Jadi, apa itu phishing?
Phishing adalah jenis kejahatan dunia maya yang mencoba membuat korban membocorkan informasi sensitif melalui email, telepon, dan/atau penipuan pesan teks.
Penjahat dunia maya sering mencoba menggunakan rekayasa sosial untuk meyakinkan korban agar membocorkan informasi pribadi dengan menampilkan dirinya sebagai orang yang dapat dipercaya untuk membuat permintaan informasi sensitif yang wajar.
Apakah ada berbagai jenis phishing?
Tombak Phishing
Spear phishing mirip dengan phishing umum karena menargetkan informasi rahasia, tetapi spear phishing jauh lebih disesuaikan untuk korban tertentu. Mereka mencoba mengekstrak informasi paling banyak dari seseorang. Serangan Spear phishing mencoba untuk secara khusus menangani target dan menyamar sebagai orang atau entitas yang mungkin diketahui oleh korban. Akibatnya dibutuhkan lebih banyak upaya untuk membuat ini karena memerlukan pencarian informasi tentang target. Serangan phishing ini biasanya menargetkan orang yang menaruh informasi pribadi di internet. Karena banyaknya upaya yang diperlukan untuk mempersonalisasi email, serangan spear phishing jauh lebih sulit untuk diidentifikasi dibandingkan dengan serangan biasa.
Penangkapan ikan paus
Dibandingkan dengan serangan spear phishing, serangan whaling secara drastis lebih tepat sasaran. Serangan paus mengejar individu dalam organisasi atau perusahaan dan menyamar sebagai seseorang senioritas di perusahaan. Tujuan umum perburuan paus adalah mengelabui target agar berpotensi mengungkap data rahasia atau mentransfer uang. Mirip dengan phishing biasa karena serangannya berupa email, whaling dapat menggunakan logo perusahaan dan alamat serupa untuk menyamarkan diri. Karena karyawan cenderung menolak permintaan dari seseorang yang lebih tinggi, serangan ini jauh lebih berbahaya.
Phising Pemancing
Pemancing phishing adalah jenis serangan phishing yang relatif baru dan ada di media sosial media. Mereka tidak mengikuti format email tradisional dari serangan phishing. Sebaliknya, mereka menyamar sebagai layanan pelanggan perusahaan dan mengelabui orang agar mengirimkan informasi kepada mereka melalui pesan langsung. Cara lain adalah mengarahkan orang ke situs web dukungan pelanggan palsu yang akan mengunduh malware ke perangkat korban.
Bagaimana cara kerja serangan phishing?
Serangan phishing sepenuhnya mengandalkan menipu korban untuk memberikan informasi pribadi melalui berbagai metode rekayasa sosial.
Penjahat dunia maya akan berusaha mendapatkan kepercayaan dari korban dengan menampilkan diri mereka sebagai perwakilan dari perusahaan terkemuka.
Akibatnya, korban akan merasa aman untuk memberikan informasi sensitif kepada penjahat dunia maya, yaitu bagaimana informasi dicuri.
Bagaimana Anda bisa mengidentifikasi serangan phishing?
Sebagian besar serangan phishing terjadi melalui email, tetapi ada cara untuk mengidentifikasi keabsahannya.
- Periksa Domain Email
Saat Anda membuka email, periksa untuk melihat apakah email tersebut berasal dari domain email publik atau tidak (mis. @gmail.com). Jika berasal dari domain email publik, kemungkinan besar itu adalah serangan phishing karena organisasi tidak menggunakan domain publik. Sebaliknya, domain mereka akan unik untuk bisnis mereka (mis. domain email Google adalah @google.com). Namun, ada serangan phishing yang lebih rumit yang menggunakan domain unik. Mungkin berguna untuk melakukan pencarian cepat pada perusahaan dan memeriksa legitimasinya.
- Email memiliki Salam Umum
Serangan phishing selalu berusaha untuk berteman dengan Anda dengan sapaan manis atau empati. Misalnya, di spam saya belum lama ini saya menemukan email phishing dengan sapaan “Dear friend”. Saya sudah tahu ini adalah email phishing karena di baris subjek tertulis "KABAR BAIK TENTANG DANA ANDA 21 /06/2020". Melihat jenis sapaan tersebut seharusnya menjadi peringatan instan jika Anda belum pernah berinteraksi dengan kontak tersebut.
- Cek isinya
Isi email phishing sangat penting dan Anda akan melihat beberapa fitur khas yang paling menonjol. Jika isinya terdengar tidak masuk akal atau berlebihan, kemungkinan besar itu adalah penipuan. Misalnya, jika baris subjek mengatakan "Anda memenangkan Lotre $1000000" dan Anda tidak ingat berpartisipasi maka itu adalah bendera merah instan. Ketika konten menciptakan rasa urgensi seperti "itu tergantung pada Anda" dan mencoba membuat Anda mengklik tautan, jangan klik tautan tersebut dan cukup hapus emailnya.
- Hyperlink dan Lampiran
Email phishing selalu memiliki tautan atau file mencurigakan yang dilampirkan padanya. Terkadang lampiran ini mungkin terinfeksi malware, jadi jangan mengunduhnya kecuali Anda benar-benar yakin bahwa lampiran tersebut aman. Cara yang baik untuk memeriksa apakah tautan memiliki virus adalah dengan menggunakan VirusTotal, situs web yang memeriksa file atau tautan untuk malware.
Bagaimana Anda bisa mencegah phishing?
Cara terbaik untuk mencegah phishing adalah melatih diri Anda dan karyawan Anda untuk mengidentifikasi serangan phishing.
Anda dapat melatih karyawan dengan baik dengan menunjukkan banyak contoh email, panggilan, dan pesan phishing.
Ada juga simulasi phishing, di mana Anda dapat menempatkan karyawan Anda secara langsung seperti apa sebenarnya serangan phishing itu, lebih lanjut di bawah ini.
Bisakah Anda memberi tahu saya apa itu simulasi phishing?
Simulasi phishing adalah latihan yang membantu karyawan membedakan email phishing dari email biasa lainnya.
Ini akan memungkinkan karyawan mengenali potensi ancaman untuk menjaga keamanan informasi perusahaan mereka.
Apa manfaat dari simulasi serangan phishing?
Mensimulasikan serangan phishing bisa sangat bermanfaat dalam mengamati bagaimana karyawan dan perusahaan Anda akan bereaksi jika konten jahat yang sebenarnya dikirim.
Ini juga akan memberi mereka pengalaman langsung tentang seperti apa tampilan email, pesan, atau panggilan phishing sehingga mereka dapat mengidentifikasi serangan yang sebenarnya ketika datang.
