Sesuaikan tampilan Anda
Setelan hanya berlaku untuk browser ini
Latar belakang
  • Terang
  • Gelap
  • Bawaan sistem

Apa itu Phishing ?

Please wait 0 seconds...
Scroll Down and click on GET LINK for destination
Congrats! Link is Generated

Serangan phishing adalah teknik yang digunakan penjahat dunia maya untuk mengelabui pengguna agar mengungkapkan kredensial login, detail kartu kredit, dan data pribadi lainnya. Penyerang tampak seolah-olah berasal dari organisasi yang dikenal dan tepercaya. Hal ini memungkinkan mereka mengelabui pengguna agar membuka tautan situs web yang disusupi, email berbahaya, lampiran, atau pesan asli.

Tautan bisa jadi merupakan server yang memasang malware yang mencuri informasi sensitif, seperti kredensial login dan data pribadi lainnya, dari korban. Biasanya, penyerang menampilkan komunikasi berbahaya seolah-olah berasal dari entitas yang dapat dipercaya, seperti perusahaan telepon atau penyedia layanan lainnya.

Seberapa Berbahayakah Serangan Phishing?

Serangan phishing merupakan risiko keamanan yang besar, baik menargetkan individu atau organisasi. Begitu mereka membentuk sebuah jaringan, mereka dapat memasang malware, menginfeksi semua komputer, dan kemudian menggunakannya untuk melancarkan serangan internal dan eksternal. Selain itu, penyerang dapat mengakses data pribadi perusahaan yang sensitif, yang dapat mereka gunakan untuk memeras organisasi atau menjualnya kepada pesaing.

Setelah berhasil, penipu sering kali menggunakan kredensial curian, detail kartu kredit, atau informasi pribadi lainnya untuk mengakses layanan lain di jaringan korban, melakukan pembelian tidak sah, dan banyak lagi.

Umumnya, serangan phishing dapat menyebabkan kerugian reputasi dan finansial bagi perusahaan atau individu. Selain itu, para penyerang juga dapat menghancurkan jaringan – yang menyebabkan pemadaman listrik dan kerugian finansial yang besar. Bahaya lainnya adalah hilangnya kredibilitas dan kepercayaan pelanggan, yang kemudian berpindah ke pesaing.

Jenis Serangan Phishing

Pendekatannya bervariasi tergantung pada tujuannya, dan spear, whaling, vishing, email, deceptive, clone, angler adalah jenis phishing yang umum.

Spear Phishing

Spear phishing adalah serangan yang menargetkan organisasi atau orang tertentu, bukan pengguna acak. Oleh karena itu, diperlukan pengetahuan tentang organisasi sasaran atau pengguna. Penyerang harus menggali lebih dalam dan mendapatkan informasi orang dalam seperti struktur kekuasaan seseorang, kehidupan pribadi, hobi, atau apa pun yang dapat mereka gunakan untuk menyesuaikan pesan phishing.

Penyerang kemudian menyesuaikan pesan tersebut dan mengirimkannya kepada korban dengan berpura-pura menjadi klien, pemasok, atau bos yang memerlukan perubahan rincian faktur atau transfer sejumlah uang ke rekening tertentu. Dalam kebanyakan kasus, mengenali serangan tombak sulit dilakukan karena penyerang mengelabui korban menggunakan informasi akurat tentang pengguna atau organisasi.

Whaling phishing

Whaling phishing adalah serangan yang mirip dengan spear phishing tetapi menargetkan para eksekutif perusahaan. Email phishing ini, terkadang diikuti dengan panggilan telepon, sering kali menipu para eksekutif agar mengotorisasi pembayaran ke akun yang dikendalikan penipu.

Alternatifnya, para phisher penangkap ikan paus dapat mengelabui para eksekutif agar mengungkapkan kredensial logging mereka. Setelah berhasil, pelaku dapat melakukan penipuan CEO di mana mereka menggunakan akun eksekutif yang telah disusupi untuk melakukan otorisasi pembayaran ke akun mereka secara curang.

Vishing

Vishing adalah teknik di mana pelaku menggunakan ponsel untuk menipu pengguna yang tidak menaruh curiga. Para penyerang berpura-pura menjadi perwakilan dari organisasi terkemuka seperti bank, perusahaan telepon, dll.

Selama panggilan, mereka mungkin menipu Anda untuk memberikan informasi sensitif seperti pin saluran telepon seluler. Mereka juga dapat meminta Anda mengirim sejumlah uang ke rekening tertentu. 

Beberapa penjahat mungkin menggunakan pendekatan hibrida. Dalam hal ini, mereka pertama-tama akan mengirim email penipuan dan diikuti dengan telepon atau panggilan vishing, sehingga terlihat lebih asli.

Email Phishing

Email phishing adalah ketika penipu mengirimkan ribuan pesan umum ke pengguna yang berbeda, berharap beberapa di antaranya akan menjadi mangsa dan melakukan pembayaran kepada penyerang. Dalam kebanyakan kasus, mereka merancang pesan phishing yang meniru email sah dari perusahaan tepercaya.

Pesan-pesan ini akan memiliki templat, logo, tanda tangan, ungkapan, dan fitur lain yang sama sehingga membuatnya tampak sah. Selain pesan, mereka membuat domain yang sangat mirip dengan perusahaan resmi, sehingga sulit untuk mencurigai apa pun kecuali setelah diperiksa dengan cermat.

Penipu juga akan menciptakan rasa urgensi dan ancaman, seperti akun akan segera kedaluwarsa, kecuali pengguna mengambil tindakan, seperti mengatur ulang kata sandi atau membayar sejumlah uang. 

Deceptive phishing

Phishing yang menipu melibatkan pelaku yang menyamar sebagai pengirim email yang dikenal dan dikenal. Penipu sering kali menyertakan tautan dan kontak sah dalam email berbahaya. Oleh karena itu, filter email tidak dapat memblokir atau menandai pesan sebagai spam.

Karena email terlihat asli, penyerang dapat mengarahkan pengguna untuk mengungkapkan informasi sensitif seperti informasi perbankan, kredensial login, atau beberapa data sensitif perusahaan.

Penjahat menipu pengguna dengan meminta mereka mengubah kata sandi, memverifikasi akun, melakukan pembayaran, dll.

Clone phishing

Dalam clone phishing, penipu membuat alamat email yang mirip dengan alamat email asli. Mereka kemudian mengirim email kepada pengguna, yang mungkin berbagi informasi sensitif dengan penjahat jika tidak hati-hati.

Misalnya, penyerang mungkin mengirim pesan yang sepertinya berasal dari atasan Anda dan meminta Anda membagikan kredensial login untuk akun tertentu. Mereka mungkin juga menyamar sebagai vendor dan meminta beberapa rincian pembayaran.

Angler phishing

Angler phishing adalah serangan yang menargetkan pengguna melalui situs web kloning, pesan pribadi palsu, atau media sosial. Dalam phising ini, pelaku mencari target korbannya melalui media sosial. Mereka kemudian mengidentifikasi orang-orang yang banyak mengeluh tentang bank terkemuka, penyedia layanan, atau organisasi terkenal lainnya.

Penipu kemudian menyamar sebagai pejabat dukungan pelanggan dari organisasi tersebut dan menawarkan bantuan kepada pelapor. Pada titik ini, penyerang menipu korbannya agar membagikan kredensial login atau data sensitif lainnya.

Cara Mengidentifikasi Upaya Phishing

Salah satu metode efektif untuk mengidentifikasi spear dan upaya phishing lainnya, seperti dijelaskan di bawah.

  • Temukan email atau pengirim pesan
  • Bacalah subjeknya dengan teliti dan pastikan topik tersebut relevan dengan apa yang Anda lakukan dan tidak terdengar aneh atau tidak biasa dengan apa yang biasanya Anda terima
  • Periksa lampiran dan tautan dalam pesan. Arahkan kursor ke tautan untuk melihat apakah tautan tersebut relevan dan cocok dengan subjek atau tindakan yang diminta
  • Menilai pesan untuk melihat apakah pesan tersebut relevan dan tidak mengandung nada yang asing, urgensi, inkonsistensi, kesalahan tata bahasa, atau kesalahan ejaan
  • Minta konfirmasi dari pemilik akun email asli. Pertimbangkan untuk menanyakan kepada pengirim tersebut apakah mereka telah mengirimi Anda pesan itu.

Selain tips di atas, berikut tips tambahannya.

  • Email tersebut memiliki nama domain, URL, tautan, dan alamat email yang tidak konsisten
  • Sapaan, salam, dan bahasa yang umum atau tidak biasa
  • Pesan email yang meminta data pribadi atau pribadi seperti rincian kartu kredit, informasi pembayaran, kredensial login, dll.
  • Pesan email dengan permintaan tindakan segera, seperti persyaratan untuk mengubah kata sandi, membayar sejumlah uang, dan tindakan lainnya

Cara Mencegah Serangan Phishing

Bisnis dan individu dapat mengambil berbagai tindakan seperti yang disebutkan di bawah ini untuk mencegah serangan phishing.

Menerapkan Kebijakan Manajemen Kata Sandi yang Ketat

Admin dapat menetapkan dan menerapkan kebijakan pengelolaan kata sandi yang kuat. Dalam kasus seperti itu, mereka memerlukan kata sandi yang kuat yang harus diubah pengguna secara berkala. Selain itu, pengguna tidak boleh menggunakan satu kata sandi untuk beberapa aplikasi dan harus dicegah untuk menggunakan kembali kata sandi lama.

Gunakan pengelola kata sandi perusahaan untuk menyimpan kredensial.

Gunakan Otentikasi Multi-Faktor

Otentikasi multifaktor memastikan bahwa pengguna melewati beberapa tingkat verifikasi sebelum mengakses layanan, seperti transaksi keuangan. Bahkan jika penyerang memperoleh kredensial, seperti nama pengguna dan kata sandi, mereka masih memerlukan bentuk autentikasi lain, seperti memberikan kode yang dikirim ke perangkat terdaftar pengguna asli, seperti ponsel.

Metode multifaktor lainnya mencakup biometrik, lencana, OTP, Pin, dan banyak lagi. Karena tidak mungkin bagi penyerang untuk melewati otentikasi kedua, bahkan ketika mereka memiliki kata sandi, maka tidak mungkin untuk mengakses dan menyusupi sistem.

Menciptakan Kesadaran Karyawan

Melakukan kampanye kesadaran bagi karyawan dan eksekutif adalah salah satu cara untuk mengurangi risiko serangan phishing. Tujuannya adalah untuk mempromosikan aktivitas online yang aman dan memberdayakan staf, termasuk eksekutif, untuk mengidentifikasi dan bertindak terhadap email berbahaya.

Pengguna harus mengetahui risiko mengklik link atau membuka dokumen yang terlihat mencurigakan, serta mengungkapkan informasi sensitif kepada orang asing. Selain itu, mereka juga tidak boleh mengunggah informasi sensitif pribadi dan perusahaan di media sosial.

Menerapkan Perangkat Lunak Keamanan Email

Instal perangkat lunak keamanan email yang efektif untuk mendeteksi dan menghentikan penipuan phishing dan ancaman lainnya. Solusi umum mencakup perangkat lunak antivirus, firewall, filter spam, dan banyak lagi. Selain itu, organisasi dapat memasang filter web untuk mendeteksi situs web berbahaya dan mencegah karyawan mengaksesnya. 

Jangan Klik Tautan Tidak Dikenal

Pengguna harus menghindari mengklik link atau lampiran dari pengirim yang tidak dikenal. Penting untuk mengambil tindakan pencegahan saat menangani email semacam itu, termasuk email yang tampaknya berasal dari sumber yang dapat dipercaya.

Jika terlihat mencurigakan, verifikasi tautan dengan mengarahkan kursor ke tautan tersebut atau menyalinnya ke jendela browser baru untuk melihat apakah tautan tersebut cocok dengan konten email.

Memastikan Email Berasal dari Domain yang Andal

Pengguna harus menghindari membuka atau mengambil tindakan terhadap email dari domain yang mencurigakan. Misalnya, jika seseorang mengirim email kepada Anda yang mengaku berasal dari Microsoft, mereka menggunakan alamat email dengan domain berbeda. Jika ragu, salin nama domain dan cari di internet.

Jika isinya tidak sesuai dengan pesan, Anda harus memperlakukannya dengan curiga. Meskipun sebagian besar email phishing ditandai sebagai SPAM, beberapa email mungkin lolos filter spam dan tampak asli. 

Hindari Memberikan Informasi di Situs yang Tidak Aman

Jika tautan membawa Anda ke situs asing, Anda tidak boleh memberikan informasi sensitif atau pribadi apa pun. Anda tidak boleh mengungkapkan data perusahaan atau pribadi Anda kepada orang asing; jika tidak, penipu dapat mencuri informasi ini dan melakukan aktivitas tanpa izin.

Kesimpulan

Serangan phishing sedang meningkat dan tampaknya tidak melambat seiring dengan terus diterapkannya trik-trik baru oleh para penipu. Meskipun organisasi dapat meningkatkan postur keamanannya, perilaku pengguna yang berisiko merupakan salah satu kontributor utama serangan phishing.

Oleh karena itu, menerapkan solusi keamanan yang andal dan perilaku pengguna online yang aman adalah salah satu cara paling efektif untuk menghentikan serangan dan memastikan keamanan dan keselamatan data sensitif bisnis Anda.

GET LINK
Posting Komentar
close