Penipuan phishing: Cara mengenali dan menghindarinya

Diterbitkan: 2022-09-20
DAPATKAN RENCANA PERLINDUNGAN PENYIMPANAN YANG TEPAT TERSEDIA UNTUK ANDA

Phishing adalah salah satu ancaman kejahatan dunia maya tertua, yang telah ada sejak awal internet.

Namun, penipuan phishing juga merupakan salah satu ancaman keamanan siber terbesar yang dihadapi organisasi mana pun, dan unik karena menargetkan orang , bukan perangkat lunak atau perangkat keras.

Artinya, meskipun Anda telah berinvestasi dalam infrastruktur keamanan siber yang paling mahal, organisasi Anda dapat berisiko jika salah satu karyawan yang rentan disusupi oleh skema phishing. Ini adalah salah satu alasan utama mengapa phishing sangat berbahaya.

Sayangnya, bahaya phishing telah meningkat baik secara kualitas maupun kuantitas dalam beberapa tahun terakhir. Menurut laporan tren aktivitas phishing Anti-Phishing Working Group (APWG), akan ada 1.025.968 serangan phishing pada Maret 2022, meningkat 15% dari Q4 2021. Kecanggihan dan variasi teknik yang digunakan dalam setiap serangan juga meningkat di tahun terakhir.

Dalam artikel ini, kita akan belajar bersama tentang apa itu phishing, cara mengidentifikasinya, dan bagaimana organisasi dapat melindungi karyawan dan pelanggan mereka dari serangan phishing secara lebih efektif.

Pada akhir panduan ini, Anda telah belajar tentang:

  • Apa itu penipuan phising?
  • Berbagai jenis phishing di tahun 2022
  • Cara mengenali upaya phishing
  • Bagaimana melindungi bisnis Anda dari phishing
  • Cara melaporkan upaya phishing yang berhasil dan tidak berhasil dan mengurangi kerusakan

Mari kita mulai panduan ini segera.

Apa itu penipuan phising?

Phishing adalah jenis kejahatan dunia maya di mana pelaku menghubungi korban sasaran (atau korban) sambil menyamar sebagai orang terkenal atau lembaga yang sah untuk memikat korban agar memberikan informasi rahasia, sensitif, dan/atau berharga seperti Personally Identifiable Information (PII) , detail perbankan, informasi kartu kredit, kredensial akun, dan banyak lagi.

Nama "phishing" dianalogikan dengan memancing, mengacu pada bagaimana kejahatan dunia maya "memancing" kredensial, kata sandi, dan informasi sensitif lainnya dari para korbannya.

Kata phishing pertama kali digunakan sekitar tahun 1996 oleh peretas yang mencuri akun AOL (America Online) yang populer saat itu. Peretas di akhir 1990-an cenderung menggunakan huruf "ph" untuk menggantikan "f" (yaitu, "phreaks"), maka nama "phishing."

Secara tradisional phishing dilakukan melalui email, tetapi sekarang phishing dapat terjadi di berbagai media komunikasi yang berbeda dari panggilan telepon, pesan teks, komentar media sosial, DM media sosial, komentar blog, dan banyak lagi.

Mengapa penjahat dunia maya melakukan phishing?

Jawaban singkatnya adalah memonetisasi informasi yang dicuri.

Seperti kebanyakan kegiatan kriminal lainnya (termasuk kejahatan dunia maya), sebagian besar serangan phishing memiliki motivasi finansial di belakangnya.

Namun, ada kasus di mana motivasinya bukan finansial, seperti dendam pribadi atau alasan politik (yaitu, kampanye hitam) tetapi relatif jarang terjadi.

Jadi, bagaimana penjahat dunia maya dapat menghasilkan uang dari phishing? Memahami teknik monetisasi mereka dapat membantu Anda mengenali upaya phishing, dan berikut beberapa contohnya:

  • Mencuri informasi kartu kredit Anda dan kemudian menggunakan rincian kartu kredit untuk membeli barang di internet.
  • Pemerasan, misalnya, ketika penjahat cyber berhasil mengekstrak informasi sensitif, kemudian memeras korban untuk membayar mereka sejumlah uang atau mereka akan merilis informasi tersebut ke publik.
  • Menjual informasi sensitif/pribadi kepada pihak lain (yaitu, pesaing Anda, peretas lain). Praktik umum di web gelap.
  • Menggunakan informasi Anda untuk meluncurkan aktivitas penipuan/penjahat dunia maya lainnya, misalnya, menghubungi teman Anda menggunakan akun Anda untuk menipu mereka.

Anatomi serangan phishing

Phishing adalah bentuk rekayasa sosial, yang merupakan istilah umum yang digunakan untuk merujuk pada berbagai kegiatan kriminal yang dicapai melalui interaksi manusia.

Phishing mengandalkan manipulasi psikologis untuk mengelabui korbannya agar membocorkan informasi sensitif mereka atau membuat kesalahan keamanan.

Sementara penjahat dunia maya dapat menggunakan teknik dan skema yang berbeda dalam serangan phishing mereka, biasanya, mereka akan mengikuti pola berikut:

  1. Pelaku terlebih dahulu meneliti korban sasaran dan/atau lingkungan tempat mereka berada untuk mengumpulkan informasi yang diperlukan seperti potensi kerentanan keamanan dan kelemahan lainnya.
  2. Pelaku memulai kontak mencoba untuk mendapatkan kepercayaan korban.
  3. Pelakunya juga:
    1. Menawarkan sesuatu yang berharga untuk memicu rasa urgensi korban.
    2. Menanamkan ketakutan pada target korban, biasanya dengan ancaman fiktif (yaitu, "akun Anda akan segera dihapus, dan kami perlu memverifikasi identitas Anda").
  4. Korban ditipu untuk membocorkan informasi pribadi atau kredensial mereka.

Sebagai contoh:

  1. Pelaku menargetkan pengguna Gmail sebagai korban sasarannya dan telah meneliti platform Gmail dan kebijakannya.
  2. Pelaku mengirimkan email kepada pengguna Gmail dengan alamat email yang menyerupai alamat resmi Google (misalnya dengan nama domain “Google.biz”).
  3. Email tersebut memperingatkan pengguna tentang pelanggaran kebijakan yang memerlukan tindakan segera (yaitu, perubahan kata sandi, perubahan pertanyaan keamanan, dll.), dan email tersebut akan menyertakan tautan ke situs web palsu yang hampir identik dengan halaman masuk Gmail.
  4. Korban memasukkan kredensial mereka saat ini di halaman login palsu, dan kredensial mereka secara efektif dikirim ke penyerang.

Ini hanyalah salah satu contoh dari begitu banyak teknik dan skema phishing yang berbeda yang dilakukan oleh penjahat dunia maya setiap hari. Namun, kita dapat mengkategorikan serangan phishing ke dalam beberapa jenis utama, yang akan kita bahas di bawah ini.

Otomatiskan perlindungan peniruan identitas Anda dengan teknologi AI-Powered

Berbagai jenis serangan phishing

1. Email phishing

Jenis skema phishing yang paling dasar, dan seperti namanya, melibatkan pelaku mengirim email sambil menyamar sebagai merek atau orang yang dikenal.

Email akan berisi tautan ke situs web jahat atau lampiran yang berisi malware yang akan menginfeksi perangkat penerima.

Cara mengidentifikasi:

Sementara penjahat dunia maya semakin canggih dalam meluncurkan email phishing, Anda biasanya dapat melihat tanda-tanda berikut:

  • Periksa nama domain alamat email pengirim dan pastikan itu sah.
  • Jika email berisi informasi kontak apa pun, periksa silang informasi kontak ini dengan yang ada di situs web perusahaan tempat email tersebut diklaim.
  • Hindari mengklik tautan yang dipersingkat. Ini adalah teknik umum yang digunakan untuk mengelabui Secure Email Gateways.
  • Periksa kembali setiap logo yang terlihat sah dan lihat kode sumbernya. Mereka cenderung mengandung atribut HTML berbahaya.
  • Cukup curiga ketika email memiliki teks yang sangat sedikit dan hanya gambar/foto di badan. Gambar mungkin menyembunyikan kode berbahaya.

2. Phising tombak

Spear phishing biasanya juga menggunakan email sebagai media komunikasi utama, sehingga dapat dianggap sebagai variasi dari email phishing.

Perbedaan utama terletak pada pendekatan spear phishing yang lebih bertarget, biasanya menargetkan satu korban (atau sekelompok kecil korban.)

Pelaku pertama-tama melakukan penelitian menyeluruh terhadap korban target untuk mengumpulkan informasi tentang korban, misalnya, dari media sosial, situs web perusahaan, dan sebagainya, dan kemudian akan menargetkan korban ini dengan skema yang dipersonalisasi dengan memanfaatkan informasi yang dikumpulkan seperti nama asli ( bos korban atau manajer HRD,) nomor telepon kantor, dan sebagainya untuk mendapatkan kepercayaan korban.

Pada akhirnya, karena korban percaya identitas scammer karena informasi valid yang mereka gunakan, mereka jatuh ke dalam perangkap pelaku.

Cara mengidentifikasi:

Mengidentifikasi serangan spear phishing bisa lebih menantang karena banyaknya penelitian yang dilakukan oleh pelaku dan informasi yang tampaknya valid yang mereka gunakan. Namun, cari yang berikut ini:

  • Email yang mengaku dari atasan Anda atau seseorang yang penting di perusahaan Anda dengan file atau dokumen yang dilindungi kata sandi yang mengharuskan Anda untuk memasukkan nama pengguna dan kata sandi Anda. Ini adalah skema umum untuk mencuri kredensial.
  • Secara umum, waspadai setiap permintaan yang tampak luar biasa, mengingat fungsi pekerjaan pengirim yang diduga.
  • Skema umum lainnya adalah memiliki tautan ke dokumen yang disimpan di Google Drive, Dropbox, atau layanan penyimpanan berbasis cloud lainnya. Tautan ini sering akan mengarahkan Anda ke situs web berbahaya.

3. Penangkapan ikan paus

Variasi lain dari taktik spear phishing, whaling atau juga sering disebut “CEO fraud” melibatkan pelaku menggunakan teknik open source intelligence (OSINT) untuk menemukan nama CEO organisasi atau anggota manajemen tingkat atas dan kemudian menyamar sebagai orang tersebut menggunakan akun palsu. alamat email.

Pelaku kemudian akan mengincar karyawan perusahaan, meminta kredensial rekening, informasi perbankan kepada penerima, atau bahkan meminta transfer uang kepada penerima.

Cara mengidentifikasi:

  • Periksa kembali alamat email pengirim, pastikan itu berasal dari alamat email resmi perusahaan. Trik umum adalah dengan mengklaim bahwa email tersebut berasal dari alamat pribadi mereka (yaitu, bahwa mereka tidak dapat mengakses email kantor mereka saat ini.)
  • Jangan ragu untuk mengonfirmasi dengan orang lain di perusahaan Anda atau bahkan memberikan orang yang mengaku dari email tersebut dari panggilan.
  • Berhati-hatilah jika email tersebut mengaku berasal dari seseorang di perusahaan Anda yang belum pernah melakukan kontak sebelumnya.

4. Phising HTTPS

Banyak dari kita dilatih bahwa situs web HTTPS dienkripsi ujung-ke-ujung dan oleh karena itu aman dalam hal mengirimkan informasi dan kredensial pribadi.

Namun, banyak penipu memanfaatkan pengetahuan ini dalam upaya phishing mereka, menggunakan protokol HTTPS di situs web palsu yang ditautkan dalam email phishing.

Cara mengidentifikasi:

  • Periksa apakah tautan menggunakan hypertext untuk menyembunyikan URL asli
  • Periksa kembali apakah tautannya tidak dipersingkat, dan semua bagian URL ditampilkan

5. Berburu

Singkatan dari “Voice Phishing”, dan seperti namanya, ini adalah upaya phishing yang terjadi melalui panggilan telepon.

Biasanya pelaku akan menelepon selama waktu sibuk, bertepatan dengan musim, periode, atau peristiwa yang menegangkan, mengaku dari perusahaan yang sudah mapan dan menciptakan rasa urgensi yang tinggi.

Idenya adalah agar panggilan tersebut menciptakan rasa panik, membingungkan penerima sehingga membuat kesalahan keamanan dan membocorkan informasi sensitif mereka.

Cara mengidentifikasi:

  • Bersikaplah curiga jika panggilan tersebut meminta tindakan yang tidak biasa untuk jenis penelepon, terutama saat meminta informasi sensitif atau pribadi.
  • Periksa kembali nomor penelepon apakah itu berasal dari lokasi yang tidak biasa atau diblokir.
  • Gunakan aplikasi seluler yang memungkinkan Anda untuk memeriksa identitas panggilan masuk dari nomor yang tidak dikenal. Ada banyak aplikasi semacam itu untuk perangkat iOS dan Android.
  • Sebaiknya hindari mengangkat panggilan dari nomor yang tidak dikenal selama waktu atau situasi yang menegangkan.

6. Menghancurkan

Singkatan dari “SMS Phishing”, ini adalah upaya phishing yang dilakukan melalui pesan teks (SMS.)

Biasanya pelaku akan mengirim pesan teks yang mengaku berasal dari organisasi atau perusahaan mapan, dan pesan teks tersebut akan menyertakan tautan yang berisi malware dan/atau yang akan mengarahkan Anda ke situs web berbahaya.

Karena banyak orang cenderung melihat pesan teks sebagai lebih pribadi dan "tidak berbahaya", smishing mungkin membuat korbannya lengah.

Cara mengidentifikasi:

  • Sebelum mengklik tautan apa pun, periksa langsung ke situs web perusahaan yang diklaim oleh pesan teks tersebut dari apakah ada pemberitahuan terkait tindakan yang diminta oleh pesan teks tersebut.
  • Jangan ragu untuk menghubungi nomor yang tercantum di situs web resmi perusahaan dan mengkonfirmasi keabsahan pesan teks.
  • Tinjau kode area dan nomor pengirim dan bandingkan dengan daftar kontak Anda sebelum mengklik tautan apa pun atau mengambil tindakan yang disarankan.

7. Phishing Pemancing

Angler phishing adalah jenis phishing khusus yang menargetkan pengguna media sosial, terutama yang melibatkan pelaku menggunakan akun media sosial palsu yang menyamar sebagai perusahaan atau individu yang dikenal.

Phishing pemancing terutama memanfaatkan fakta bahwa interaksi antara bisnis dan pelanggan di media sosial menjadi lebih sering dan diharapkan. Pelaku terlibat dengan korban target melalui notifikasi dan DM untuk mengelabui mereka agar melakukan kesalahan keamanan.

Cara mengidentifikasi:

  • Periksa kembali akun untuk centang biru (akun terverifikasi).
  • Berhati-hatilah terhadap pemberitahuan yang menyertakan tautan yang dapat mengarahkan Anda ke situs web berbahaya.
  • Hindari mengklik tautan apa pun di DM yang berasal dari mereka yang jarang membagikan tautan (atau orang/akun yang tidak pernah mengirimi Anda pesan) meskipun tautan tersebut terlihat sah.
  • Jika ada DM yang datang dari orang yang Anda kenal yang jarang mengirimi Anda pesan, periksa kembali akun karena mungkin palsu atau baru dibuat

8. Farmasi

Pharming adalah bentuk phishing yang agak maju, dengan nama yang merupakan gabungan dari "phishing" dan "farming."

Teknik pharming yang umum melibatkan pelaku membajak DNS untuk mengarahkan pengguna yang mencoba menjangkau situs web tertentu ke situs web palsu.

Upaya pharming yang canggih bisa sangat sulit dideteksi.

Cara mengidentifikasi:

  • Periksa kembali URL situs web jika menggunakan HTTP, bukan HTTPS
  • Cari inkonsistensi seperti kesalahan ketik, warna yang tidak serasi, desain yang tidak pantas, konten yang tipis, dll., yang mungkin menandakan situs web palsu.

Bagaimana melindungi bisnis Anda dari phishing

Di atas, kita telah mempelajari cara mengenali jenis utama teknik phishing dan langkah-langkah dasar untuk melindungi diri Anda darinya.

Di bagian ini, kami juga akan membahas beberapa praktik terbaik yang penting untuk diikuti untuk melindungi diri Anda dan bisnis Anda dari berbagai serangan phishing:

1. Didik karyawan Anda

Karena phishing pada dasarnya adalah rekayasa sosial , garis pertahanan pertama yang harus Anda miliki adalah memastikan karyawan Anda memiliki pendidikan dan pelatihan yang diperlukan untuk mengenali upaya phishing dan melindungi kredensial/informasi sensitif mereka.

Jadikan pelatihan kesadaran phishing sebagai bagian dari program orientasi karyawan Anda, dan perbarui pelatihan secara teratur untuk memasukkan metodologi dan tren yang lebih baru.

2. Memerlukan otentikasi multi-faktor

Memerlukan otentikasi multi-faktor dapat mengurangi risiko phishing yang berhasil dalam situasi ketika karyawan Anda ditipu untuk membocorkan kredensial mereka.

Dengan otentikasi multi-faktor, Anda akan meminta karyawan Anda untuk memberikan informasi lain selain kata sandi mereka sebelum mereka dapat masuk ke jaringan dan aplikasi Anda.

Informasi sekunder (atau lebih) dapat berupa:

  • Sesuatu itu: biometrik seperti ID wajah atau sidik jari
  • Sesuatu yang mereka ketahui: kata sandi lain, PIN, jawaban atas pertanyaan keamanan, dll.
  • Sesuatu yang mereka miliki: perangkat untuk dipasangkan, kartu kunci, dongle USB, dll.

3. Pencadangan reguler

Serangan phishing yang berhasil dapat menyebabkan infeksi malware, termasuk ransomware, yang dapat menyebabkan Anda kehilangan akses ke file/aplikasi tertentu dan bahkan menyelesaikan kegagalan sistem.

Untuk mengurangi risiko ini, buat cadangan data Anda secara teratur.

Sebaiknya ikuti prinsip pencadangan 3-2-1: 3 salinan data Anda, pada 2 media berbeda, 1 di antaranya disimpan di luar lokasi.

Menghentikan peniruan identitas merek Anda dalam serangan phishing

Kekhawatiran lain terkait phishing adalah ketika domain atau nama merek Anda digunakan oleh penjahat dunia maya sebagai bagian dari skema phishing mereka.

Meskipun secara teknis bukan salah Anda, korban serangan phishing mungkin menyalahkan merek yang ditiru penipu, sehingga berdampak negatif pada reputasi merek.

Sementara pencegahan 100% penjahat dunia maya dari meniru merek Anda bisa sangat sulit jika bukan tidak mungkin, ada beberapa langkah yang dapat diambil bisnis Anda untuk mengurangi risiko:

  • Gunakan sertifikat SSL (HTTPS) di situs web Anda. Dengan cara ini, ketika scammer ingin meniru identitas situs web Anda, mereka harus mendapatkan sertifikat SSL yang sah selain yang palsu. Ini mungkin membuat mereka putus asa.
  • Gunakan protokol seperti DKIM atau DMARC untuk menambahkan verifikasi ke email yang dikirim atau diterima bisnis Anda. Ini dapat mencegah pihak eksternal mengirim email palsu menggunakan nama domain Anda, secara efektif mencegah phishing email.
  • Daftarkan variasi nama domain Anda (TLD yang berbeda, kemungkinan salah eja, dll.) untuk mencegah variasi ini digunakan dalam upaya phishing.
  • Gunakan Manajemen Domain Red Points untuk membantu melindungi nama domain bisnis Anda secara real time. Red Points dapat secara efektif menangkap upaya phishing menggunakan nama domain Anda di banyak platform berbeda dengan autopilot, tidak memerlukan intervensi manual apa pun. Red Points juga dapat membantu Anda menghapus situs palsu yang meniru identitas sebelum berdampak negatif pada reputasi Anda.

Apa berikutnya

Meskipun ada banyak jenis serangan phishing yang dilakukan oleh scammers dan penjahat dunia maya, semua serangan phishing memiliki fitur umum berikut:

  • Menciptakan rasa urgensi: pelaku sering mendesak Anda untuk bertindak cepat baik dengan menakut-nakuti Anda dengan ancaman mendesak fiktif atau dengan menarik Anda dengan tawaran waktu terbatas. Beberapa skema phishing bahkan akan memberi tahu Anda bahwa Anda hanya memiliki beberapa menit untuk merespons.
  • Terlalu bagus untuk menjadi kenyataan: phishing sering kali melibatkan penawaran dan klaim yang menarik perhatian dan menarik. Misalnya, mengklaim bahwa Anda telah memenangkan iPhone dan meminta Anda untuk mengklik tautan.
  • Pengirim yang tidak biasa: berikan perhatian ekstra pada URL situs web dan alamat email pengirim. Jika email berasal dari seseorang yang tidak Anda kenal atau jika Anda melihat sesuatu yang tidak biasa, hindari mengklik apa pun.
  • Tautan mencurigakan: jangan klik tautan apa pun kecuali Anda yakin 100%. Anda dapat mengarahkan kursor ke tautan sehingga Anda dapat memeriksa URL yang sebenarnya dan melihat dengan cermat apakah URL tersebut sah.
  • Lampiran berbahaya: jangan pernah mengklik lampiran apa pun pada email yang Anda tidak yakin 100%. Lampiran mungkin berisi malware, ransomware, atau virus lainnya.

Meskipun tidak ada satu cara pun untuk menghindari serangan phishing, Anda dapat menggunakan kombinasi tips di atas untuk mencegahnya dan mengurangi kerusakan.

Penting juga untuk diingat bahwa selain membangun infrastruktur keamanan siber yang kuat dan praktik terbaik, elemen penting lainnya untuk mencegah phishing adalah pendidikan . Ketika datang ke phishing dan skema rekayasa sosial lainnya, organisasi Anda hanya aman sebagai orang yang paling tidak berpengetahuan di dalamnya.