Oversharing Picu Spearphishing

Oversharing Picu Spearphishing – Konsep Employee Advocacy yakni ketika karyawan aktif memposting tentang pekerjaan, perusahaan, dan peran mereka di media sosial telah ada selama lebih dari satu dekade.

Tujuannya baik, adalah untuk meningkatkan citra perusahaan di mata pelanggan dan masyarakat, memperkuat kepemimpinan, dan pemasaran.

Namun, strategi ini membawa konsekuensi tak terduga. Ketika para profesional berbagi informasi di ranah publik, mereka berharap menjangkau rekan seprofesi, calon pelanggan, atau mitra. Sayangnya, aktor ancaman (penjahat siber) juga memperhatikan dengan saksama.

Setelah informasi pekerjaan dan perusahaan terekspos di domain publik, informasi itu sering digunakan untuk membangun serangan spearphishing (phishing yang sangat spesifik).

Atau penipuan kompromi email bisnis (Business Email Compromise / BEC) yang sangat meyakinkan. Semakin banyak informasi yang Anda bagikan, semakin besar peluang bagi aktivitas jahat yang dapat merugikan organisasi Anda.

Di Mana Karyawan Anda Berbagi Informasi?

Informasi sensitif sering bocor dari platform yang biasa digunakan sehari-hari:

1. LinkedIn (Harta Karun Informasi Korporat)

LinkedIn adalah database terbuka terbesar di dunia untuk informasi korporat. Ini adalah gudang harta karun yang berisi jabatan, peran, tanggung jawab, dan bahkan hubungan internal antar karyawan.

Risiko Oversharing: Perekrut sering memposting lowongan yang mungkin terlalu detail, mengungkapkan nama proyek teknis, tech stack, atau bahkan detail alur kerja CI/CD (Continuous Integration/Continuous Delivery) yang dapat digunakan penyerang untuk menyusun email phishing yang sangat spesifik.

2. GitHub (Detail Teknis yang Terlalu Banyak)

Meskipun dikenal sebagai tempat developer berbagi kode, GitHub juga sering menjadi tempat di mana developer yang lalai secara tidak sengaja memposting rahasia (hardcoded secrets), detail IP, atau data pelanggan yang sensitif.

Selain itu, informasi yang terlihat tidak berbahaya seperti nama proyek, nama pipeline, atau pustaka open source yang digunakan dapat menjadi kunci bagi penjahat siber.

3. Media Sosial Konsumen (Instagram, X, dll.)

Platform ini adalah tempat karyawan berbagi detail tentang perjalanan mereka ke konferensi, liburan, atau acara lainnya. Informasi ini dapat dipersenjatai.

Penjahat siber yang tahu bahwa seorang eksekutif sedang di luar kantor dapat melancarkan serangan BEC mendesak, memanfaatkan sulitnya memverifikasi permintaan tersebut secara langsung.

4. Situs Web Perusahaan (Data Vendor & Platform)

Bahkan informasi di situs web perusahaan, seperti detail tentang platform teknis yang digunakan, nama vendor, mitra, atau pengumuman besar (misalnya, aktivitas Merger & Acquisition / M&A), dapat memberikan dalih (pretext) yang kuat untuk melancarkan phishing yang canggih.

Oversharing Picu Spearphishing — Credit image: Freepix

Mempersenjatai Informasi (OSINT)

Tahap pertama dari serangan rekayasa sosial (social engineering) yang khas adalah pengumpulan intelijen. Tahap berikutnya adalah mempersenjatai intelijen tersebut menjadi serangan spearphishing atau BEC.

Penjahat siber menggunakan teknik yang dikenal sebagai OSINT (Open Source Intelligence yaitu mengumpulkan informasi dari sumber publik yang tersedia secara bebas untuk membangun profil korban. Intelijen ini kemudian dikemas dengan unsur Impersonasi, Urgensi, dan Relevansi untuk mencapai tujuannya, seperti:

Mencuri Kredensial: Mengelabui penerima agar menginstal malware atau membagikan kredensial perusahaan untuk akses awal.
Penipuan Transfer Dana: Menggunakan informasi yang bocor untuk menyamar sebagai eksekutif C-Level (CEO/CFO) atau supplier dan meminta transfer dana mendesak.

Contoh Serangan Hipotetis Berdasarkan OSINT:

Menargetkan Karyawan Baru (IT): Penyerang menemukan informasi starter baru di IT, termasuk perannya, melalui LinkedIn. Mereka menyamar sebagai vendor teknologi utama, mengklaim bahwa pembaruan keamanan mendesak diperlukan, dan merujuk pada nama serta peran target. Tautan pembaruan yang diberikan adalah malware.
Serangan Deepfake BEC: Penipu menemukan video eksekutif di LinkedIn dan melihat dari Instagram/X bahwa eksekutif tersebut sedang berada di konferensi dan sulit dihubungi. Mengetahui eksekutif sedang sibun, penyerang meluncurkan serangan BEC deepfake (menggunakan audio atau video palsu) untuk menipu tim keuangan agar mentransfer dana mendesak ke “vendor” baru.

Mitigasi Risiko Oversharing

Risiko oversharing ini nyata, tetapi untungnya solusinya lugas. Senjata paling ampuh dalam pertahanan Anda adalah edukasi.

1. Pembaruan Program Kesadaran Keamanan: Pastikan semua karyawan, dari eksekutif hingga staf, memahami pentingnya untuk tidak oversharing di media sosial.

2. Kebijakan Media Sosial yang Ketat: Terapkan kebijakan ketat yang mendefinisikan batas merah tentang apa yang boleh dan tidak boleh dibagikan. Pisahkan batasan yang jelas antara akun pribadi dan profesional/resmi.

3. Pengerasan Akun:

Wajibkan Multi-Factor Authentication (MFA) dan kata sandi kuat (disimpan di password manager) di semua akun media sosial.
Ingatkan staf untuk tidak membagikan apa pun melalui pesan langsung (Direct Message / DM) yang tidak diminta, bahkan jika mereka mengenali pengguna (karena akun tersebut mungkin telah dibajak).

4. Audit dan Pembersihan: Tinjau website dan akun korporat secara berkala untuk menghapus informasi (seperti detail vendor atau platform teknis) yang dapat dipersenjatai.

5. Simulasi Keamanan: Jalankan latihan red team terhadap karyawan untuk menguji kesadaran mereka terhadap phishing dan BEC.

Sayangnya, AI membuat penjahat siber lebih cepat dan lebih mudah dari sebelumnya untuk membuat profil target, mengumpulkan OSINT, dan menyusun email/pesan yang meyakinkan dalam bahasa alami yang sempurna. Deepfake bertenaga AI semakin memperluas opsi serangan mereka.

Intinya: Jika informasi itu ada di domain publik, perkirakan cybercriminal juga mengetahuinya dan akan segera datang mengetuk pintu organisasi Anda.

Baca artikel lainnya: