Apa pun skema serangan yang digunakan, penjahat dunia maya memahami satu fakta sederhana bahwa semua umat manusia rentan sehingga dapat termakan taktik manipulasi email
Dibandingkan metode serangan lainnya, pelaku kejahatan mengincar pekerja sebuah perusahaan, sering kali menggunakan taktik psikologis umum untuk memanipulasi orang agar mengirimkan uang, memberikan akses, atau membocorkan informasi rahasia.
Berikut adalah tiga teknik kejahatan dunia maya yang umum dilakukan orang:
1. Batas Waktu Mendesak
Penjahat menyamar sebagai eksekutif tingkat C atau senior dan mengajukan tuntutan yang memerlukan penyelesaian cepat. Skema umum termasuk menutup kesepakatan penjualan atau membayar faktur vendor yang tertunda.
Peretas memanfaatkan hubungan antara eksekutif dan bawahan langsung mereka, mengandalkan keinginan korbannya untuk menyelesaikan arahan yang sensitif untuk mendorong karyawannya bertindak cepat karena waktu yang mendesak.
2. Intimidasi
Pelaku menggunakan taktik menakut-nakuti yang agresif untuk melakukan penipuan. Meskipun skema ini mempunyai beberapa bentuk seperti pemerasan pribadi, tuntutan hukum, atau ancaman untuk menutup layanan berbayar.
Tujuan akhirnya mereka selalu sama yaitu menekan korban untuk mengirimkan uang atau membocorkan informasi sensitif.
Contoh Paling Umum:
Penipuan Pajak:
Pelaku menyamar sebagai petugas pajak dan mengklaim bahwa seseorang atau perusahaan berhutang pajak.
Mereka mengancam akan mengambil tindakan hukum atau pidana jika uang tersebut tidak ditransfer dalam jangka waktu tertentu.
Peniruan Identitas Layanan Bisnis:
Peretas memalsukan layanan email atau berbagi file terkenal dan mengatakan ada “masalah dengan akun Anda” yang perlu diselesaikan dengan cepat, mungkin akun akan ditangguhkan karena ruang penyimpanan terbatas atau kartu kredit kedaluwarsa.
Email tersebut mendesak penerima untuk menyelesaikan masalah pengiriman paket dengan mengklik link verifikasi. Permintaan transaksional yang sederhana untuk klik tautan ini adalah alasan konsumen terkena serangan seperti ini yang meniru merek global seperti Amazon, PayPal, dan Bank of America.
Serangan pencurian kredensial seperti ini dapat mempunyai dampak bisnis yang lebih luas. Misalnya, detail login tingkat SDM ke akun ADP perusahaan memberikan akses langsung ke data penggajian dan keuangan, akses tingkat infrastruktur ke akun Microsoft Azure atau Amazon Web Services organisasi memungkinkan peretas untuk menghentikan operasi bisnis, dan visibilitas ke Google perusahaan. Direktori Drive atau Office 365 SharePoint memperlihatkan informasi rahasia dan kekayaan intelektual.
3. Sanjungan dan Kesopanan
Taktik ini adalah yang paling baru dari ketiganya. Penjahat dunia maya menambahkan legitimasi pada permintaan mereka dengan menggunakan istilah yang sopan atau pujian dari tokoh terkemuka atau orang yang sebaya dengan targetnya, misalnya, Saya menyukai karya Anda dan ingin Anda membaca artikel terbaru yang saya tulis.
Peretas Iran menggunakan taktik ini untuk mencuri lebih dari 31 terabyte data dari lebih dari 300 universitas di seluruh dunia. Alih-alih mengandalkan urgensi atau intimidasi, para penjahat dunia maya justru memangsa kesombongan para profesor yang mereka targetkan.
Email spear phising sering kali menunjukkan bahwa pengirim telah membaca artikel yang baru-baru ini diterbitkan oleh profesor tersebut, dan menyatakan minatnya pada artikel terkait lainnya yang sebenarnya mengarahkan korban ke situs web jahat.
Meskipun ini merupakan insiden pertama yang dilaporkan mengenai pelaku kejahatan yang mengabaikan intimidasi dan memilih menggunakan senjata, hal ini tentu bukan yang terakhir.
Mengidentifikasi Upaya Phising
Penjahat dunia maya bergantung pada naluri manusia untuk membantu orang lain dan menyelesaikan masalah. Mereka memanfaatkan kepercayaan kita pada komunikasi email, meskipun ada pelatihan dan peringatan yang bertentangan, untuk mengelabui korban agar mengklik tautan berbahaya, memberikan kredensial, atau tanpa disadari memasang malware dan ransomware.
Tidak realistis untuk mengharapkan karyawan 100 persen mengidentifikasi upaya phising dengan benar. Namun, dengan menggabungkan solusi keamanan email yang memberikan pelatihan pengguna email dengan kesadaran keamanan berkala yang membantu mereka mengenali taktik serangan penjahat dunia maya yang umum, Anda akan membantu pengguna mengingat apa yang harus dilakukan ketika diberikan peringatan keamanan real-time di email mereka. serangan yang canggih dan nyata.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: