menu
Panduan Utama Untuk Memahami Phishing Di Tahun 2023
Jadi, apa Phishing?
Phishing adalah bentuk rekayasa sosial yang mengelabui orang agar mengungkapkan kata sandi atau barang berharga mereka informasi. Serangan phishing dapat berupa email, pesan teks, dan panggilan telepon.
Biasanya, serangan ini muncul sebagai layanan dan perusahaan populer yang mudah dikenali orang.
Saat pengguna mengeklik tautan phishing di badan email, mereka akan diarahkan ke versi serupa dari situs yang mereka percayai. Mereka dimintai kredensial login mereka pada saat ini dalam penipuan phishing. Begitu mereka memasukkan informasi mereka di situs web palsu, penyerang memiliki apa yang mereka butuhkan untuk mengakses akun asli mereka.
Serangan phishing dapat mengakibatkan pencurian informasi pribadi, informasi keuangan, atau informasi kesehatan. Setelah penyerang mendapatkan akses ke satu akun, mereka menjual akses ke akun tersebut atau menggunakan informasi tersebut untuk meretas akun korban lainnya.
Setelah akun terjual, seseorang yang tahu cara mendapatkan keuntungan dari akun tersebut akan membeli kredensial akun dari web gelap, dan memanfaatkan data yang dicuri.
Berikut adalah visualisasi untuk membantu Anda memahami langkah-langkah dalam serangan phishing:
Serangan phishing datang dalam berbagai bentuk. Phishing dapat bekerja dari panggilan telepon, pesan teks, email, atau pesan media sosial.
Email phishing umum adalah jenis serangan phishing yang paling umum. Serangan seperti ini biasa terjadi karena membutuhkan sedikit usaha.
Peretas mengambil daftar alamat email yang terkait dengan akun Paypal atau media sosial dan mengirim a ledakan email massal ke calon korban.
Saat korban mengeklik tautan di email, korban sering kali dibawa ke versi palsu dari situs web populer dan meminta mereka untuk masuk dengan info akun mereka. Segera setelah mereka mengirimkan info akun mereka, peretas memiliki apa yang mereka butuhkan untuk mengakses akun mereka.
Dalam arti tertentu, jenis phishing ini seperti menebarkan jaring ke sekumpulan ikan; sedangkan bentuk phishing lainnya adalah upaya yang lebih terarah.
Spear phishing adalah kapan penyerang menargetkan individu tertentu daripada mengirim email umum ke sekelompok orang.
Serangan Spear phishing mencoba untuk secara khusus menangani target dan menyamar sebagai orang yang mungkin dikenal oleh korban.
Serangan ini lebih mudah dilakukan oleh penipu jika Anda memiliki informasi pengenal pribadi di internet. Penyerang dapat meneliti Anda dan jaringan Anda untuk membuat pesan yang relevan dan meyakinkan.
Karena tingginya jumlah personalisasi, serangan spear phishing jauh lebih sulit untuk diidentifikasi dibandingkan dengan serangan phishing biasa.
Mereka juga kurang umum, karena membutuhkan lebih banyak waktu bagi penjahat untuk berhasil melakukannya.
Pertanyaan: Berapa tingkat keberhasilan email spearphishing?
Jawaban: Email Spearphishing memiliki rata-rata tingkat buka email sebesar 70% dan 50% penerima mengklik tautan di email.
Dibandingkan dengan serangan spear phishing, serangan whaling secara drastis lebih tepat sasaran.
Serangan paus mengejar individu dalam suatu organisasi seperti chief executive officer atau chief financial officer dari sebuah perusahaan.
Salah satu tujuan paling umum dari serangan whaling adalah memanipulasi korban untuk mengirimkan sejumlah besar uang kepada penyerang.
Mirip dengan phishing biasa karena serangannya berupa email, whaling dapat menggunakan logo perusahaan dan alamat serupa untuk menyamarkan diri.
Dalam beberapa kasus, penyerang akan menyamar sebagai CEO dan gunakan persona itu untuk meyakinkan karyawan lain agar mengungkapkan data keuangan atau mentransfer uang ke akun penyerang.
Karena karyawan cenderung menolak permintaan dari seseorang yang lebih tinggi, serangan ini jauh lebih licik.
Penyerang akan sering menghabiskan lebih banyak waktu menyusun serangan paus karena mereka cenderung membayar lebih baik.
Nama "whaling" mengacu pada fakta bahwa target memiliki lebih banyak kekuatan finansial (CEO).
Pemancing phishing relatif jenis serangan phishing baru dan ada di media sosial.
Mereka tidak mengikuti format email tradisional dari serangan phishing.
Sebaliknya, mereka menyamar sebagai perwakilan layanan pelanggan perusahaan dan mengelabui orang agar mengirimkan informasi kepada mereka melalui pesan langsung.
Penipuan yang umum adalah mengirim orang ke situs web dukungan pelanggan palsu yang akan mengunduh malware atau dengan kata lain ransomware ke perangkat korban.
Serangan vishing adalah saat penipu menelepon Anda untuk mencoba mengumpulkan informasi pribadi dari Anda.
Penipu biasanya berpura-pura menjadi bisnis atau organisasi terkemuka seperti Microsoft, IRS, atau bahkan bank Anda.
Mereka menggunakan taktik ketakutan untuk membuat Anda mengungkapkan data akun penting.
Ini memungkinkan mereka untuk secara langsung atau tidak langsung mengakses akun penting Anda.
Serangan Vishing itu rumit.
Penyerang dapat dengan mudah menyamar sebagai orang yang Anda percayai.
Tonton Pendiri Hailbytes, David McHale, berbicara tentang bagaimana robocall akan hilang dengan teknologi masa depan.
Sebagian besar serangan phishing terjadi melalui email, tetapi ada cara untuk mengidentifikasi keabsahannya.
Ketika Anda membuka email periksa untuk melihat apakah itu dari domain email publik atau tidak (mis. @gmail.com).
Jika berasal dari domain email publik, kemungkinan besar itu adalah serangan phishing karena organisasi tidak menggunakan domain publik.
Sebaliknya, domain mereka akan unik untuk bisnis mereka (mis. domain email Google adalah @google.com).
Namun, ada serangan phishing yang lebih rumit yang menggunakan domain unik.
Sangat berguna untuk melakukan pencarian cepat pada perusahaan dan memeriksa legitimasinya.
Serangan phishing selalu berusaha untuk berteman dengan Anda dengan sapaan manis atau empati.
Misalnya, di spam saya belum lama ini saya menemukan email phishing dengan sapaan “Dear friend”.
Saya sudah tahu ini adalah email phishing karena pada subjeknya tertulis, “KABAR BAIK TENTANG DANA ANDA 21 /06/2020”.
Melihat jenis sapaan tersebut seharusnya menjadi peringatan instan jika Anda belum pernah berinteraksi dengan kontak tersebut.
Isi email phishing sangat penting, dan Anda akan melihat beberapa fitur khas yang paling menonjol.
Jika isinya terdengar tidak masuk akal, kemungkinan besar itu scam.
Misalnya, jika baris subjek mengatakan, "Anda memenangkan Lotre $1000000" dan Anda tidak ingat berpartisipasi maka itu adalah bendera merah.
Ketika konten menciptakan rasa urgensi seperti "itu tergantung pada Anda" dan itu mengarah pada mengklik tautan yang mencurigakan, kemungkinan besar itu adalah penipuan.
Email phishing selalu memiliki tautan atau file mencurigakan yang dilampirkan padanya.
Cara yang baik untuk memeriksa apakah tautan memiliki virus adalah dengan menggunakan VirusTotal, situs web yang memeriksa file atau tautan untuk malware.
Contoh Email Phishing:
Dalam contoh, Google menunjukkan bahwa email tersebut berpotensi berbahaya.
Itu mengakui bahwa kontennya cocok dengan email phishing serupa lainnya.
Jika email memenuhi sebagian besar kriteria di atas, maka disarankan untuk melaporkannya ke reportphishing@apwg.org atau phishing-report@us-cert.gov agar diblokir.
Jika Anda menggunakan Gmail, ada opsi untuk melaporkan email untuk phishing.
Meskipun serangan phishing ditujukan untuk pengguna acak, mereka sering menargetkan karyawan perusahaan.
Namun penyerang tidak selalu mencari uang perusahaan tetapi datanya.
Dalam hal bisnis, data jauh lebih berharga daripada uang dan dapat berdampak buruk bagi perusahaan.
Penyerang dapat menggunakan data yang bocor untuk memengaruhi publik dengan memengaruhi kepercayaan konsumen dan menodai nama perusahaan.
Tapi itu bukan satu-satunya konsekuensi yang dapat dihasilkan dari itu.
Konsekuensi lainnya termasuk dampak negatif pada kepercayaan investor, mengganggu bisnis, dan menghasut denda peraturan berdasarkan Peraturan Perlindungan Data Umum (GDPR).
Melatih karyawan Anda untuk mengatasi masalah ini disarankan untuk mengurangi serangan phishing yang berhasil.
Cara untuk melatih karyawan umumnya adalah dengan menunjukkan kepada mereka contoh email phishing dan cara mengenalinya.
Cara lain yang baik untuk menunjukkan phishing kepada karyawan adalah melalui simulasi.
Simulasi phishing pada dasarnya adalah serangan palsu yang dirancang untuk membantu karyawan mengenali phishing secara langsung tanpa efek negatif apapun.
Kami sekarang akan membagikan langkah-langkah yang perlu Anda ambil untuk menjalankan kampanye phishing yang sukses.
Phishing tetap menjadi ancaman keamanan teratas menurut laporan keamanan siber WIPRO 2020.
Salah satu cara terbaik untuk mengumpulkan data dan mengedukasi karyawan adalah dengan menjalankan kampanye phishing internal.
Cukup mudah untuk membuat email phishing dengan platform phishing, tetapi ada lebih banyak hal selain mengirim.
Kami akan membahas cara menangani tes phishing dengan komunikasi internal.
Kemudian, kami akan membahas bagaimana Anda menganalisis dan menggunakan data yang Anda kumpulkan.
Kampanye phishing bukan tentang menghukum orang jika mereka tertipu. Simulasi phishing adalah tentang mengajari karyawan cara menanggapi email phishing. Anda ingin memastikan bahwa Anda bersikap transparan dalam melakukan pelatihan phishing di perusahaan Anda. Prioritaskan memberi tahu pemimpin perusahaan tentang kampanye phishing Anda dan jelaskan tujuan kampanye tersebut.
Setelah mengirimkan tes email phishing dasar pertama, Anda dapat membuat pengumuman di seluruh perusahaan kepada semua karyawan.
Aspek penting dari komunikasi internal adalah menjaga konsistensi pesan. Jika Anda melakukan tes phishing Anda sendiri, sebaiknya buatlah merek buatan untuk materi pelatihan Anda.
Memberikan nama untuk program Anda akan membantu karyawan mengenali konten pendidikan Anda di kotak masuk mereka.
Jika Anda menggunakan layanan pengujian phishing terkelola, kemungkinan besar mereka akan mencakupnya. Konten pendidikan harus diproduksi sebelumnya sehingga Anda dapat segera melakukan tindak lanjut setelah kampanye Anda.
Berikan instruksi dan informasi kepada karyawan Anda tentang protokol email phishing internal Anda setelah pengujian awal.
Anda ingin memberi kesempatan kepada rekan kerja Anda untuk menanggapi pelatihan dengan benar.
Melihat jumlah orang yang menemukan dan melaporkan email dengan benar adalah informasi penting yang diperoleh dari tes phishing.
Apa yang harus menjadi prioritas utama Anda untuk kampanye Anda?
Pertunangan.
Anda dapat mencoba mendasarkan hasil Anda pada jumlah keberhasilan dan kegagalan, tetapi angka-angka itu tidak selalu membantu Anda mencapai tujuan Anda.
Jika Anda menjalankan simulasi pengujian phishing dan tidak ada yang mengklik tautan tersebut, apakah itu berarti pengujian Anda berhasil?
Jawaban singkatnya adalah “tidak”.
Memiliki tingkat keberhasilan 100% tidak berarti sukses.
Ini bisa berarti bahwa tes phishing Anda terlalu mudah dikenali.
Di sisi lain, jika Anda mendapatkan tingkat kegagalan yang luar biasa dengan tes phishing Anda, itu bisa berarti sesuatu yang sama sekali berbeda.
Ini bisa berarti bahwa karyawan Anda belum dapat menemukan serangan phishing.
Ketika Anda mendapatkan tingkat klik yang tinggi untuk kampanye Anda, ada kemungkinan besar Anda perlu menurunkan tingkat kesulitan email phishing Anda.
Luangkan lebih banyak waktu untuk melatih orang pada level mereka saat ini.
Anda pada akhirnya ingin menurunkan tingkat klik tautan phishing.
Anda mungkin bertanya-tanya berapa rasio klik yang baik atau buruk dengan simulasi phishing.
Menurut sans.org, Anda simulasi phishing pertama dapat menghasilkan tingkat klik rata-rata 25-30%.
Itu sepertinya angka yang sangat tinggi.
Untungnya, mereka melaporkan itu setelah 9-18 bulan pelatihan phishing, rasio klik untuk tes phishing adalah di bawah 5%.
Angka-angka ini dapat membantu sebagai perkiraan kasar hasil yang Anda inginkan dari pelatihan phishing.
Untuk memulai simulasi email phishing pertama Anda, pastikan untuk memasukkan alamat IP alat pengujian ke daftar putih.
Ini memastikan bahwa karyawan akan menerima email.
Saat menyusun email phishing simulasi pertama Anda, jangan membuatnya terlalu mudah atau terlalu sulit.
Anda juga harus mengingat audiens Anda.
Jika rekan kerja Anda bukan pengguna berat media sosial, mungkin bukan ide yang baik untuk menggunakan email phishing pengaturan ulang kata sandi LinkedIn palsu. Email penguji harus memiliki daya tarik yang cukup luas sehingga setiap orang di perusahaan Anda memiliki alasan untuk mengklik.
Beberapa contoh email phishing dengan daya tarik yang luas adalah:
Ingat saja psikologi tentang bagaimana pesan akan diterima oleh audiens Anda sebelum mengirim.
Lanjutkan untuk mengirim email pelatihan phishing ke karyawan Anda. Pastikan Anda perlahan-lahan meningkatkan kesulitan dari waktu ke waktu untuk meningkatkan tingkat keterampilan orang.
Disarankan untuk melakukan pengiriman email bulanan. Jika Anda terlalu sering melakukan "phishing" terhadap organisasi Anda, kemungkinan besar mereka akan mengetahuinya terlalu cepat.
Menangkap karyawan Anda, sedikit lengah adalah cara terbaik untuk mendapatkan hasil yang lebih realistis.
Jika Anda mengirim jenis email "phishing" yang sama setiap saat, Anda tidak akan mengajari karyawan Anda cara bereaksi terhadap penipuan yang berbeda.
Anda dapat mencoba beberapa sudut yang berbeda termasuk:
Saat Anda mengirim kampanye baru, selalu pastikan bahwa Anda menyesuaikan relevansi pesan dengan audiens Anda.
Jika Anda mengirim email phishing yang tidak terkait dengan minat, Anda mungkin tidak mendapatkan banyak tanggapan dari kampanye Anda.
Setelah mengirimkan kampanye yang berbeda ke karyawan Anda, perbarui beberapa kampanye lama yang pertama kali menipu orang dan lakukan putaran baru pada kampanye tersebut.
Anda akan dapat mengetahui keefektifan pelatihan Anda jika Anda melihat bahwa orang-orang belajar dan berkembang.
Dari sana Anda akan dapat mengetahui apakah mereka memerlukan pendidikan lebih lanjut tentang cara menemukan jenis email phishing tertentu.
Ada 3 faktor dalam menentukan apakah Anda akan membuat program pelatihan phishing Anda sendiri atau mengalihdayakan program tersebut.
Jika Anda seorang insinyur keamanan atau memilikinya di perusahaan Anda, Anda dapat dengan mudah membuat server phishing menggunakan platform phishing yang sudah ada sebelumnya untuk membuat kampanye Anda.
Jika Anda tidak memiliki teknisi keamanan, membuat program phishing Anda sendiri mungkin mustahil.
Anda mungkin memiliki teknisi keamanan di organisasi Anda, tetapi mereka mungkin tidak berpengalaman dengan rekayasa sosial atau pengujian phishing.
Jika Anda memiliki seseorang yang berpengalaman, maka mereka akan cukup handal untuk membuat program phishing sendiri.
Yang ini adalah faktor yang sangat besar bagi perusahaan kecil hingga menengah.
Jika tim Anda kecil, menambahkan tugas lain ke tim keamanan Anda mungkin tidak nyaman.
Jauh lebih mudah untuk meminta tim lain yang berpengalaman melakukan pekerjaan untuk Anda.
Anda telah membaca seluruh panduan ini untuk mencari tahu bagaimana Anda dapat melatih karyawan Anda dan Anda siap untuk mulai melindungi organisasi Anda melalui pelatihan phishing.
Apa sekarang?
Jika Anda seorang insinyur keamanan dan ingin mulai menjalankan kampanye phishing pertama Anda sekarang, buka di sini untuk mempelajari lebih lanjut tentang alat simulasi phishing yang dapat Anda gunakan untuk memulai hari ini.
Atau…
Jika Anda tertarik mempelajari tentang layanan terkelola untuk menjalankan kampanye phishing untuk Anda, pelajari lebih lanjut di sini tentang cara memulai uji coba gratis pelatihan phishing.
Gunakan daftar periksa untuk mengidentifikasi email yang tidak biasa dan jika itu phishing, laporkan.
Meskipun ada filter phishing di luar sana yang dapat melindungi Anda, itu tidak 100%.
Email phishing terus berkembang dan tidak pernah sama.
Untuk melindungi perusahaan Anda dari serangan phishing yang dapat Anda ikuti simulasi phising untuk mengurangi kemungkinan serangan phishing yang berhasil.
Kami harap Anda cukup belajar dari panduan ini untuk mengetahui apa yang perlu Anda lakukan selanjutnya untuk mengurangi peluang serangan phishing pada bisnis Anda.
Silakan tinggalkan komentar jika Anda memiliki pertanyaan untuk kami atau jika Anda ingin berbagi pengetahuan atau pengalaman Anda dengan kampanye phishing.
Jangan lupa untuk membagikan panduan ini dan menyebarkannya!
Salambyte
9511 Penjaga Ratu Ct.
Laurel, MD 20723
Telepon: (732) 771-9995
Surel: info@hailbytes.com
