Kesadaran Phishing: Bagaimana Itu Terjadi Dan Cara Mencegahnya
Mengapa Penjahat Menggunakan Serangan Phishing?
Apa kerentanan keamanan terbesar dalam suatu organisasi?
Orang orang!
Setiap kali mereka ingin menginfeksi komputer atau mendapatkan akses penting informasi seperti nomor rekening, kata sandi, atau nomor PIN, yang harus mereka lakukan hanyalah bertanya.
phishing serangan adalah hal yang biasa karena mereka adalah:
- Mudah untuk dilakukan – Seorang anak berusia 6 tahun dapat melakukan serangan phishing.
- scalable – Mulai dari serangan spear-phishing yang menyerang satu orang hingga menyerang seluruh organisasi.
- Sangat efektif - 74% dari organisasi telah mengalami serangan phishing yang berhasil.
- Kredensial akun Gmail – $80
- Pin kartu kredit – $20
- Kredensial bank online untuk akun dengan setidaknya $ 100 di dalamnya – $40
- Rekening bank dengan setidaknya $ 2,000 - $120
Anda mungkin berpikir, "Wow, akun saya menghasilkan dolar terbawah!"
Dan ini benar.
Ada jenis akun lain yang harganya jauh lebih tinggi karena lebih mudah untuk menyimpan transfer uang secara anonim.
Akun yang menyimpan crypto adalah jackpot untuk penipu phishing.
Tarif yang berlaku untuk akun crypto adalah:
- Basis koin – $610
- Blockchain.com – $310
- Binance - $410
Ada juga alasan non-finansial lainnya untuk serangan phishing.
Serangan phishing dapat digunakan oleh negara-bangsa untuk meretas ke negara lain dan menambang data mereka.
Serangan bisa untuk balas dendam pribadi atau bahkan untuk menghancurkan reputasi korporasi atau musuh politik.
Alasan serangan phishing tidak terbatas…
Bagaimana Serangan Phishing Dimulai?
Serangan phishing biasanya dimulai dengan penjahat yang keluar dan mengirimi Anda pesan.
Mereka mungkin memberi Anda panggilan telepon, email, pesan instan, atau SMS.
Mereka dapat mengaku sebagai seseorang yang bekerja di bank, perusahaan lain tempat Anda berbisnis, agen pemerintah, atau bahkan berpura-pura menjadi seseorang di organisasi Anda sendiri.
Email phishing mungkin meminta Anda untuk mengeklik tautan atau mengunduh dan menjalankan file.
Anda mungkin mengira itu adalah pesan yang sah, klik tautan di dalam pesan mereka, dan masuk ke situs web dari organisasi yang Anda percayai.
Pada titik ini penipuan phishing selesai.
Anda telah menyerahkan informasi pribadi Anda kepada penyerang.
Cara Mencegah Serangan Phishing
Strategi utama untuk menghindari serangan phishing adalah melatih karyawan dan membangun kesadaran organisasi.
Banyak serangan phishing terlihat seperti email yang sah dan dapat melewati filter spam atau filter keamanan serupa.
Sekilas, pesan atau situs web mungkin terlihat nyata menggunakan tata letak logo yang dikenal, dll.
Untungnya, mendeteksi serangan phishing tidak begitu sulit.
Hal pertama yang harus diperhatikan adalah alamat pengirim.
Jika alamat pengirim adalah variasi pada domain situs web yang mungkin biasa Anda gunakan, Anda mungkin ingin melanjutkan dengan hati-hati dan tidak mengeklik apa pun di badan email.
Anda juga dapat melihat alamat situs web tempat Anda dialihkan jika ada tautan.
Untuk amannya, Anda harus mengetikkan alamat organisasi yang ingin Anda kunjungi di browser atau menggunakan favorit browser.
Hati-hati dengan tautan yang ketika diarahkan menunjukkan domain yang tidak sama dengan perusahaan pengirim email.
Baca isi pesan dengan hati-hati, dan skeptis terhadap semua pesan yang meminta Anda untuk mengirimkan data pribadi Anda atau memverifikasi informasi, mengisi formulir, atau mengunduh dan menjalankan file.
Juga, jangan biarkan isi pesan membodohi Anda.
Penyerang sering mencoba menakut-nakuti Anda agar Anda mengeklik tautan atau menghadiahi Anda untuk mendapatkan data pribadi Anda.
Selama pandemi atau keadaan darurat nasional, penipu phishing akan memanfaatkan ketakutan orang-orang dan menggunakan konten baris subjek atau isi pesan untuk menakut-nakuti Anda agar mengambil tindakan dan mengklik tautan.
Juga, periksa kesalahan ejaan atau tata bahasa yang buruk dalam pesan email atau situs web.
Hal lain yang perlu diingat adalah bahwa sebagian besar perusahaan tepercaya biasanya tidak akan meminta Anda mengirim data sensitif melalui web atau email.
Itulah mengapa Anda tidak boleh mengeklik tautan yang mencurigakan atau memberikan data sensitif apa pun.
Apa yang Saya Lakukan Jika Saya Menerima Email Phishing?
Jika Anda menerima pesan yang tampak seperti serangan phishing, Anda memiliki tiga opsi.
- Hapus.
- Verifikasi isi pesan dengan menghubungi organisasi melalui saluran komunikasi tradisionalnya.
- Anda dapat meneruskan pesan ke departemen keamanan TI Anda untuk analisis lebih lanjut.
Perusahaan Anda seharusnya sudah menyaring dan memfilter sebagian besar email yang mencurigakan, tetapi siapa pun bisa menjadi korban.
Sayangnya, penipuan phishing adalah ancaman yang berkembang di internet dan penjahat selalu mengembangkan taktik baru untuk masuk ke kotak masuk Anda.
Ingatlah bahwa pada akhirnya, Anda adalah lapisan pertahanan terakhir dan terpenting dari upaya phishing.
Cara Menghentikan Serangan Phishing Sebelum Terjadi
Karena serangan phishing mengandalkan kesalahan manusia agar efektif, opsi terbaik adalah melatih orang-orang di bisnis Anda tentang cara menghindari umpan.
Ini tidak berarti bahwa Anda harus mengadakan rapat atau seminar besar tentang cara menghindari serangan phishing.
Ada cara yang lebih baik untuk menemukan celah dalam keamanan Anda dan meningkatkan respons manusia terhadap phishing.
2 Langkah Yang Dapat Anda Lakukan Untuk Mencegah Penipuan Phishing
A simulator phishing adalah perangkat lunak yang memungkinkan Anda mensimulasikan serangan phishing pada semua anggota organisasi Anda.
Simulator phishing biasanya dilengkapi dengan template untuk membantu menyamarkan email sebagai vendor tepercaya atau meniru format email internal.
Simulator phishing tidak hanya membuat email, tetapi mereka juga membantu mengatur situs web palsu yang penerima akhirnya akan memasukkan kredensial mereka jika mereka tidak lulus ujian.
Daripada memarahi mereka karena jatuh ke dalam perangkap, cara terbaik untuk menangani situasi tersebut adalah dengan memberikan informasi tentang cara menilai email phishing di masa mendatang.
Jika seseorang gagal dalam tes phishing, sebaiknya kirimkan saja daftar tips menemukan email phishing.
Anda bahkan dapat menggunakan artikel ini sebagai referensi untuk karyawan Anda.
Manfaat utama lain menggunakan simulator phishing yang baik adalah Anda dapat mengukur ancaman manusia di organisasi Anda, yang seringkali sulit diprediksi.
Diperlukan waktu hingga satu setengah tahun untuk melatih karyawan ke tingkat mitigasi yang aman.
Penting untuk memilih infrastruktur simulasi phishing yang tepat untuk kebutuhan Anda.
Jika Anda melakukan simulasi phishing di satu bisnis, maka tugas Anda akan lebih mudah
Jika Anda adalah MSP atau MSSP, Anda mungkin perlu menjalankan pengujian phishing di berbagai bisnis dan lokasi.
Memilih solusi berbasis cloud akan menjadi opsi terbaik bagi pengguna yang menjalankan banyak kampanye.
Di Hailbytes, kami telah mengonfigurasi GoPish, salah satu Framework phishing open-source paling populer sebagai contoh yang mudah digunakan di AWS.
Banyak simulator phishing hadir dalam model Saas tradisional dan memiliki kontrak ketat yang terkait dengannya, tetapi GoPhish di AWS adalah layanan berbasis cloud tempat Anda membayar dengan tarif terukur, bukan kontrak 1 atau 2 tahun.
Langkah 2. Pelatihan Kesadaran Keamanan
Manfaat utama memberi karyawan kesadaran keamanan pelatihan melindungi mereka dari pencurian identitas, pencurian bank, dan kredensial bisnis yang dicuri.
Pelatihan kesadaran keamanan sangat penting untuk meningkatkan kemampuan karyawan dalam mendeteksi upaya phishing.
Kursus dapat membantu melatih staf untuk mendeteksi upaya phishing, tetapi hanya sedikit yang berfokus pada usaha kecil.
Anda sebagai pemilik usaha kecil mungkin tergoda untuk memotong biaya kursus dengan mengirimkan beberapa video Youtube tentang kesadaran keamanan…
tapi staf jarang mengingat jenis pelatihan selama lebih dari beberapa hari.
Hailbytes memiliki kursus yang memiliki kombinasi video cepat dan kuis sehingga Anda dapat melacak kemajuan karyawan Anda, membuktikan bahwa langkah-langkah keamanan sudah diterapkan, dan secara besar-besaran mengurangi peluang Anda mengalami penipuan phishing.
Anda dapat melihat kursus kami tentang Udemy di sini atau klik kursus di bawah ini:
Jika Anda tertarik menjalankan simulasi phishing gratis untuk melatih karyawan Anda, kunjungi AWS dan lihat GoPhish!
Sangat mudah untuk memulai dan Anda selalu dapat menghubungi kami jika memerlukan bantuan untuk melakukan penyiapan.
