|

Gelombang Baru Email Phising Ancam Dunia Bisnis

Gelombang Baru Email Phising Ancam Dunia Bisnis – Email phising masih menjadi salah satu ancaman siber yang paling banyak digunakan oleh pelaku kejahatan digital.

Meskipun berbagai organisasi telah menerapkan solusi keamanan email, autentikasi multifaktor (MFA), hingga pelatihan keamanan bagi karyawan, serangan phising terus berkembang dengan teknik yang semakin sulit dikenali.

Hal tersebut tercermin dari temuan laporan terbaru yang mengungkap adanya operasi phising berskala besar pada awal tahun 2026.

Dalam salah satu operasi, pelaku mengirimkan lebih dari 1,5 juta email phising yang menargetkan sekitar 179.000 organisasi di 43 negara. Pada kampanye lainnya, lebih dari 35.000 pengguna di 13.000 perusahaan menjadi sasaran email phising yang dirancang menyerupai komunikasi internal perusahaan.

Kasus ini menunjukkan bahwa email phising masih menjadi senjata utama pelaku kejahatan siber untuk mencuri kredensial, memperoleh akses ke jaringan perusahaan, hingga membuka jalan bagi serangan lanjutan.

Email Phising Tidak Lagi Mudah Dikenali

Berbeda dengan email phising beberapa tahun lalu yang sering dipenuhi kesalahan tata bahasa atau menggunakan alamat pengirim yang mencurigakan, kampanye terbaru memperlihatkan perubahan yang sangat signifikan.

Pelaku menggunakan email berformat HTML dengan desain profesional yang menyerupai pemberitahuan resmi perusahaan. Beberapa pesan bahkan mengatasnamakan, sebagai berikut:

  • Divisi internal seperti sumber daya manusia.
  • Kepatuhan.
  • Komunikasi perusahaan.

Sehingga ini membuat penerima merasa email tersebut berasal dari lingkungan kerja mereka sendiri dan merasa email tersebut tidak berbahaya.

Selain itu, isi email dirancang untuk menciptakan rasa mendesak, misalnya dengan menyatakan bahwa pengguna harus segera meninjau dokumen penting, melakukan verifikasi akun.

Atau menyelesaikan proses administrasi tertentu. Kondisi tersebut mendorong korban mengambil keputusan secara terburu-buru tanpa terlebih dahulu memverifikasi keaslian email.

Memanfaatkan Layanan yang Sah

Salah satu hal yang membuat kampanye ini lebih berbahaya adalah penggunaan layanan dan infrastruktur yang sah untuk mengirim email phising.

Alih-alih menggunakan server yang mudah diblokir, pelaku memanfaatkan layanan yang memiliki reputasi baik sehingga email lebih berpeluang lolos dari penyaringan spam.

Dalam beberapa kasus, email juga berhasil melewati pemeriksaan autentikasi seperti SPF, DKIM, dan DMARC karena memanfaatkan mekanisme pengiriman yang tampak sah.

Teknik tersebut memperlihatkan bahwa pelaku tidak lagi hanya mengandalkan volume pengiriman email, tetapi juga memahami cara kerja sistem keamanan email modern.

Tujuan Utama Tetap Mencuri Kredensial

Sebagian besar email phising dalam kampanye ini mengarahkan korban menuju halaman login palsu yang dibuat sangat mirip dengan portal resmi Microsoft 365 atau layanan perusahaan lainnya.

Ketika korban memasukkan username dan password, data tersebut langsung dikirim kepada pelaku. Pada beberapa kasus, pelaku bahkan berupaya memperoleh token sesi pengguna sehingga dapat mengakses akun tanpa harus meminta korban melakukan login kembali. Teknik ini membuat serangan menjadi lebih efektif dan meningkatkan peluang pengambilalihan akun.

Setelah memperoleh akses ke akun email perusahaan, pelaku dapat membaca komunikasi internal, mengirim email atas nama korban, maupun mencari informasi yang dapat dimanfaatkan untuk serangan berikutnya.

Mengapa Email Phising Masih Efektif?

Keberhasilan email phising tidak semata-mata disebabkan oleh kelemahan teknologi, tetapi juga karena memanfaatkan faktor manusia.

Beberapa kondisi yang sering dimanfaatkan pelaku antara lain:

  • Pengguna terburu-buru membuka email tanpa memeriksa alamat pengirim.
  • Rasa percaya terhadap email yang tampak berasal dari perusahaan atau institusi resmi.
  • Kebiasaan langsung mengklik tautan tanpa memverifikasi tujuan sebenarnya.
  • Kurangnya kesadaran bahwa tampilan email yang profesional belum tentu menjamin keasliannya.

Situasi tersebut membuat email phising tetap menjadi salah satu metode serangan dengan tingkat keberhasilan yang tinggi meskipun teknologi keamanan terus berkembang.

Rekomendasi Keamanan

Untuk mengurangi risiko menjadi korban email phising, organisasi maupun pengguna individu sebaiknya menerapkan beberapa langkah berikut:

  1. Selalu periksa alamat email pengirim secara lengkap sebelum membuka tautan atau lampiran.
  2. Hindari mengklik tautan yang meminta login kembali tanpa melakukan verifikasi melalui situs resmi.
  3. Aktifkan autentikasi multifaktor (MFA) pada seluruh akun penting.
  4. Berikan pelatihan keamanan siber secara berkala agar pengguna mampu mengenali ciri-ciri email phising terbaru.
  5. Laporkan email yang mencurigakan kepada tim keamanan agar dapat segera dianalisis dan dicegah penyebarannya.

Masih Favorit

Kampanye phising yang terungkap sepanjang tahun 2026 membuktikan bahwa email masih menjadi media favorit pelaku kejahatan siber untuk memperoleh akses awal ke sistem organisasi.

Dengan tampilan email yang semakin profesional serta pemanfaatan layanan yang sah, serangan phising menjadi jauh lebih sulit dibedakan dari komunikasi bisnis sehari-hari.

Oleh karena itu, selain mengandalkan teknologi keamanan, organisasi juga perlu membangun budaya kewaspadaan terhadap setiap email yang diterima.

Kombinasi antara perlindungan teknis dan kesadaran pengguna merupakan pertahanan terbaik untuk menghadapi ancaman email phising yang terus berkembang.

Baca artikel lainnya:

Sumber berita:

Prosperita IT News