Definisi Tombak Phishing | Apa itu Spear Phishing?

Daftar Isi

Penipuan Spearphishing

Definisi Tombak Phishing

Spear phishing adalah serangan dunia maya yang mengelabui korban untuk mengungkapkan informasi rahasia. Siapapun bisa menjadi sasaran serangan spearphishing. Penjahat dapat menargetkan pegawai pemerintah atau perusahaan swasta. Serangan spear phishing berpura-pura datang dari rekan atau teman korban. Serangan ini bahkan dapat meniru template email dari perusahaan terkenal seperti FexEx, Facebook, atau Amazon. 
 
Tujuan serangan phishing adalah membuat korban mengklik tautan atau mengunduh file. Jika korban mengklik sebuah tautan dan dibujuk untuk mengetik info masuk di halaman web palsu, mereka baru saja memberikan kredensial mereka kepada penyerang. Jika korban mengunduh file, maka malware dipasang di komputer dan pada saat itu, korban telah menyerahkan semua aktivitas dan informasi yang ada di komputer tersebut.
 
Sejumlah besar serangan spear-phishing disponsori oleh pemerintah. Terkadang, serangan datang dari penjahat dunia maya yang menjual informasi tersebut kepada pemerintah atau perusahaan. Serangan spear-phishing yang berhasil pada perusahaan atau pemerintah dapat menghasilkan uang tebusan yang besar. Perusahaan besar seperti Google dan Facebook telah kehilangan uang karena serangan ini. Sekitar tiga tahun lalu, BBC melaporkan bahwa kedua perusahaan ditipu dari jumlah sekitar $100 juta masing-masing oleh seorang peretas.

Apa beda Spear Phishing dengan Phishing?

Meskipun phishing dan spear-phishing memiliki tujuan yang sama, keduanya berbeda dalam metodenya. Serangan phishing adalah upaya satu kali yang ditargetkan pada sekelompok besar orang. Itu dilakukan dengan aplikasi siap pakai yang dirancang untuk tujuan itu. Serangan-serangan ini tidak membutuhkan banyak keterampilan untuk dilakukan. Gagasan serangan phishing biasa adalah mencuri kredensial dalam skala besar. Penjahat yang melakukan ini biasanya memiliki tujuan untuk menjual kembali kredensial di web gelap atau menghabiskan rekening bank orang.
 
Serangan phishing tombak jauh lebih canggih. Mereka biasanya ditargetkan pada karyawan, perusahaan, atau organisasi tertentu. Tidak seperti email phishing umum, email spear-phishing terlihat seperti berasal dari kontak resmi yang dikenali target. Ini bisa menjadi manajer proyek atau pemimpin tim. Target sudah direncanakan dan diteliti dengan baik. Serangan spearphishing biasanya akan memanfaatkan informasi yang tersedia untuk umum untuk meniru persona target. 
 
Misalnya, penyerang dapat meneliti korban dan mengetahui bahwa mereka memiliki anak. Kemudian mereka dapat menggunakan informasi itu untuk membuat strategi bagaimana menggunakan informasi itu untuk melawan mereka. Misalnya, mereka mungkin mengirimkan pengumuman perusahaan palsu yang menanyakan apakah mereka menginginkan penitipan anak gratis untuk anak-anak mereka yang disediakan oleh perusahaan. Ini hanyalah salah satu contoh bagaimana serangan spearphishing menggunakan data yang diketahui publik (biasanya melalui media sosial) terhadap Anda.
 
Setelah mendapatkan kredensial korban, penyerang dapat mencuri lebih banyak informasi pribadi atau keuangan. Ini termasuk info bank, nomor jaminan sosial, dan nomor kartu kredit. Spear phishing membutuhkan lebih banyak penelitian pada korbannya untuk menembus pertahanan mereka berhasil.Serangan spear-phishing biasanya merupakan awal dari serangan yang jauh lebih besar pada perusahaan. 
Tombak phishing

Bagaimana cara kerja serangan Spear Phishing?

Sebelum penjahat dunia maya melakukan serangan spear-phishing, mereka meneliti target mereka. Selama proses ini, mereka menemukan email, jabatan, dan kolega target mereka. Beberapa dari informasi ini ada di situs web perusahaan tempat target bekerja. Mereka menemukan lebih banyak info dengan menelusuri LinkedIn, Twitter, atau Facebook target. 
 
Setelah mengumpulkan informasi, penjahat dunia maya melanjutkan untuk menyusun pesan mereka. Mereka membuat pesan yang sepertinya berasal dari kontak akrab target, seperti pemimpin tim, atau manajer. Ada beberapa cara penjahat dunia maya dapat mengirim pesan ke target. Email digunakan karena sering digunakan di lingkungan perusahaan. 
 
Serangan spear-phishing seharusnya mudah diidentifikasi karena alamat email yang digunakan. Penyerang tidak boleh memiliki alamat yang sama dengan alamat yang dimiliki oleh penyerang. Untuk mengelabui target, penyerang memalsukan alamat email salah satu kontak target. Ini dilakukan dengan membuat alamat email terlihat semirip mungkin dengan aslinya. Mereka bisa mengganti "o" dengan "0" atau huruf kecil "l" dengan huruf besar "I", dan seterusnya. Hal ini, ditambah dengan fakta bahwa konten email terlihat sah, membuat sulit untuk mengidentifikasi serangan spear-phishing.
 
Email yang dikirim biasanya berisi lampiran file atau tautan ke situs web eksternal yang dapat diunduh atau diklik oleh target. Situs web atau lampiran file akan berisi malware. Malware dijalankan setelah diunduh ke perangkat target. Malware menjalin komunikasi dengan perangkat penjahat dunia maya. Setelah ini dimulai, ia dapat mencatat penekanan tombol, memanen data, dan melakukan apa yang diperintahkan pemrogram.

Siapa yang perlu khawatir dengan serangan Spear Phishing?

Setiap orang harus waspada terhadap serangan spear phishing. Beberapa kategori orang lebih cenderung demikian diserang daripada yang lain. Orang yang memiliki pekerjaan tingkat tinggi di industri seperti kesehatan, keuangan, pendidikan, atau pemerintahan memiliki risiko lebih besar. Serangan phishing tombak yang berhasil pada salah satu industri ini dapat menyebabkan:

  • Pelanggaran data
  • Pembayaran tebusan besar
  • Ancaman Keamanan Nasional
  • Kehilangan reputasi
  • Akibat hukum

 

Anda tidak dapat menghindari email phishing. Bahkan jika Anda menggunakan filter email, beberapa serangan spearphishing akan muncul.

Cara terbaik untuk menangani ini adalah dengan melatih karyawan tentang cara menemukan email palsu.

 

Bagaimana cara mencegah serangan Spear Phishing?

Ada beberapa langkah yang bisa Anda lakukan untuk mencegah serangan spear phishing. Di bawah ini adalah daftar tindakan pencegahan dan perlindungan terhadap serangan spear-phishing:
 
  • Hindari memasang terlalu banyak informasi tentang diri Anda di media sosial. Ini adalah salah satu perhentian pertama penjahat dunia maya untuk mencari informasi tentang Anda.
  • Pastikan layanan hosting yang Anda gunakan memiliki keamanan email dan perlindungan anti-spam. Ini berfungsi sebagai garis pertahanan pertama melawan penjahat dunia maya.
  • Jangan klik tautan atau lampiran file sampai Anda yakin dengan sumber emailnya.
  • Berhati-hatilah terhadap email yang tidak diminta atau email dengan permintaan mendesak. Cobalah untuk memverifikasi permintaan semacam itu melalui alat komunikasi lain. Beri orang yang dicurigai panggilan telepon, SMS, atau bicara tatap muka.
 
Organisasi perlu mendidik karyawannya tentang taktik spear-phishing. Ini membantu karyawan mengetahui apa yang harus dilakukan ketika mereka menemukan email spear-phishing. Ini pendidikan bisa tercapai dengan Simulasi Spear Phishing.
 
Salah satu cara untuk mengajari karyawan Anda cara menghindari serangan spear-phishing adalah melalui simulasi phishing.

Apa itu Simulasi Phishing?

Simulasi spear-phishing adalah alat yang sangat baik untuk mempercepat karyawan dalam taktik spear-phishing dari penjahat dunia maya. Ini adalah serangkaian latihan interaktif yang dirancang untuk mengajari penggunanya cara mengidentifikasi email spear-phishing untuk menghindari atau melaporkannya. Karyawan yang terpapar simulasi spear-phishing memiliki peluang yang jauh lebih baik untuk menemukan serangan spear-phishing dan bereaksi dengan tepat.

Bagaimana cara kerja simulasi spear phishing?

  1. Beri tahu karyawan bahwa mereka akan menerima email phishing “palsu”.
  2. Kirimi mereka artikel yang menjelaskan cara menemukan email phishing sebelumnya untuk memastikan bahwa mereka diberi tahu sebelum diuji.
  3. Kirim email phishing "palsu" secara acak selama bulan Anda mengumumkan pelatihan phishing.
  4. Ukur statistik berapa banyak karyawan yang jatuh karena upaya phishing vs jumlah yang tidak atau siapa yang melaporkan upaya phishing.
  5. Lanjutkan pelatihan dengan mengirimkan tips tentang kesadaran phishing dan menguji rekan kerja Anda sebulan sekali.

 

>>>Anda dapat mempelajari lebih lanjut tentang menemukan simulator phishing yang tepat DI SINI.<<

dasbor gophis
Cara Melakukan Tes Phishing Gratis Untuk Organisasi Anda

Mengapa saya ingin mensimulasikan serangan Phishing?

Jika organisasi Anda terkena serangan spearphishing, statistik serangan yang berhasil akan membuat Anda sadar.

Tingkat keberhasilan rata-rata serangan spearphishing adalah tingkat klik 50% untuk email phishing. 

Ini adalah jenis tanggung jawab yang tidak diinginkan perusahaan Anda.

Saat Anda meningkatkan kesadaran terhadap phishing di tempat kerja, Anda tidak hanya melindungi karyawan atau perusahaan dari penipuan kartu kredit, atau pencurian identitas.

Simulasi phishing dapat membantu Anda mencegah pelanggaran data yang merugikan perusahaan Anda jutaan dalam tuntutan hukum dan jutaan dalam kepercayaan pelanggan.

>>Jika Anda ingin melihat banyak statistik phishing, silakan lanjutkan dan lihat Panduan Utama untuk Memahami Phishing di 2021 DI SINI.<<

Jika Anda ingin memulai uji coba gratis GoPhish Phishing Framework yang disertifikasi oleh Hailbytes, Anda dapat menghubungi kami di sini untuk info lebih lanjut atau mulai uji coba gratis Anda di AWS hari ini.

Terapkan GoPhish Phishing Platform di Ubuntu 18.04 ke AWS

Layanan

Perusahaan kita

Alamat Kami

Salambyte

9511 Penjaga Ratu Ct.

Laurel, MD 20723

Telepon: (732) 771-9995

Surel: info@hailbytes.com

Solusi

FAQ Keamanan

Media sosial