Apa yang dimaksud dengan spear phishing?

Seperti semua penipuan phishing, phishing tombak melibatkan manipulasi korban melalui cerita palsu dan skenario penipuan. Serangan phishing tombak dapat dilakukan melalui email, pesan teks, aplikasi obrolan, atau panggilan telepon.

Menurut Laporan Biaya Pelanggaran Data IBM, phishing adalah penyebab paling umum dari pelanggaran data. Phishing tombak adalah salah satu bentuk phishing yang paling efektif karena penjahat siber menyesuaikan penipuan mereka agar semeyakinkan mungkin bagi target mereka.

Dalam sebuah laporan dari Barracuda yang menganalisis 50 miliar email, para peneliti menemukan bahwa phishing tombak hanya menyumbang kurang dari 0,1% dari email yang ada, tetapi menyebabkan 66% pelanggaran yang berhasil dilakukan.¹ Sementara rata-rata pelanggaran yang disebabkan oleh phishing menelan biaya USD 4,76 juta menurut Laporan Biaya Pelanggaran Data, serangan phishing tombak dapat meningkat hingga USD 100 juta.²

Phishing tombak, suatu bentuk serangan rekayasa sosial yang lebih mengeksploitasi sifat manusia daripada kerentanan jaringan. Untuk mengatasi hal ini secara efektif, tim keamanan siber harus menggabungkan pendidikan karyawan dengan alat deteksi ancaman tingkat lanjut, membentuk pertahanan yang kuat terhadap ancaman berbahaya ini.

Phishing adalah kategori luas yang mencakup serangan rekayasa sosial apa pun yang menggunakan pesan penipuan untuk memanipulasi korban. Phishing tombak adalah bagian dari phishing yang berfokus pada target yang dipilih dengan cermat.

Serangan phishing klasik, juga disebut “phishing massal,” adalah permainan angka. Peretas membuat pesan penipuan yang seolah-olah berasal dari bisnis, organisasi, atau bahkan selebritas tepercaya.

Peretas mengirim pesan phishing ini ke ratusan atau ribuan orang, berharap dapat mengelabui beberapa dari mereka untuk mengunjungi situs web palsu atau memberikan informasi berharga seperti nomor jaminan sosial.

Namun, serangan phishing tombak adalah serangan yang ditargetkan yang ditujukan pada individu tertentu yang memiliki akses ke aset yang diinginkan penjahat siber.

Phisher tombak mengarahkan pandangan mereka pada orang atau grup tertentu, seperti eksekutif perusahaan atau direktur penjualan regional perusahaan. Mereka melakukan penelitian ekstensif tentang kehidupan pribadi dan profesional target mereka dan menggunakan temuan mereka untuk membuat pesan penipuan yang sangat kredibel.

Sebagian besar serangan phishing tombak mengikuti proses empat langkah:

1. Menetapkan tujuan 
2. Memilih target
3. Meneliti target 
4. Membuat dan mengirim pesan phising

Banyak penipuan phishing tombak yang bertujuan mencuri sejumlah besar uang dari organisasi. Phisher tombak dapat melakukan hal ini dengan beberapa cara. Ada yang menipu korbannya agar melakukan pembayaran atau transfer uang ke vendor penipu. Yang lain memanipulasi target agar membagikan nomor kartu kredit, nomor rekening bank, atau data keuangan lainnya.

Kampanye phishing tombak juga dapat memiliki tujuan merugikan lainnya:

• Menyebarkan ransomware atau malware lainnya. Contohnya, aktor ancaman dapat mengirim lampiran email berbahaya yang disamarkan sebagai dokumen Microsoft Word yang tidak berbahaya. Ketika korban membuka file, itu secara otomatis menginstal malware di perangkat mereka.
  
  
• Mencuri kredensial login, seperti nama pengguna dan kata sandi yang dapat digunakan peretas untuk melakukan serangan yang lebih besar. Misalnya, peretas mungkin mengirimkan tautan berbahaya kepada target ke halaman “perbarui kata sandi Anda” palsu. Situs web palsu ini mengirimkan kredensial apa pun yang dimasukkan korban langsung kembali ke peretas.
  
  
• Mencuri informasi sensitif, seperti data pribadi pelanggan atau karyawan, kekayaan intelektual, atau rahasia dagang. Misalnya, pelaku phishing tombak mungkin berpura-pura menjadi rekan kerja dan meminta korban untuk membagikan laporan rahasia.

Selanjutnya, pelaku phishing tombak mengidentifikasi target yang cocok. Targetnya adalah seseorang yang dapat memberi peretas akses ke sumber daya yang mereka inginkan, baik secara langsung (seperti dengan melakukan pembayaran) atau tidak langsung (seperti dengan mengunduh spyware).

Upaya phishing tombak sering kali menargetkan karyawan tingkat menengah, tingkat rendah, atau baru dengan hak istimewa jaringan atau sistem yang tinggi. Karyawan ini bisa jadi tidak terlalu ketat dalam mengikuti kebijakan perusahaan dibandingkan dengan target yang lebih tinggi. Mereka juga lebih rentan terhadap beragam taktik, seperti penipu yang berpura-pura menjadi pemimpin senior.

Korban tipikal termasuk manajer keuangan yang berwenang untuk melakukan pembayaran, pekerja TI dengan akses tingkat administrator ke jaringan dan manajer SDM dengan akses ke data pribadi karyawan.

Jenis serangan phishing tombak lainnya menargetkan karyawan tingkat eksekutif secara eksklusif. Untuk informasi lebih lanjut, lihat bagian “Phishing tombak, whaling and BEC”.

Penyerang meneliti target, mencari informasi yang memungkinkan mereka untuk menyamar sebagai sumber tepercaya yang dekat dengan target, seperti teman, kolega, atau atasan.

Terima kasih atas banyaknya informasi yang dibagikan orang secara bebas di media sosial dan di tempat lain secara online, penjahat siber dapat menemukan informasi ini tanpa terlalu banyak menggali. Banyak peretas dapat membuat email phishing tombak yang meyakinkan setelah hanya beberapa jam pencarian Google.

Beberapa peretas bahkan bertindak lebih jauh lagi. Mereka membobol akun email perusahaan atau aplikasi perpesanan dan menghabiskan waktu mengamati target mereka untuk mengumpulkan informasi yang lebih terperinci.

Menggunakan penelitian mereka, phisher tombak membuat pesan phishing bertarget yang tampak sangat kredibel. Kuncinya adalah bahwa pesan-pesan ini berisi detail pribadi dan profesional yang secara keliru diyakini oleh target bahwa hanya sumber tepercaya yang dapat mengetahuinya.

Misalnya, bayangkan Jack adalah seorang accounts payable manager di ABC Industries. Dengan melihat profil publik LinkedIn milik Jack, penyerang dapat menemukan jabatan, tanggung jawab, alamat email perusahaan, nama dan jabatan atasannya, serta nama dan jabatan mitra bisnisnya.

Peretas dapat menggunakan detail ini untuk mengirim email yang dapat dipercaya yang mengklaim berasal dari bos Jack:

Hai Jack,

Saya tahu Anda memproses faktur dari Sistem XYZ. Mereka hanya memberi tahu saya bahwa mereka sedang memperbarui proses pembayaran mereka dan membutuhkan semua pembayaran di masa mendatang untuk masuk ke rekening bank baru. Berikut faktur terbaru mereka dengan detail akun baru. Bisakah Anda mengirim pembayaran hari ini?

Faktur terlampir palsu, dan "rekening bank baru" ternyata milik si penipu. Jack memberikan uang langsung kepada penyerang ketika dia melakukan pembayaran.

Email phishing biasanya menyertakan isyarat visual yang memberikan keaslian lebih lanjut pada penipuan. Misalnya, penyerang mungkin menggunakan alamat email palsu yang menunjukkan nama tampilan bos Jack tetapi menyembunyikan alamat email palsu yang digunakan penyerang.

Penyerang mungkin juga men-CC email rekan kerja palsu dan menyisipkan tanda tangan yang menampilkan logo industri ABC.

Seorang penipu yang terampil bahkan mungkin meretas akun email bos Jack yang sebenarnya dan mengirim pesan dari sana, memberi Jack tidak alasan untuk curiga.

Beberapa penipu melakukan kampanye phishing tombak hybrid yang menggabungkan email dengan pesan teks (disebut "SMS phishing" atau "smishing") atau panggilan telepon (disebut "voice phishing" atau "vishing").

Misalnya, alih-alih melampirkan faktur palsu, email tersebut mungkin menginstruksikan Jack untuk menghubungi departemen utang usaha XYZ Systems di nomor telepon yang diam-diam dikendalikan oleh penipu.

Karena mereka menggunakan beberapa mode komunikasi, serangan phishing tombak hybrid sering kali lebih efektif daripada serangan phishing tombak standar.

Selain mendapatkan kepercayaan para korban, serangan phishing tombak sering menggunakan teknik rekayasa sosial untuk secara psikologis menekan target mereka agar mengambil tindakan yang seharusnya dan biasanya tidak akan mereka ambil.

Salah satu contohnya adalah menyamar sebagai pejabat tinggi perusahaan, seperti pada email phishing tombak di bagian sebelumnya. Karyawan dikondisikan untuk menghormati otoritas dan takut untuk tidak mengikuti perintah eksekutif, bahkan jika perintah tersebut di luar kebiasaan.

Taktik rekayasa sosial umum lainnya meliputi:

• Pretexting: Mengarang cerita atau situasi realistis yang dikenali dan dapat dihubungkan oleh target. Misalnya, phisher tombak mungkin menyamar sebagai pekerja TI dan memberi tahu target bahwa sudah waktunya untuk memperbarui kata sandi yang dijadwalkan secara rutin.

• Menciptakan rasa urgensi: Misalnya, seorang pelaku phishing mungkin berpura-pura sebagai vendor dan mengklaim bahwa pembayaran untuk layanan penting terlambat.

• Memancing emosi yang kuat: Memicu rasa takut, rasa bersalah, rasa syukur, atau keserakahan atau merujuk pada sesuatu yang dipedulikan oleh target dapat mengaburkan penilaian korban dan membuat mereka lebih rentan terhadap penipuan. Misalnya, penipu yang menyamar sebagai atasan target mungkin menjanjikan “hadiah” untuk “membantu permintaan di menit-menit terakhir.”

Meningkatnya ketersediaan kecerdasan buatan (AI), khususnya AI generatif (gen AI), memudahkan pelaku phishing tombak untuk melakukan serangan yang canggih dan sangat efektif.

Menurut IBM X-Force Threat Intelligence Index, penipu membutuhkan waktu 16 jam untuk membuat email phishing secara manual. Dengan AI, penipu dapat membuat pesan tersebut hanya dalam lima menit.

Khususnya untuk pelaku phishing tombak, AI dapat menyederhanakan beberapa bagian paling rumit dari penipuan. Misalnya, penipu dapat menggunakan AI untuk mengotomatiskan ekstraksi informasi dari profil media sosial target. Mereka dapat memberi alat AI generasi baru contoh tulisan dari orang yang ingin mereka tiru, yang memungkinkan AI menghasilkan pesan phishing yang lebih kredibel.

Penipu juga dapat menggunakan AI untuk membuat dokumen palsu yang meyakinkan, seperti faktur palsu, templat email, laporan, dan materi lainnya. Peretas bahkan dapat menggunakan video dan rekaman suara yang dihasilkan oleh AI untuk membuat lebih sulit lagi membedakan antara penipuan dan komunikasi yang sebenarnya.

Ada dua subtipe serangan phishing tombak yang terkenal: whaling (atau “whale phishing”) dan business email compromise (BEC) atau penjebolan email bisnis.

Perbedaan utama antara whaling dan phishing tombak biasa adalah serangan whaling secara khusus menargetkan korban yang paling terkenal dan bernilai tinggi. Pikirkan tentang anggota dewan, manajemen tingkat C, selebriti atau politisi. Para whaler mengincar hasil buruan yang hanya bisa diberikan oleh target-target ini, seperti uang tunai dalam jumlah besar atau akses ke informasi yang sangat rahasia.

Serangan BEC adalah penipuan phishing tombak yang secara khusus ditujukan untuk merampok organisasi. Dua bentuk umum dari BEC meliputi:

• Penipuan CEO: Penipu menyamar sebagai eksekutif tingkat C dengan memalsukan atau membajak akun email, aplikasi obrolan, atau saluran komunikasi lainnya. Penipu mengirim pesan kepada satu atau lebih karyawan tingkat rendah yang menginstruksikan mereka untuk mentransfer dana ke rekening penipuan atau melakukan pembelian dari vendor penipuan.
  
  

• Penjebolan akun email (email account compromise/EAC): Penipu mendapatkan akses ke akun email karyawan yang lebih rendah, seperti manajer di bidang keuangan atau penjualan. Pembohong menggunakan akun tersebut untuk mengirimkan faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran palsu, atau meminta akses ke data rahasia.

Serangan BEC yang berhasil merupakan salah satu ancaman siber yang paling mahal, dengan total kerugian yang dilaporkan mencapai USD 2,9 miliar pada tahun 2023 menurut Laporan Kejahatan Internet Biro Investigasi Federal (FBI).³

Serangan phishing merupakan salah satu serangan siber yang paling sulit dilawan karena alat keamanan siber tradisional tidak selalu dapat deteksi mereka. Serangan phishing tombak sangat sulit dicegat karena sifatnya yang tertarget dan konten yang dipersonalisasi membuatnya semakin meyakinkan bagi kebanyakan orang.

Namun, ada beberapa langkah yang dapat dilakukan organisasi untuk memperkuat pertahanan mereka terhadap phishing tombak dan mengurangi kemungkinan serangan yang berhasil: 

• Pelatihan kesadaran keamanan.
• Kontrol manajemen identitas dan akses
• Kontrol keamanan siber

Karena serangan phishing tombak menargetkan orang, bukan kerentanan sistem, pelatihan karyawan merupakan garis pertahanan yang penting. Pelatihan kesadaran keamanan dapat meliputi:

• Teknik untuk mengenali email yang mencurigakan, seperti alamat email palsu, ejaan dan tata bahasa yang buruk, taruhan yang luar biasa tinggi, dan permintaan yang aneh.
  
  
• Kiat tentang cara menghindari berbagi berlebihan di situs jejaring sosial.
  
  
• Kebijakan dan proses organisasi untuk menangkal penipuan, seperti tidak membuka lampiran yang tidak diminta dan mengonfirmasi permintaan pembayaran yang tidak biasa melalui saluran kedua sebelum menindaklanjutinya.
  
  
• Simulasi phishing tombak dan uji penetrasi, yang dapat membantu karyawan menerapkan apa yang mereka pelajari dan membantu tim keamanan dalam mengidentifikasi kerentanan untuk remediasi.

Alat bantu IAM, seperti kontrol akses berbasis peran dan autentikasi multifaktor (MFA), dapat mencegah peretas mendapatkan akses ke akun pengguna dan data sensitif. Misalnya, jika eksekutif mengaktifkan MFA di akun email mereka, peretas membutuhkan lebih dari sekadar kata sandi untuk mengambil alih akun tersebut.

Tidak ada kontrol keamanan tunggal yang dapat menghentikan phishing tombak sama sekali, tetapi beberapa alat dapat membantu mencegah serangan phishing tombak atau meminimalkan kerusakan yang ditimbulkannya.

• Alat keamanan email, seperti filter spam dan gateway email yang aman, dapat membantu deteksi dan mengalihkan email phishing tombak secara real-time.

• Perangkat lunak antivirus dapat membantu menetralisir infeksi malware atau ransomware yang diakibatkan oleh phishing tombak.

• Gateway web yang aman, firewall, dan alat penyaringan web lainnya dapat memblokir situs web berbahaya yang mendorong pengguna ke email phishing tombak.

• Perbaikan sistem dan perangkat lunak dapat menutup kerentanan teknis yang biasa digunakan oleh pelaku phishing tombak.

•  Alat perlindungan titikakhir, seperti solusi deteksi dan respons titik akhir (EDR) dan manajemen titik akhir terpadu (UEM), dapat menghentikan penipu mengambil alih perangkat, menyamar sebagai pengguna, atau menanam malware.

• Solusi keamanan perusahaan, seperti platform  insiden keamanan dan manajemen peristiwa (SIEM) dan orkestrasi keamanan, otomatisasi dan respons (SOAR) dapat membantu deteksi dan mencegat aktivitas jaringan berbahaya yang terkait dengan serangan phishing tombak.