Tahukah Anda jika perusahaan sekelas Facebook dan Google pernah mengalami kerugian hingga $100 million (USD) akibat serangan phishing?
Kabar buruknya, jenis cyber attack yang seringkali disebut sebagai “business email compromise” tersebut sampai saat ini masih menjadi ancaman besar bagi setiap perusahaan.
Yuk pahami lebih mendalam apa itu phishing dan bahayanya bagi bisnis Anda. Dalam artikel ini, Anda juga akan mempelajari berbagai tipe serangan phishing serta beberapa tips ampuh untuk mencegahnya.
Daftar isi :
Apa Itu Phishing?
Phishing adalah jenis cybercrime yang memanfaatkan email, telepon, maupun pesan teks untuk mengelabui korban agar memberikan data sensitif berupa informasi login maupun detail kartu kredit.
Dalam serangan ini, pelaku akan menyamar sebagai institusi legal, dan mengirimkan pesan berisi URL/website yang telah didesain sedemikian rupa sehingga terlihat sangat profesional.
Pada dasarnya, phishing juga termasuk ke dalam kategori social engineering attack. Jadi, jenis serangan ini bukan dilancarkan dengan memanfaatkan celah keamanan sistem atau jaringan, akan tetapi dengan mengeksploitasi aspek psikologis korban.
Itulah mengapa, pelaku phishing akan berinteraksi dan berkomunikasi secara langsung dengan korban, kemudian memanfaatkan kurangnya pemahaman atau kesadaran mereka akan bahayanya memberikan informasi sensitif.
Secara umum, phishing mengandung beberapa hal berikut:
- Penawaran atau pernyataan yang menarik perhatian
Beberapa phishing akan menyertakan penawaran menggiurkan seperti informasi bahwa Anda memenangkan hadiah tertentu. Atau, pelaku juga bisa menulis pernyataan yang dapat menarik perhatian Anda, seperti kabar bahwa akun bank Anda telah disusupi oleh hackers.
- Berisi URL atau attachments
Kemudian, attackers akan memanipulasi tindakan Anda untuk mengklik URL atau attachments. Contohnya, Anda diarahkan untuk mengunjungi web tertentu untuk mengklaim hadiah atau memperbaiki masalah akun bank Anda.
- Alamat pengirim dan situs yang mencurigakan
Hackers akan menggunakan nama pengirim dan alamat website yang hampir mirip dengan perusahaan resmi. Namun jika diperhatikan lebih seksama, Anda akan menemukan kesalahan ejaan atau tulisan pada keduanya (misalnya: bankrnandiri.co.id. Dalam contoh ini, attackers mengganti huruf m dengan r dan n yang terlihat serupa).
- Memanfaatkan sense of urgency
Pelaku juga akan mendorong Anda untuk melakukan suatu tindakan dengan segera. Contohnya adalah dengan memberitahukan bahwa hadiah yang ditawarkan terbatas dan hanya bisa didapatkan dalam periode waktu tertentu.
Baca Juga: Spoofing: Pengertian, Tipe, dan Cara Mencegahnya
Tipe-Tipe Serangan Phishing
Beberapa tipe phishing attack diantaranya adalah sebagai berikut:
1. Spear Phishing
Dalam spear phishing, hackers menargetkan seorang individu secara khusus. Oleh karena itu, pelaku biasanya mengandalkan personal touch dengan menyebutkan nama korban, posisi di pekerjaan, nama perusahaan, alamat email, dan bahkan informasi spesifik mengenai peran/tugasnya di perusahaan.
Bisa dikatakan, attackers sudah terlebih dahulu mempelajari profil korban melalui berbagai sumber, termasuk sosial media (terutama LinkedIn).
Para korban, yang tidak menyadari bahwa dirinya sedang menjadi target dari phishing, kemudian menganggap bahwa pesan tersebut datang dari rekan kerja atau orang-orang yang mempunyai koneksi dengannya. Sehingga, mereka kemudian terdorong untuk mengklik URL maupun attachment yang dikirimkan pelaku.
2. Whaling
Berbeda dengan spear phishing, whaling menargetkan korban yang lebih spesifik, yakni para eksekutif atau board member. Itulah mengapa tipe phishing ini juga dikenal dengan sebutan CEO fraud, karena menyasar big fish atau orang penting di perusahaan.
Teknik serangan whaling juga lebih canggih daripada jenis phishing lainnya. Attackers tidak hanya akan menyiapkan email dengan personalisasi lebih sempurna, namun juga membuat website khusus untuk melancarkan serangan ini.
Bahayanya, baik email maupun website tersebut mengandung informasi yang lengkap dan telah disesuaikan dengan tone dan bahasa perusahaan, sehingga membuat whaling kerap sulit dideteksi.
3. Vishing
Sebagaimana namanya, vishing atau voice phishing adalah tipe serangan yang dilancarkan melalui telepon dan memanfaatkan teknologi Voice over Internet Protocol (VoIP).
Kebanyakan attackers akan menyamar sebagai representasi dari bank atau institusi penegak hukum yang ingin mengabarkan Anda bahwa akun Anda bermasalah.
Pelaku kemudian meminta Anda untuk memberitahukan detail kartu kredit, data personal, serta detail informasi akun Anda (termasuk username dan password).
Dalam beberapa kasus, attackers juga meminta Anda untuk mentransfer uang Anda ke akun yang mereka nyatakan lebih aman (yang sebenarnya adalah milik pelaku).
4. Smishing
Smishing atau SMS phishing adalah bentuk serangan phishing yang menggunakan media pesan teks atau SMS (Short Message Services). Sebagaimana email phishing, pesan yang dikirimkan dalam smishing juga mengandung link yang mengarahkan Anda ke suatu website, atau merekomendasikan Anda untuk menginstal aplikasi tertentu yang sudah disisipkan malware.
Terkadang, attackers juga mengelabui Anda untuk menghubungi nomor customer support palsu. Pelaku kemudian akan mengaku sebagai customer service dan meminta Anda untuk menginformasikan data personal Anda.
5. Angler Phishing
Seiring dengan meningkatnya popularitas berbagai platform sosial media, attackers juga mulai mengembangkan metode baru untuk melancarkan serangan phishing melalui saluran tersebut. Caranya adalah dengan membuat akun media sosial palsu mengatasnamakan suatu perusahaan.
Nantinya, attackers akan berpura-pura merespon komplain pelanggan dengan meminta mereka untuk mengirimkan informasi personal, atau mengarahkan mereka ke suatu situs yang telah didesain menyerupai web resmi.
Kemudian jika Anda menuliskan informasi akun pada area login web palsu tersebut, seluruh data Anda akan secara otomatis dikirimkan kepada para hackers.
Baca Juga: DDoS Attack: Pengertian, Tipe, dan Cara Mencegahnya
Tips Jitu Mencegah Phishing
Setelah membahas pengertian dan tipe serangan phishing, sekarang mari pahami beberapa tips jitu mencegahnya.
1. Selalu Up to Date Dengan Perkembangan Phishing
Sebagaimana ancaman cybercriminals lainnya, serangan phishing juga tak henti-hentinya dikembangkan oleh para hackers. Oleh karena itu, pastikan semua bagian di perusahaan Anda harus secara terus menerus memperbarui pengetahuan mereka mengenai phishing, teknik serangan, serta ciri-ciri yang dimilikinya.
Salah satu cara terbaik adalah dengan mengadakan sesi pelatihan berkala mengenai bahaya ancaman phishing serta langkah-langkah pencegahannya. Tak hanya itu, tanamkan juga kesadaran bahwa menjaga keamanan cyber adalah prioritas utama perusahaan Anda.
2. Two-factor authentication (2FA) Adalah Sebuah Keharusan
Salah satu metode ampuh menangkal phishing adalah dengan memberlakukan two-factor authentication. Dengan cara ini, attackers akan kesulitan mengakses akun Anda karena diharuskan menyelesaikan mekanisme autentikasi tambahan—misalnya dengan menjawab pertanyaan rahasia, memasukkan kode verifikasi dari perangkat lain, hingga pemindaian sidik jari.
3. Manfaatkan Anti-Spam dan Anti-Phishing Tool
Karena salah satu saluran utama yang digunakan untuk melancarkan serangan phishing adalah email, Anda juga bisa memanfaatkan fitur spam filter pada layanan email Anda. Kabar baiknya, fitur tersebut dapat mendeteksi malware, memblokir URL berbahaya, menganalisis format dan konten email, serta berbagai fungsi lainnya untuk mencegah phishing masuk ke inbox Anda.
Di samping itu, Anda juga dapat memasang anti-phishing add ons/extensions pada browser Anda. Hebatnya, tool tersebut dapat secara otomatis memblokir website berbahaya, menjaga keamanan data dan privasi Anda, serta menjamin bahwa Anda dapat terhindar dari ancaman phishing.
4. Kuatkan Server/Jaringan dengan Level Keamanan Berlapis
Kemudian, bekali seluruh proses komunikasi dan transfer data Anda dengan enkripsi yang kuat, seperti melalui HTTP secure (HTTPS), Transport layer security (TLS), Secure shell (SSH), maupun Virtual private network (VPN). Selain itu, kuatkan juga layer keamanan dengan mengaktifkan firewall, anti-virus, serta berbagai program keamanan lainnya.
5. Cermat dalam Menggunakan Sosial Media
Hindari mempublikasikan data sensitif melalui sosial media. Kemudian, jika suatu akun yang mengatasnamakan perusahaan meminta Anda untuk mengirimkan informasi personal, pastikan kembali apakah akun tersebut memang benar merupakan kontak resmi perusahaan atau akun pelaku phishing.
Tentunya, jangan ragu untuk mengkonfirmasikan kebenaran pesan tersebut kepada pihak perusahaan dengan menghubungi kontak resmi yang bisa Anda lihat di website bisnis brand tersebut.
Baca Juga: Kenali Apa Itu Dedicated Server, Kelebihan, dan Kekurangannya
Kesimpulan
Phishing adalah salah satu jenis cyber attack yang banyak dilancarkan oleh para hackers. Menurut laporan Proofpoint, 88% organisasi di dunia bahkan pernah mengalami percobaan serangan spear phishing pada 2019 lalu.
Tidak hanya menggunakan media email, phishing attack juga bisa menyerang melalui pesan teks dan telepon. Pelaku akan menyamar sebagai institusi legal dan mencoba untuk mendapatkan data sensitif atau menginfeksi sistem/jaringan Anda dengan malware.
Langkah terbaik untuk mencegah phishing attack adalah dengan memahami secara mendalam segala tipe serta teknik serangannya.
Tak hanya itu, Anda juga perlu membekali sistem maupun jaringan Anda dengan level keamanan berlapis—mulai dari memberlakukan two-factor authentication, memanfaatkan spam filter, memasang anti-phishing add ons/extensions, hingga mengaktifkan berbagai software keamanan.
Dan tak kalah penting, jangan lupa juga untuk mempercayakan web bisnis/layanan online Anda kepada layanan server maupun data center yang didukung oleh fitur dan fasilitas keamanan yang mumpuni.
Sebagai rekomendasi, Anda bisa memanfaatkan layanan dedicated server, colocation server, atau VPS server dari GoldenFast Network.
Semua opsi layanan tersebut didukung oleh tim teknis profesional, serta dibekali dengan dengan fasilitas 24/4 monitoring, 24/7 customer service, UPS backup, dan berbagai fitur/fasilitas keamanan terbaik lainnya untuk melindungi Anda dari segala ancaman cybercriminals.