Serangan phishing adalah email, pesan teks, panggilan telepon, atau situs web palsu yang dirancang untuk mengelabui pengguna agar mengunduh malware, membagikan informasi sensitif atau data pribadi (misalnya, nomor Jaminan Sosial dan kartu kredit, nomor rekening bank, kredensial login), atau melakukan tindakan lain yang membuat mereka atau organisasi mereka terekspos pada kejahatan siber.
Serangan phishing yang berhasil sering menyebabkan pencurian identitas, penipuan kartu kredit, serangan ransomware, pelanggaran data, dan kerugian finansial yang besar bagi individu dan perusahaan.
Phishing adalah jenis rekayasa sosial yang paling umum, yaitu praktik menipu, menekan, atau memanipulasi orang untuk mengirimkan informasi atau aset kepada orang yang salah. Serangan rekayasa sosial bergantung pada kesalahan manusia dan taktik tekanan agar berhasil. Penyerang biasanya menyamar sebagai orang atau organisasi yang dipercaya oleh korban, misalnya, rekan kerja, atasan, perusahaan tempat korban bekerja, atau rekan bisnis korban, dan menciptakan rasa terdesak yang mendorong korban untuk bertindak gegabah. Para peretas dan penipu menggunakan taktik ini karena lebih mudah dan lebih murah untuk mengelabui orang daripada meretas komputer atau jaringan.
Menurut FBI, email phishing merupakan metode serangan yang paling populer, atau vektor, yang digunakan oleh para peretas untuk mengirimkan ransomware ke individu dan organisasi. Laporan IBM Cost of a Data Breach 2022 menemukan bahwa phishing adalah penyebab paling umum kedua dari pelanggaran data (naik dari urutan keempat yang paling umum tahun lalu), dan pelanggaran data yang disebabkan oleh phishing adalah yang paling mahal, dengan biaya rata-rata USD 4,91 juta.
Phishing email massal adalah jenis serangan phishing yang paling umum. Seorang penipu membuat pesan email yang tampaknya berasal dari bisnis atau organisasi resmi yang besar dan terkenal (bank nasional atau global, peritel online besar, pembuat aplikasi perangkat lunak atau aplikasi populer) dan mengirimkan pesan tersebut ke jutaan penerima. Phishing email massal adalah permainan angka: Semakin besar atau semakin populer pengirim yang ditiru, semakin banyak pula penerima yang kemungkinan besar adalah konsumen, pelanggan, atau anggota.
Penjahat siber melakukan berbagai cara untuk membuat email phishing tampak sah. Mereka biasanya menyertakan logo pengirim yang ditiru dalam email, dan menutupi alamat email 'pengirim' untuk menyertakan nama domain pengirim yang ditiru; beberapa bahkan akan memalsukan nama domain pengirim, misalnya, menggunakan 'rnicrosoft.com' alih-alih 'microsoft.com', agar sekilas tampak sah.
Baris subjek membahas topik yang mungkin ditangani oleh pengirim yang ditiru secara kredibel, dan yang menarik bagi emosi kuat seperti ketakutan, keserakahan, rasa ingin tahu, rasa urgensi atau tekanan waktu, untuk mendapatkan perhatian penerima. Baris subjek umum termasuk 'Harap perbarui profil pengguna Anda, 'Masalah dengan pesanan Anda', 'Dokumen penutup Anda siap ditandatangani,' 'Faktur Anda terlampir.'
Isi email menginstruksikan penerima untuk melakukan tindakan yang tampaknya sangat masuk akal dan konsisten dengan topik, tetapi akan mengakibatkan penerima membocorkan informasi sensitif (nomor jaminan sosial, nomor rekening bank, nomor kartu kredit, kredensial login) atau mengunduh file yang menginfeksi perangkat atau jaringan penerima.
Misalnya, penerima mungkin diarahkan ke 'klik di sini untuk memperbarui profil Anda', tetapi hyperlink yang mendasarinya membawa mereka ke situs web palsu yang menipu mereka agar memasukkan kredensial login mereka yang sebenarnya sebagai bagian dari proses pembaruan profil. Atau mereka mungkin diminta untuk membuka lampiran yang tampaknya sah (misalnya, 'invoice20.xlsx') tetapi sebenarnya mengirimkan malware atau kode berbahaya ke perangkat atau jaringan penerima.
Spear phishing adalah serangan phishing yang menargetkan individu spesifik, biasanya orang yang memiliki akses istimewa ke data sensitif atau sumber daya jaringan, atau otoritas khusus yang dapat dieksploitasi oleh penipu untuk tujuan curang atau jahat.
Seorang spear phisher mempelajari target untuk mengumpulkan informasi yang diperlukan untuk menyamar sebagai orang atau entitas yang benar-benar dipercaya oleh target. Teman, atasan, rekan kerja, kolega, vendor tepercaya, atau lembaga keuangan, atau menyamar sebagai individu yang dituju. Media sosial dan situs jejaring sosial, tempat orang-orang secara terbuka memberi selamat kepada rekan kerja, mendukung kolega dan vendor, dan cenderung berbagi secara berlebihan tentang pertemuan atau acara atau rencana perjalanan telah menjadi sumber informasi yang kaya untuk penelitian spear phishing.
Dengan informasi ini, spear phisher dapat mengirimkan pesan yang berisi detail pribadi atau informasi keuangan tertentu dan permintaan yang dapat dipercaya kepada target, seperti, 'Saya tahu Anda akan pergi malam ini untuk berlibur, tetapi bisakah Anda membayar faktur ini (atau mentransfer USDXXX.XX ke rekening ini) sebelum penutupan bisnis hari ini?'
Serangan spear phishing yang ditujukan kepada eksekutif tingkat C, individu kaya atau target bernilai tinggi lainnya sering disebut whale phishing atau serangan perburuan ikan paus.
BEC adalah kelas serangan spear phishing yang mencoba mencuri sejumlah besar uang atau informasi yang sangat berharga, misalnya, rahasia dagang, data pelanggan, informasi keuangan, dari perusahaan atau institusi.
Serangan BEC dapat terjadi dalam beberapa bentuk berbeda. Dua yang paling umum termasuk:
Penipuan CEO: Penipu menyamar sebagai akun email eksekutif tingkat C, atau meretas akun tersebut secara langsung, dan mengirimkan pesan kepada karyawan tingkat bawah yang menginstruksikan mereka untuk mentransfer dana ke akun palsu, melakukan pembelian dari vendor palsu, atau mengirimkan file ke pihak yang tidak berwenang.
Penyusupan akun email (EAC). Penipu mendapatkan akses ke akun email karyawan tingkat bawah, misalnya, manajer di bidang keuangan, penjualan, R&D, dan menggunakannya untuk mengirim faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran atau setoran palsu, atau meminta akses ke data rahasia.
Sebagai bagian dari serangan ini, para penipu sering kali mendapatkan akses ke akun email perusahaan dengan mengirimkan pesan spear phishing kepada eksekutif atau karyawan untuk mengelabui mereka agar membocorkan kredensial akun email (nama pengguna dan kata sandi). Sebagai contoh, pesan seperti 'Kata sandi Anda akan segera kedaluwarsa. Klik tautan ini untuk memperbarui akun Anda' mungkin menyembunyikan tautan berbahaya ke situs web palsu yang dirancang untuk mencuri informasi akun.
Terlepas dari taktik yang digunakan, serangan BEC yang sukses adalah salah satu serangan siber paling mahal. Dalam salah satu contoh BEC yang paling terkenal, peretas yang menyamar sebagai CEO meyakinkan departemen keuangan perusahaannya untuk mentransfer EUR 42 juta ke rekening bank palsu..
SMS phishing, atau smishing, adalah phishing menggunakan pesan teks seluler atau ponsel cerdas. Skema smishing yang paling efektif adalah yang bersifat kontekstual, yaitu yang terkait dengan manajemen akun atau aplikasi ponsel pintar. Sebagai contoh, penerima mungkin menerima pesan teks yang menawarkan hadiah sebagai ucapan 'terima kasih' karena telah membayar tagihan nirkabel, atau meminta mereka untuk memperbarui informasi kartu kredit agar dapat terus menggunakan layanan media streaming.
Phishing suara, atau vishing, adalah phishing melalui panggilan telepon. Berkat teknologi voice over IP (VoIP), para penipu bisa melakukan jutaan panggilan vishing otomatis per hari; mereka sering kali menggunakan pemalsuan ID penelepon untuk membuat panggilan mereka tampak seolah-olah berasal dari organisasi atau nomor telepon lokal yang resmi. Panggilan vishing biasanya menakut-nakuti penerima dengan peringatan masalah pemrosesan kartu kredit, pembayaran yang terlambat, atau masalah dengan IRS. Penelepon yang merespons akhirnya memberikan data sensitif kepada orang yang bekerja untuk penjahat siber; beberapa bahkan memberikan kendali jarak jauh atas komputer mereka kepada penipu di ujung telepon.
Phishing media sosial menggunakan berbagai kemampuan platform media sosial untuk melakukan phishing terhadap informasi sensitif anggota. Para penipu menggunakan kemampuan perpesanan dari platform itu sendiri, misalnya, Facebook Messenger, pesan LinkedIn atau InMail, dan DM Twitter, dengan cara yang sama seperti mereka menggunakan email dan pesan teks biasa. Mereka juga mengirimkan email phishing kepada pengguna yang tampaknya berasal dari situs jejaring sosial, meminta penerima untuk memperbarui kredensial login atau informasi pembayaran. Serangan ini bisa sangat merugikan korban yang menggunakan kredensial login yang sama di berbagai situs media sosial, sebuah 'praktik terburuk' yang sudah sangat umum terjadi.
Aplikasi atau perpesanan dalam aplikasi. Aplikasi perangkat seluler populer dan aplikasi berbasis web (perangkat lunak sebagai layanan, atau SaaS) mengirimkan email kepada penggunanya secara teratur. Akibatnya, para pengguna ini menjadi sasaran empuk bagi kampanye phishing yang memalsukan email dari vendor aplikasi atau perangkat lunak. Sekali lagi memainkan permainan angka, penipu biasanya akan memalsukan email dari aplikasi populer dan aplikasi web, misalnya, PayPal, Microsoft Office 365, atau Teams, untuk mendapatkan hasil maksimal dari phishing mereka.
Organisasi dianjurkan untuk mengajarkan pengguna cara mengenali penipuan phishing, dan mengembangkan praktik terbaik untuk menangani email dan pesan teks yang mencurigakan. Sebagai contoh, pengguna bisa diajari untuk mengenali ciri-ciri ini dan fitur khas email phishing lainnya:
- Permintaan informasi sensitif atau pribadi, atau untuk memperbarui informasi profil atau pembayaran
- Permintaan untuk mengirim atau memindahkan uang
- Lampiran file yang tidak diminta atau diharapkan oleh penerima
- Rasa urgensi, baik secara terang-terangan ('Akun Anda akan ditutup hari ini...') atau secara halus (misalnya, permintaan dari rekan kerja untuk segera membayar faktur) ancaman hukuman penjara atau konsekuensi lain yang tidak realistis
- Ancaman hukuman penjara atau konsekuensi lain yang tidak realistis
- Ejaan atau tata bahasa yang buruk
- Alamat pengirim tidak konsisten atau palsu
- Tautan dipersingkat menggunakan Bit.Ly atau layanan pemendekan tautan lainnya
- Gambar teks yang digunakan sebagai pengganti teks (dalam pesan, atau pada halaman web yang ditautkan dalam pesan)
Ini hanya sebagian dari daftar; sayangnya, para peretas selalu merancang teknik phishing baru untuk menghindari deteksi dengan lebih baik. Publikasi seperti Laporan Aktivitas Tren Phishing triwulanan dari Anti-Phishing Working Group (tautan berada di luar ibm.com) dapat membantu organisasi untuk mengimbangi.
Organisasi juga bisa mendorong atau menerapkan praktik terbaik yang mengurangi tekanan pada karyawan untuk menjadi penyelidik phishing. Misalnya, organisasi dapat membuat dan mengomunikasikan kebijakan klarifikasi, misalnya, atasan atau kolega tidak akan pernah mengirim email permintaan untuk mentransfer dana. Mereka dapat meminta karyawan untuk memverifikasi setiap permintaan informasi pribadi atau sensitif dengan menghubungi pengirim atau mengunjungi situs pengirim yang sah secara langsung, dengan menggunakan cara lain selain yang disediakan dalam pesan. Dan mereka bisa memaksa karyawan untuk melaporkan upaya phishing dan email yang mencurigakan ke grup TI atau Keamanan.
Terlepas dari pelatihan pengguna terbaik dan praktik terbaik yang ketat, pengguna masih membuat kesalahan. Untungnya, beberapa teknologi titik akhir dan keamanan jaringan yang mapan dan muncul dapat membantu tim keamanan menghadapi pertempuran melawan phishing di mana pelatihan dan kebijakan berhenti.
Filter spam dan perangkat lunak keamanan email menggunakan data tentang penipuan phishing yang ada dan algoritme machine learning untuk mengidentifikasi email yang dicurigai sebagai phishing (dan spam lainnya), lalu memindahkannya ke folder terpisah dan menonaktifkan tautan apa pun yang ada di dalamnya.
Perangkat lunak antivirus dan anti-malware mendeteksi dan menetralisir file atau kode berbahaya dalam email phishing.
Autentikasi multifaktor memerlukan setidaknya satu kredensial login selain nama pengguna dan kata sandi, misalnya, kode sekali pakai yang dikirim ke ponsel pengguna. Dengan menyediakan garis pertahanan terakhir tambahan terhadap penipuan phishing atau serangan lain yang berhasil membobol kata sandi, otentikasi multifaktor dapat melemahkan serangan spear phishing dan mencegah BEC.
Filter web mencegah pengguna mengunjungi situs web berbahaya yang diketahui (situs 'daftar hitam') dan menampilkan peringatan setiap kali pengguna mengunjungi situs web yang dicurigai berbahaya atau palsu.
Solusi keamanan siber perusahaan, misalnya, orkestrasi keamanan, otomatisasi dan respons (SOAR), informasi keamanan dan manajemen peristiwa (SIEM), deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), serta deteksi dan respons yang diperluas (XDR), menggabungkan teknologi di atas dan teknologi lainnya dengan intelijen ancaman yang terus diperbarui dan kemampuan respons insiden otomatis. Solusi ini dapat membantu organisasi mencegah penipuan phishing sebelum menjangkau pengguna, dan membatasi dampak serangan phishing yang berhasil melewati titik akhir tradisional atau pertahanan jaringan.
Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan perbaikan segera.
IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.
Ikuti perkembangan berita, tren, dan teknik pencegahan phishing di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.
Ransomware adalah sebuah bentuk malware yang mengancam untuk menghancurkan atau menahan data atau file korban kecuali jika uang tebusan dibayarkan kepada penyerang untuk membuka enkripsi dan memulihkan akses ke data.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.