbahaya: Penyerang menggunakan trik untuk menyamarkan jenis file berbahaya:
• Ekstensi Ganda: Menggunakan nama file yang panjang dengan banyak spasi sehingga ekstensi asli (.exe atau .scr) tersembunyi, dan file tampak berakhir dengan ekstensi aman (.pdf atau .docx).
• Konten Image: Menggunakan gambar (image) palsu di badan email yang sebenarnya adalah tautan, bukan lampiran, untuk memancing klik.
• Penipuan Invoice dan Tagihan: Serangan ini menargetkan tim keuangan. Penipu mengirim invoice palsu yang mendesak pembayaran ke rekening bank baru. Ini sering terjadi setelah penyerang mendapatkan akses ke thread email bisnis yang sah (BEC), meniru vendor tepercaya.

Cara Terbaik Melindungi Diri dari Phising Email

Karena phising terus berevolusi, pertahanan Anda harus berlapis:

1. Selalu curigai email yang meminta tindakan segera, terutama yang melibatkan uang, kata sandi, atau data sensitif.
2. Jangan hanya melihat nama pengirim. Arahkan kursor (hover) di atas alamat pengirim atau tekan lama (tap and hold) di ponsel Anda untuk melihat alamat email lengkap. Periksa kesalahan ketik kecil (typo) pada domain (misalnya, g00gle.com alih-alih google.com).
3. Jika Anda menerima email dari Docusign, bank, atau layanan penting lainnya, jangan klik tautan di email. Buka peramban Anda secara terpisah, ketik alamat web resmi layanan tersebut, dan login secara mandiri untuk memeriksa notifikasi.
4. Autentikasi Multi-Faktor (MFA) adalah pertahanan tunggal terbaik. Aktifkan MFA untuk semua akun Anda. Bahkan jika kata sandi Anda dicuri melalui phising, penyerang tidak akan bisa masuk tanpa kode MFA Anda.
5. Sebelum mengklik tautan, arahkan kursor ke atas tautan (atau tahan di ponsel) untuk melihat URL tujuan di bilah status. Pastikan URL tersebut mengarah ke domain yang sah.

Dengan memahami taktik baru ini, Anda dapat menjadi garis pertahanan pertama yang paling efektif melawan gelombang kejahatan siber phising terbaru.

Baca lainnya:

• Memahami Keamanan Siber
• Serangan Phising Kredensial
• Hacker Buru Pengguna Zimbra
• Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
• Lawas Salah Satu Dasar Kerentanan
• Subyek Umum dalam Phising
• Remote Access Phising
• Ajang Pengelabuan Saat Berlibur
• Pengelabuan Eksploitasi TLD

Sumber berita:

Prosperita IT News