Lindungi Perusahaan Anda dari Serangan Phishing

Phishing adalah kejahatan dunia maya di mana target atau  korban dihubungi melalui email, website, telepon, pesan teks, atau alat lain untuk menjebak seseorang agar memberikan data sensitif dan pribadi seperti nomor KTP, rekening bank, kartu kredit, password, nomor OTP untuk login, dan lain sebagainya. Informasi tersebut tidak hanya digunakan untuk mengakses berbagai akun penting tapi juga pencurian identitas yang dapat merugikan seperti pinjol (pinjaman online). Selain itu, berbagai data penting dan pribadi dapat dijual ke dark web oleh para hacker.

Beberapa jenis phishing yang wajib diwaspadai

Phishing bisa muncul dengan berbagai bentuk, beberapa diantaranya yaitu:

1. Phishing Email

Email phishing banyak dialami oleh individu dan perusahaan. Para penjahat siber mendaftar dengan menggunakan domain palsu yang mirip dengan perusahaan asli dan mengirimkan banyak email ke targetnya. Akibatnya, jika karyawan lengah membaca baik-baik pengirim email akan mempercayainya. 

Para hacker akan menggunakan data yang diperoleh untuk mencuri uang atau sebagai titik awal untuk melakukan serangan lain seperti pemasangan malware, spear phishing yang dapat berujung pada ransomware ke dalam organisasi. 

Baca lebih lanjut tentang 5 Karakteristik Phishing Email.

2. Spear Phishing

Spear phishing adalah salah satu teknik rekayasa sosial (social engineering) dimana penyerang mengecoh dengan menggunakan informasi khusus agar korban terkecoh. Biasanya penyerang sering mengumpulkan dan menggunakan informasi pribadi pada target mereka agar tampak nyata dan legal. 

Beberapa informasi yang biasanya digunakan penyerang dalam spear phishing seperti: Nama lengkap, Jabatan dan Lokasi Pekerjaan, Alamat Email Kantor/Resmi, Signature Email, dan berbagai detail spesifik lainnya. 

Para penyerang akan menghabiskan banyak waktu untuk mengumpulkan berbagai informasi tersebut yang kini banyak tersebar seperti pada website, media sosial, atau terkadang dicuri dari alamat email lain yang telah disusupi.

Teknik umum lainnya adalah penyerang menggunakan domain sepupu (atau domain serupa) untuk mengirim pesan mereka. Misalnya, jika penyerang menargetkan cloudflare.com, mereka akan mendaftarkan "cloudfare.com" dan mengirim email mereka dari domain itu. Ketika digabungkan dengan informasi lain yang ditargetkan, email spear phishing bisa jadi sulit dikenali.

3. Whaling

Whaling adalah jenis serangan phishing yang menargetkan karyawan tingkat senior. Whaling terlihat mirip seperti spear phishing tapi targetnya yaitu para pejabat atau senior di sebuah organisasi atau perusahaan. Para penipu digital ini biasanya meminta informasi sensitif seperti informasi pajak, dokumen keuangan, atau bahkan bukti transfer.

Para penyerang akan mengirimkan email palsu yang tampak asli dari eksekutif C-level ke CEO atau CFO dan menggunakan otoritas dari mereka untuk menekan anggota staf agar melakukan tindakan tertentu seperti mengirimkan informasi sensitif atau mentransfer uang ke rekening luar negeri. 

4. Smishing dan Vishing

Jenis phishing ini menggunakan panggilan telepon (voice call) dan pesan teks (SMS). Smishing mirip dengan email phishing tapi menggunakan pesan teks SMS. Beberapa hal umum yang dilakukan saat penipu menggunakan teknik ini yaitu:

1. Serangan smishing berupa mengirimkan pesan SMS yang isinya mengajak pengguna untuk mengklik tautan yang diberikan. Korban kemudian diarahkan untuk mengunduh aplikasi yang disematkan dengan malware di perangkat seluler Anda dan menipu korban agar menggunakan aplikasi tersebut untuk memberikan informasi pribadi, kredensial akun, atau OTP (one-time password).

2. Tautan smishing yang dikirim juga dapat mengarahkan korban ke situs web palsu yang tampak seperti asli untuk mengelabui korban agar memberikan data pribadi. Selain itu, para pelaku juga memanfaatkan keterbatasan handphone yang tidak bisa menampilkan URL sepenuhnya sehingga dapat mempersulit pengguna mengidentifikasi halaman website asli.

Vishing adalah kombinasi dari 'suara' dan 'phishing', penggunaan telepon (seringkali Voice over IP telephony) untuk melakukan serangan phishing. Nomor telepon vishing bahkan mungkin palsu, namun mengaku sebagai sumber yang sah seperti bank atau penegak hukum. 

Para penjahat vishing ini umumnya mengaku sebagai pejabat pemerintah, petugas bank atau penegak hukum dan memberi tahu korban bahwa rekening bank Anda telah disusupi atau seseorang mencoba mengosongkan rekening tabungan Anda. Selama panggilan telepon vishing, scammer menggunakan rekayasa sosial atau membuat korban menjadi panik untuk mendapatkan informasi pribadi dan detail keuangan mereka yang sensitif, seperti nomor rekening dan kata sandi.

5. Angler Phishing

Angler phishing adalah salah satu bentuk serangan phishing terbaru dan modern karena menggunakan sosial media. Para penyerang ini akan menyamar sebagai akun customer service media sosial dan berharap orang yang sedang komplain tidak menyadari bahwa mereka bukan akun yang valid.

Penyerang biasanya membuat akun media sosial palsu dan berpura-pura menjadi organisasi atau lembaga keuangan yang sah terutama bank. Ketika pengguna menghubungi atau mengeluh tentang layanan sebuah perusahaan di media sosial, para penjahat ini akan bertindak seolah-olah dari pihak perusahaan dan meminta akses ke informasi pribadi atau kredensial akun mereka.

Penyerang akan mengaku sebagai agen dan meminta para korban mengklik tautan yang disediakan. Akibatnya, malware bisa terinstal ke komputer atau handphone korban yang tentunya memberikan kerugian dan dampak buruk.