Beranda
Topics
Smishing
Diperbarui: 10 Juni 2024
Kontributor: Matthew Kosinski
Smishing adalah serangan rekayasa sosial yang menggunakan pesan SMS palsu untuk mengelabui orang agar mengunduh malware, berbagi informasi rahasia, atau mengirim uang ke penjahat siber. Istilah "smishing" adalah kombinasi dari "SMS"—atau "layanan pesan singkat", teknologi di balik pesan SMS—dan "phishing ".
Smishing merupakan bentuk kejahatan siber yang semakin populer. Menurut laporan State of the Phish 2024 dari Proofpoint, 75% organisasi mengalami serangan smishing pada tahun 2023.1
Beberapa faktor telah berkontribusi pada peningkatan smishing. Pertama, para peretas yang melakukan serangan ini, kadang-kadang disebut "smisher", tahu bahwa korban cenderung mengklik pesan SMS daripada tautan lainnya. Di saat yang sama, kemajuan dalam filter spam telah mempersulit bentuk-bentuk phishing lainnya, seperti email dan panggilan telepon, untuk mencapai target mereka.
Meningkatnya penggunaan bring your own device (BYOD) dan pengaturan kerja jarak jauh juga menyebabkan lebih banyak orang menggunakan perangkat seluler mereka di tempat kerja, sehingga lebih mudah bagi penjahat siber untuk mengakses jaringan perusahaan melalui ponsel karyawan.
Tim X-Force® kami yang terdiri dari para peretas, responder, peneliti, dan analis intelijen tersedia untuk mendiskusikan tantangan keamanan spesifik organisasi Anda dan bagaimana kami dapat membantu.
Serangan smishing mirip dengan jenis serangan phishing lainnya, di mana penipu menggunakan pesan palsu dan tautan berbahaya untuk menipu orang agar mau membobol ponsel, rekening bank, atau data pribadi mereka. Satu-satunya perbedaan utama adalah medianya. Dalam serangan smishing, para penipu menggunakan SMS atau aplikasi perpesanan untuk melakukan kejahatan siber mereka, bukan email atau panggilan telepon.
Para penipu memilih smishing daripada jenis serangan phishing lainnya karena berbagai alasan. Mungkin yang paling penting, penelitian menunjukkan bahwa orang lebih cenderung mengklik tautan dalam pesan teks. Klaviyo melaporkan bahwa tingkat klik-tayang SMS berkisar antara 8,9 persen dan 14,5 persen (tautan berada di luar ibm.com). Sebagai perbandingan, email hanya memiliki tingkat klik rata-rata 1,33 persen, menurut Constant Contact (tautan berada di luar ibm.com).
Selain itu, para penipu dapat semakin menutupi asal-usul pesan smishing dengan menggunakan taktik seperti memalsukan nomor telepon dengan telepon pembakar atau memanfaatkan perangkat lunak untuk mengirim teks melalui email. Juga lebih sulit untuk menemukan tautan berbahaya pada ponsel. Misalnya, di komputer, pengguna dapat mengarahkan kursor ke tautan untuk melihat ke mana tautan tersebut mengarah, tetapi di ponsel pintar, mereka tidak memiliki opsi tersebut. Orang-orang juga terbiasa dengan bank dan merek yang menghubungi mereka melalui SMS dan menerima URL yang dipersingkat dalam pesan teks.
Pada tahun 2020, Federal Communications Commission (FCC) mengamanatkan agar perusahaan telekomunikasi mengadopsi protokol STIR/SHAKEN (tautan berada di luar ibm.com), yang mengautentikasi panggilan telepon dan merupakan alasan mengapa beberapa ponsel sekarang menampilkan "scam yang kemungkinan" atau "spam yang kemungkinan" pesan ketika nomor yang mencurigakan menelepon. Namun, meskipun STIR/SHAKEN membuat panggilan penipuan lebih mudah dikenali, namun tidak memiliki efek yang sama pada pesan teks, sehingga membuat banyak penipu mengalihkan fokus mereka ke serangan smishing.
Seperti bentuk-bentuk rekayasa sosial lainnya, sebagian besar jenis serangan smishing bergantung pada pretexting, yaitu menggunakan cerita palsu untuk memanipulasi emosi korban dan mengelabui mereka untuk melakukan permintaan penipu.
Penipu mungkin menyamar sebagai bank korban yang memperingatkan tentang masalah pada rekening mereka, sering kali melalui pemberitahuan palsu. Jika korban mengklik tautan tersebut, maka mereka akan dibawa ke situs web atau aplikasi palsu yang mencuri informasi keuangan sensitif seperti PIN, kredensial login, kata sandi, dan informasi rekening bank atau kartu kredit.
Menurut Federal Trade Commission (FTC), peniruan nama bank adalah penipuan pesan teks yang paling umum terjadi, mencapai 10% dari semua pesan smishing.4
Penipu mungkin berpura-pura menjadi petugas polisi, perwakilan IRS atau pejabat instansi pemerintah lainnya. SMS smishing ini sering mengklaim korban berutang denda atau harus melakukan sesuatu untuk mendapatkan tunjangan dari pemerintah.
Sebagai contoh, pada bulan April 2024, Biro Investigasi Federal (FBI) mengeluarkan peringatan tentang penipuan smishing yang menargetkan pengemudi di Amerika Serikat.5 Para penipu mengirimkan pesan teks yang berpura-pura berasal dari agen penagihan tol dan mengklaim bahwa target memiliki utang tol yang belum dibayar. Pesan-pesan tersebut berisi tautan ke situs palsu yang mencuri uang dan informasi korban.
Penyerang menyamar sebagai agen dukungan pelanggan di merek dan peritel tepercaya seperti Amazon, Microsoft, atau bahkan penyedia layanan nirkabel korban. Mereka biasanya mengatakan bahwa ada masalah dengan akun korban atau hadiah atau pengembalian dana yang tidak diklaim. Biasanya, SMS ini mengirim korban ke situs web palsu yang mencuri nomor kartu kredit atau informasi perbankan mereka.
Pesan-pesan smishing ini mengklaim berasal dari perusahaan pengiriman seperti FedEx, UPS, atau Layanan Pos AS. Mereka memberi tahu korban bahwa ada masalah dalam pengiriman paket dan meminta korban untuk membayar “biaya pengiriman paket” atau masuk ke akun mereka untuk memperbaiki masalah tersebut. Kemudian, para scammer mengambil uang atau informasi akun dan kabur. Penipuan ini biasa terjadi di sekitar liburan ketika banyak orang menunggu paket.
Dalam SMS bisnis penipuan (mirip dengan email bisnis penipuan, hanya melalui pesan SMS), peretas berpura-pura menjadi bos, rekan kerja atau kolega, vendor, atau pengacara yang membutuhkan bantuan dengan tugas mendesak. Penipuan ini sering kali meminta tindakan segera dan berakhir dengan korban mengirimkan uang kepada peretas.
Penipu mengirimkan teks yang tampaknya ditujukan untuk orang lain selain korban. Ketika korban mengoreksi "kesalahan" si penipu, si penipu akan memulai percakapan dengan korban.
Penipuan melalui nomor yang salah ini cenderung bersifat jangka panjang, di mana penipu berusaha mendapatkan pertemanan dan kepercayaan korban melalui kontak berulang-ulang selama berbulan-bulan atau bahkan bertahun-tahun. Penipu mungkin juga akan berpura-pura mengembangkan perasaan romantis kepada korban. Tujuan adalah mencuri uang korban melalui peluang investasi palsu, permintaan pinjaman, atau cerita serupa.
Dalam penipuan ini, yang disebut penipuan otentikasi multifaktor (MFA), peretas yang telah memiliki nama pengguna dan kata sandi korban mencoba mencuri kode verifikasi atau kata sandi sekali pakai yang diperlukan untuk mengakses akun korban.
Peretas mungkin berpura-pura menjadi salah satu teman korban, mengaku telah dikunci dari akun Instagram atau Facebook mereka, dan meminta korban untuk menerima kode untuk mereka. Korban mendapatkan kode MFA—yang sebenarnya untuk akun mereka sendiri—dan memberikannya kepada peretas.
Beberapa penipuan smishing kecil-kecilan menipu korbannya untuk mengunduh aplikasi yang tampaknya aman—misalnya, pengelola file, aplikasi pembayaran digital, bahkan aplikasi antivirus—yang sebenarnya adalah malware atau ransomware.
Phishing adalah istilah luas untuk serangan siber yang menggunakan rekayasa sosial untuk mengelabui korban agar membayar uang, menyerahkan informasi sensitif atau mengunduh malware. Smishing dan vishing hanyalah dua jenis serangan phishing yang dapat digunakan peretas pada korbannya.
Perbedaan utama antara berbagai jenis serangan phishing adalah media yang digunakan untuk melakukan serangan. Dalam serangan smishing, peretas menargetkan korbannya menggunakan pesan teks atau SMS. Dalam serangan vishing (kependekan dari "voice phishing"), para peretas menggunakan komunikasi suara seperti panggilan telepon dan pesan suara untuk berpura-pura sebagai organisasi yang sah dan memanipulasi korban.
Untuk membantu memerangi penipuan smishing, FCC mengadopsi aturan baru yang mengharuskan penyedia layanan nirkabel untuk memblokir teks spam yang mungkin berasal dari nomor yang mencurigakan, termasuk nomor telepon yang tidak terpakai atau tidak valid.6
Namun, tidak ada filter spam yang sempurna, dan penjahat siber selalu mencari cara untuk menyiasati langkah-langkah ini. Individu dan organisasi dapat mengambil langkah tambahan untuk memperkuat pertahanan mereka terhadap serangan smishing, termasuk:
Sistem operasi Android dan iOS memiliki perlindungan dan fungsi bawaan, seperti memblokir aplikasi yang tidak disetujui dan memfilter teks yang mencurigakan ke folder spam.
Di tingkat organisasi, perusahaan dapat menggunakan solusi manajemen titik akhir terpadu (UEM) dan alat deteksi penipuan untuk mengatur kontrol keamanan mobile, menegakkan kebijakan keamanan, dan mencegat aktivitas berbahaya.
Organisasi dapat menghentikan lebih banyak penipuan dengan melatih karyawan untuk mengenali tanda-tanda peringatan serangan siber dan upaya smishing, seperti nomor telepon yang tidak biasa, pengirim yang tidak dikenal, URL yang tidak terduga, dan rasa urgensi yang tinggi.
Banyak organisasi menggunakan simulasi smishing untuk membantu karyawan mempraktikkan keterampilan keamanan siber baru. Simulasi ini juga dapat membantu tim keamanan mengungkap kerentanan dalam sistem komputer dan kebijakan organisasi yang dapat mengekspos bisnis terhadap penipuan.
Organisasi dapat memperbaiki kerentanan ini dengan menggabungkan alat deteksi ancaman dengan kebijakan untuk menangani data sensitif, memberikan otorisasi untuk pembayaran, dan memverifikasi permintaan sebelum menindaklanjutinya.
IBM® Security MaaS360 memiliki paket mobile threat defense (MTD) yang lengkap dan terintegrasi, membantu Anda mempertahankan pendekatan yang berpusat pada pengguna dan keamanan untuk manajemen titik akhir terpadu (UEM).
IBM Security Trusteer Pinpoint Assure adalah alat SaaS untuk mendeteksi dan memprediksi risiko identitas bagi pengguna tamu dan selama pembuatan akun digital.
Penyimpanan data yang tangguh jika terjadi serangan siber. IBM Storage FlashSystem terus memantau statistik yang dikumpulkan dari setiap I/O menggunakan model machine learning untuk mendeteksi anomali seperti ransomware dalam waktu kurang dari satu menit.
Keamanan karyawan, data, dan infrastruktur bergantung pada pemahaman Anda mengenai muslihat penyerang. Asah pengetahuan Anda dengan mempelajari tantangan yang dihadapi tim keamanan di seluruh dunia dan keberhasilan mereka.
Pelajari bagaimana penjahat siber mengalihkan fokus ke jalur yang paling sedikit perlawanannya, mengeksploitasi “permukaan serangan manusia” untuk memajukan tujuan mereka.
Lihat lebih dalam tentang konsep ketahanan siber, yang tidak hanya mempertahankan diri dari serangan siber, tetapi juga menerapkan solusi pemulihan untuk kembali normal secepat mungkin jika terjadi serangan.
Catatan kaki
Semua tautan berada di luar ibm.com
1 2024 State of the Phish. Titik bukti.
2 Campaign SMS and MMS benchmarks. Klaviyo. 7 Juni 2024.
3 Average industry rates for email as of April 2024. Constant Contact. 9 Mei 2024.
4 New FTC data analysis shows bank impersonation is most-reported text message scam. Komisi Perdagangan Federal. 8 Juni 2023.
5 Did you get a text about unpaid road tolls? It could be a 'smishing' scam, FBI says. USA Today. 18 April 2024.
6 FCC adopts its first rules focused on scam texting. Federal Communications Commission. 17 Mei 2023.