Phising, salah satu ancaman paling dahsyat yang menyerang setiap hari. Oleh karena itu, memahami karakteristik email phising harus menjadi pengetahuan umum bagi pengguna internet.
Phising umumnya dikirim melalui email berisi pesan yang sangat menyakinkan, persuasif, kadang juga memaksa dengan ancaman yang membuat penerimanya dalam tekanan sehingga melakukan keputusan salah seperti dengan mengeklik lampiran dalam email.
Tautan tersebut biasanya diarahkan ke situs eksternal berbahaya yang penuh jebakan dan tipuan. Berikut pemaparannya tentang phising dan karakteristiknya.
Karakteristik email phising
- Pesan tiba secara tak terduga.
- Isi pesannya tidak biasa.
- Berasal atau mengaku dari otoritas berwenang (kepolisian, kehakiman dsb).
- Berasal dari pengirim selain dari otoritas, seperti perusahaan yang legitimate.
- Teks ini menyampaikan situasi mendesak atau gawat.
- Kata sapaan tidak ada atau sangat umum.
- Pesan itu mengandung sedikit atau tidak ada penjelasan.
- Pesan itu mengandung lampiran atau tautan yang tidak biasa atau tak terduga.
Email yang berisi salah satu dari spesifikasi di atas, sudah cukup untuk membuat orang yang sadar keamanan harus merasa waspada. Namun dari penelusuran, sering terlihat email yang sah yang mengandung semua karakteristik ini, yang biasanya digunakan dalam serangan dengan metode social engineering.
Tipe serangan dengan metode semacam ini harus menjadi pembelajaran bagi para karyawan agar terbiasa menerima pesan semacam ini dan mampu menanganinya dengan tepat dan meminimalisir risiko.
Di situasi yang berbeda, kadang pesan semacam ini dikirim langsung oleh karyawan lain dalam perusahaan. Jika ini adalah kasus di perusahaan Anda, akan bermanfaat untuk memberi karyawan Anda jenis pelatihan anti phising yang berbeda: “Bagaimana tidak mengirim email dengan social engineering ke rekan kerja.”
Mencakup berbagai saran dengan memperkenalkan seperti apa email yang mengandung metode social engineering dan trik bagaimana agar karyawan mengenali jika email yang dikirim berasal dari lingkup perusahaan, apakah itu sesama rekan kerja, beda departemen ataupun yang berasal dari mitra usaha.
Marak
Pengiriman email yang mirip phising saat sekarang juga semakin marak seperti yang dikirim oleh aplikasi Software as a Service (SaaS) seperti aplikasi faks atau layanan pengiriman, portal HRD atau akuntan, tool kolaborasi, newsletter atau bahkan perencana pesta.
Minimal, sebagian besar email ini dikirim dari alamat eksternal, yang juga sering tidak terduga atau tidak diminta, mereka mengandung sedikit atau tidak ada penjelasan, dan mereka menggunakan sapaan umum atau tanpa ucapan sama sekali.
Fakta bahwa aplikasi ini mengirim email perusahaan dari alamat eksternal secara drastis meningkatkan jangkauan alamat email “sah” di luar domain perusahaan. Hal ini membuat lebih sulit bagi karyawan untuk melacak domain mana yang dikenal dan olehpengirim tepercaya.
Sekarang pertanyaannya adalah bagaimana cara untuk membuat email agar tidak tampak seperti email phising? Berikut beberapa hal yang perlu dipertimbangankan:
1. Keunikkan
Jika Anda akan mengirim email yang membutuhkan tindakan karyawan, berikan mereka email perkenalan terlebih dahulu, yang memberi mereka beberapa peringatan sebelumnya dan penjelasan tentang apa isi email, ditambah deskripsi tentang apa yang akan diharapkan dari mereka setelah menerima pesan.
Semakin banyak informasi yang dapat Anda berikan kepada mereka tentang apa yang diharapkan seperti alamat email pengirim, ringkasan singkat dari konten, salam atau tanda yang berbeda, dan lain-lain, semakin baik mereka akan memverifikasi bahwa email itu asli .
Pahamilah bahwa alamat surel mudah untuk spoof yaitu teknik pemalsuan, penyisipan informasi palsu atau menyesatkan dalam e-mail atau news header. Jadi semakin Anda dapat menyesuaikan sebuah email untuk membuatnya terlihat unik, semakin mudah bagi karyawan Anda untuk mengidentifikasinya sebagai pesan yang sah.
2. Sederhana
Gunakan format teks default, penggunaan konten HTML hanya jika benar-benar diperlukan. Jika memungkinkan, penerima tidak perlu mengeklik tautan atau lampiran untuk membaca substansi pesan.
Buatlah sesingkat dan semudah mungkin bagi karyawan Anda untuk mendapatkan setidaknya ringkasan dasar dari informasi, dan minta mereka pergi ke lokasi standar seperti situs perusahaan internal untuk mendapatkan informasi yang lebih rinci, daripada harus mengikuti tautan yang disematkan di pesan.
3. Ramah pengguna
Dapatkah Anda menandatangani secara digital atau mengenkripsi email yang dikirim dari aplikasi pihak ketiga? Apakah ada opsi untuk mengirim email dari dalam domain perusahaan Anda sendiri? Dapatkah Anda menyesuaikan email dengan teks Anda sendiri atau nama penerima? Dapatkah email dikirim dalam bentuk plaintext daripada menggunakan pesan berformat-berat atau berformat HTML?
Ini adalah beberapa pertanyaan yang harus Anda tanyakan ketika memikirkan penerapan aplikasi SaaS baru. Namun, jika hanya memiliki sedikit atau tidak ada pilihan tentang aplikasi baru atau lama yang Anda gunakan, mungkin ada beberapa opsi yang tersedia untuk menyesuaikan pesan agar lebih “ramah pengguna”.
4. Prosedural
Membuat kebijakan kuat yang tidak menekan atau menakut-nakuti karyawan dan membuat mereka dapat lebih bertanggung jawab dalam setiap aktivitas rutin mereka selama di kantor dapat membantu perusahaan meminimalisir bahkan menghentikan bahaya serangan phising.
Tambahan lain adalah bagaimana perusahaan memiliki program pelatihan rutin berkaitan dengan keamanan siber terlebih lagi phising.
Tidak kalah penting, buat Standar Operasional Prosedur (SOP) tentang kebocoran data dan bagaimana langkah-langkah penanganannya, sehingga dalam situasi paling buruk sekali pun, karyawan dapat mengatasi masalah dengan tenang.
Phising, Business Email Compromise (BEC) dan Email Account Compromise (EAC) menyebabkan kerugian ratusan juta dolar setiap tahun.
Jumlah ini tampaknya tidak akan berkurang jika kita terus memberikan informasi yang bertentangan kepada karyawan tentang cara menangani email yang mencurigakan.
Untuk dapat memastikan pesan yang dikirim dapat dipercaya dan diverifikasi, disarankan karyawan untuk secara konsisten mengikuti pelatihan anti phising dan mengasah naluri mereka untuk mengenali email mana yang benar-benar aman.
Bacaan lainnya:
- Teknologi SpamCleaner
- Tempat Phising Paling Favorit
- Email Jadi Sumber Malapetaka
- Phising Aplikasi Berkirim Pesan
- Tiga Jenis Serangan BEC
- Mengatasi Business Email Compromise
- Serangan Email Palsu
Sumber berita: