TechforID – Phishing adalah sejenis serangan siber yang kian kali digunakan untuk tujuan mencuri data pribadi penggunanya, misalnya seperti kredensial login dan nomor kartu kredit.
Serangan phishing biasanya terjadi dengan menyamar sebagai entitas (perusahaan / lembaga ternama) untuk menipu korbannya supaya mau membuka email, sms, atau media serupa.
Usai mereka membuka, biasanya korban ditipu untuk mengklik link atau tautan yang sebenarnya sangat berbahaya.
Link atau tautan tersebut biasanya disisipkan malware, ransomware, hingga mengungkap informasi sensitif atau pribadi korban.
Informasi sensitif tersebut umumnya dipakai untuk mencuri asset sang korban hingga melakukan pembelian yang tidak sah / tidak diketahui korban.
Selain itu, phishing sering digunakan untuk mendapatkan pijakan di jaringan perusahaan atau pemerintah sebagai bagian dari serangan yang lebih besar.
Misalnya seperti skenario seorang karyawan dikompromikan untuk melewati batas keamanan, mendistribusikan malware di dalam lingkungan tertutup, atau mendapatkan akses istimewa ke data aman.
Suatu organisasi atau perusahaan yang terkena serangan ini biasanya mengalami kerugian finansial yang sangat besar.
Bergantung pada cakupannya, upaya phishing dapat meningkat menjadi insiden keamanan yang membuat suatu bisnis sulit untuk pulih.
Contoh skenario serangan Phishing yang sering terjadi
Meski ada banyak, namun yang paling sering terjadi biasanya diawali dengan :
- Email palsu yang seolah-olah dari entitas atau lembaga resmi yang didistribusikan secara massal ke sebanyak mungkin anggota / pelanggan / pengguna entitas tersebut.
- Email tersebut mengklaim bahwa kata sandi pengguna akan segera kedaluwarsa. Instruksi diberikan untuk pergi ke link tertentu untuk memperbarui kata sandi mereka dalam waktu 24 jam.
Jika tautan atau link tersebut diklik, maka kemungkinan akan terjadi hal :
- Korban diarahkan ke suatu laman yang sebenarnya palsu (tetapi mirip aslinya) dimana mereka diminta kata sandi lama dan baru mereka. Kemudian penyerang memantau laman itu, membajak kata sandi asli untuk mendapat akses ke area tertentu.
- Pengguna dikirim ke laman pembaruan kata sandi asli. Namun saat dialihkan, tanpa korban sadari ada skrip berbahaya yang aktif dibelakang layar untuk membajak sesi Cookie pengguna. Skenario ini nantinya menghasilkan serangan XSS yang direfleksikan dan memberi pelaku akses istimewa ke area tertentu.
Baca juga : Korea Selatan Kewalahan Atasi Pelecehan dan Penyerangan Seksual di Metaverse
Jenis – jenis teknik serangan Phishing
Email Phishing
Email phishing adalah permainan angka. Penyerang yang mengirimkan ribuan pesan penipuan dapat menjaring informasi penting dan sejumlah uang, meskipun hanya sebagian kecil penerima yang tertipu.
Pertama, mereka akan berusaha keras dalam merancang pesan serangan phishing untuk meniru email sebenarnya dari organisasi palsu.
Umumnya menggunakan frasa, tipografi, logo, dan tanda tangan yang sama membuat pesan tampak sah.
Selain itu, penyerang biasanya akan mencoba mendorong pengguna untuk bertindak dengan menciptakan rasa urgensi / mendadak.
Misalnya, seperti yang ditunjukkan sebelumnya, email dapat mengancam kedaluwarsa akun dan menempatkan penerima pada pengatur waktu.
Menerapkan tekanan seperti itu menyebabkan pengguna menjadi kurang rajin dan lebih rentan terhadap kesalahan.
Terakhir, tautan di dalam pesan mirip dengan tautan yang sah, tetapi biasanya memiliki nama domain yang salah eja atau subdomain tambahan.
Spear Phishing
Spear phishing merupakan jenis serangan yang menargetkan orang atau perusahaan tertentu, bukan pengguna aplikasi secara acak.
Serangan Ini adalah versi phishing yang lebih mendalam yang memerlukan pengetahuan khusus tentang suatu organisasi, termasuk struktur organisasi, hingga kekuatannya.
Serangan Spear Phishing ini mungkin terjadi sebagai berikut :
- Pelaku meneliti nama karyawan dalam departemen pemasaran organisasi dan mendapatkan akses ke faktur proyek terbaru.
- Menyamar sebagai direktur pemasaran, penyerang mengirim email kepada manajer proyek departemen (PM) menggunakan baris subjek yang berbunyi, Faktur yang diperbarui untuk kampanye Q3. Teks, gaya, dan logo yang disertakan menduplikasi template email standar organisasi.
- Tautan dalam email dialihkan ke dokumen internal yang dilindungi kata sandi, yang sebenarnya merupakan versi palsu dari faktur curian.
- PM diminta untuk login untuk melihat dokumen. Penyerang mencuri kredensialnya, mendapatkan akses penuh ke area sensitif dalam jaringan organisasi.
Dengan memberikan kredensial login yang valid kepada penyerang, spear phishing adalah metode yang efektif untuk mengeksekusi tahap pertama serangan Phishing tingkat lanjut.
Cara Mencegah Serangan Phishing
Metode untuk mencegah serangan phishing tentunya berbeda bagi skala pengguna ataupun organisasi.
Bagi pengguna, kewaspadaan adalah kuncinya. Sebuah pesan palsu sering mengandung kesalahan halus yang mengekspos identitas aslinya.
Cara ini dapat mencakup kesalahan ejaan atau perubahan pada nama domain, seperti yang terlihat pada contoh URL sebelumnya. Pengguna juga harus berhenti dan memikirkan mengapa mereka menerima email seperti itu.
Untuk perusahaan, sejumlah langkah dapat diambil untuk mengurangi serangan phishing dan spear phishing antara lain.
Otentikasi dua faktor (2FA) adalah metode paling efektif untuk melawan serangan phishing, karena menambahkan lapisan verifikasi tambahan saat masuk ke aplikasi sensitif.
2FA bergantung pada pengguna yang memiliki dua hal: sesuatu yang mereka ketahui, seperti kata sandi dan nama pengguna, dan sesuatu yang mereka miliki, seperti ponsel cerdas mereka.
Bahkan ketika karyawan disusupi, 2FA mencegah penggunaan kredensial mereka yang disusupi, karena ini saja tidak cukup untuk mendapatkan entri.
Selain menggunakan 2FA, organisasi harus menerapkan kebijakan manajemen kata sandi yang ketat.
Misalnya, karyawan harus diminta untuk sering mengubah kata sandi mereka dan tidak diizinkan untuk menggunakan kembali kata sandi untuk beberapa aplikasi.
Kampanye pendidikan juga dapat membantu mengurangi ancaman serangan phishing dengan menerapkan praktik yang aman, seperti tidak mengeklik tautan email eksternal.
Baca artikel selanjutnya :
