Smishing adalah serangan rekayasa sosial yang menggunakan pesan teks seluler palsu untuk mengelabui orang agar mengunduh malware, berbagi informasi sensitif, atau mengirim uang ke penjahat siber. Istilah "smishing" adalah kombinasi dari "SMS" - atau "layanan pesan singkat", teknologi di balik pesan teks - dan "phishing".
Smishing adalah bentuk kejahatan dunia maya yang semakin populer. Menurut laporan State of the Phish 2023 dari Proofpoint (tautan berada di luar ibm.com), 76 persen organisasi mengalami serangan smishing pada tahun 2022.
Beberapa faktor telah berkontribusi pada peningkatan smishing. Pertama, para peretas yang melakukan serangan ini, kadang-kadang disebut "smisher", tahu bahwa korban cenderung mengklik pesan teks daripada tautan lainnya. Di saat yang sama, kemajuan dalam filter spam telah mempersulit bentuk-bentuk phishing lainnya, seperti email dan panggilan telepon, untuk mencapai target mereka.
Meningkatnya penggunaan perangkat yang dibawa sendiri (BYOD) dan pengaturan kerja jarak jauh juga menyebabkan lebih banyak orang menggunakan perangkat seluler mereka di tempat kerja, sehingga lebih mudah bagi penjahat siber untuk mengakses jaringan perusahaan melalui ponsel karyawan.
Serangan smishing mirip dengan jenis serangan phishing lainnya, di mana penipu menggunakan pesan palsu dan tautan berbahaya untuk menipu orang agar mau membobol ponsel, rekening bank, atau data pribadi mereka. Satu-satunya perbedaan utama adalah medianya. Dalam serangan smishing, para penipu menggunakan SMS atau aplikasi perpesanan untuk melakukan kejahatan siber mereka, bukan email atau panggilan telepon.
Para penipu memilih smishing daripada jenis serangan phishing lainnya karena berbagai alasan. Mungkin yang paling penting, penelitian menunjukkan bahwa orang lebih cenderung mengklik tautan dalam pesan teks. Klaviyo melaporkan bahwa tingkat klik-tayang SMS berkisar antara 8,9 persen dan 14,5 persen (tautan berada di luar ibm.com). Sebagai perbandingan, email hanya memiliki tingkat klik rata-rata 1,33 persen, menurut Constant Contact (tautan berada di luar ibm.com).
Selain itu, para penipu dapat semakin menutupi asal-usul pesan smishing dengan menggunakan taktik seperti memalsukan nomor telepon dengan telepon pembakar atau memanfaatkan perangkat lunak untuk mengirim teks melalui email. Juga lebih sulit untuk menemukan tautan berbahaya pada ponsel. Misalnya, di komputer, pengguna dapat mengarahkan kursor ke tautan untuk melihat ke mana tautan tersebut mengarah, tetapi di ponsel pintar, mereka tidak memiliki opsi tersebut. Orang-orang juga terbiasa dengan bank dan merek yang menghubungi mereka melalui SMS dan menerima URL yang dipersingkat dalam pesan teks.
Pada tahun 2020, Federal Communications Commission (FCC) mengamanatkan agar perusahaan telekomunikasi mengadopsi protokol STIR/SHAKEN (tautan berada di luar ibm.com), yang mengautentikasi panggilan telepon dan merupakan alasan mengapa beberapa ponsel sekarang menampilkan "scam yang kemungkinan" atau "spam yang kemungkinan" pesan ketika nomor yang mencurigakan menelepon. Namun, meskipun STIR/SHAKEN membuat panggilan penipuan lebih mudah dikenali, namun tidak memiliki efek yang sama pada pesan teks, sehingga membuat banyak penipu mengalihkan fokus mereka ke serangan smishing.
Seperti bentuk-bentuk rekayasa sosial lainnya, sebagian besar jenis serangan smishing bergantung pada pretexting, yaitu menggunakan cerita palsu untuk memanipulasi emosi korban dan mengelabui mereka untuk melakukan permintaan penipu.
Penipu mungkin menyamar sebagai bank korban yang memperingatkan mereka tentang masalah pada rekening mereka, sering kali melalui pemberitahuan palsu. Jika korban mengklik tautan tersebut, maka mereka akan dibawa ke situs web atau aplikasi palsu yang mencuri informasi keuangan sensitif seperti PIN, kredensial login, kata sandi, dan informasi rekening bank atau kartu kredit. Pada tahun 2018, sekelompok penipu (tautan berada di luar ibm.com) menggunakan metode ini untuk mencuri USD 100.000 dari nasabah Fifth Third Bank.
Penipu dapat berpura-pura menjadi petugas polisi, perwakilan IRS, atau pejabat pemerintah lainnya. Teks-teks smishing ini sering mengklaim korban berutang denda atau harus bertindak untuk mengklaim keuntungan pemerintah. Misalnya, pada puncak pandemi COVID-19, Komisi Perdagangan Federal (FTC) memperingatkan serangan smishing (tautan berada di luar ibm.com) yang menawarkan keringanan pajak, tes COVID gratis, dan layanan serupa. Ketika korban mengikuti tautan dalam teks-teks ini, scammers mencuri nomor jaminan sosial mereka dan informasi lain yang dapat mereka gunakan untuk melakukan pencurian identitas.
Penyerang menyamar sebagai agen dukungan pelanggan di merek dan peritel tepercaya seperti Amazon, Microsoft, atau bahkan penyedia nirkabel korban. Mereka biasanya mengatakan bahwa ada masalah dengan akun korban atau hadiah atau pengembalian dana yang tidak diklaim. Biasanya, SMS ini mengirim korban ke situs web palsu yang mencuri nomor kartu kredit atau informasi perbankan mereka.
Pesan-pesan kecil ini mengklaim berasal dari perusahaan pelayaran seperti FedEx, UPS, atau Layanan Pos AS. Mereka memberi tahu korban bahwa ada masalah saat mengirim paket dan meminta mereka untuk membayar “biaya pengiriman” atau masuk ke akun mereka untuk memperbaiki masalah. Tentu saja, scammers mengambil uang atau informasi akun dan menjalankannya. Penipuan ini biasa terjadi di sekitar liburan ketika banyak orang menunggu paket.
Dalam kompromi teks bisnis (mirip dengan kompromi email bisnis, kecuali melalui pesan SMS), peretas berpura-pura menjadi atasan, rekan kerja, atau kolega (mis., vendor, pengacara) yang membutuhkan bantuan untuk tugas yang mendesak. Penipuan ini sering kali meminta tindakan segera dan berakhir dengan korban mengirimkan uang kepada peretas.
Penipu mengirimkan teks yang tampaknya ditujukan untuk orang lain selain korban. Ketika korban mengoreksi "kesalahan" si penipu, si penipu akan memulai percakapan dengan korban. Penipuan melalui nomor yang salah ini cenderung bersifat jangka panjang, di mana penipu berusaha mendapatkan pertemanan dan kepercayaan korban melalui kontak berulang-ulang selama berbulan-bulan atau bahkan bertahun-tahun. Penipu bahkan mungkin berpura-pura mengembangkan perasaan romantis kepada korban. Tujuannya adalah untuk mencuri uang korban melalui peluang investasi palsu, permintaan pinjaman, atau cerita serupa.
Dalam penipuan ini, yang disebut penipuan otentikasi multifaktor (MFA), peretas yang telah memiliki nama pengguna dan kata sandi korban mencoba mencuri kode verifikasi atau kata sandi sekali pakai yang diperlukan untuk mengakses akun korban. Peretas mungkin berpura-pura menjadi salah satu teman korban, mengaku telah dikunci dari akun Instagram atau Facebook mereka, dan meminta korban untuk menerima kode untuk mereka. Korban mendapatkan kode MFA-yang sebenarnya untuk akun mereka sendiri-dan memberikannya kepada peretas.
Beberapa penipuan smishing menipu korban agar mengunduh aplikasi yang tampaknya sah — misalnya, manajer file, aplikasi pembayaran digital, bahkan aplikasi antivirus — yang sebenarnya adalah malware atau ransomware.
Phishing adalah istilah luas untuk serangan siber yang menggunakan rekayasa sosial untuk mengelabui korban agar membayar uang, menyerahkan informasi sensitif, atau mengunduh malware. Smishing dan vishing hanyalah dua jenis serangan phishing yang dapat digunakan peretas pada korbannya.
Perbedaan utama antara berbagai jenis serangan phishing adalah media yang digunakan untuk melakukan serangan. Dalam serangan smishing, peretas menargetkan korban mereka secara eksklusif menggunakan pesan teks atau SMS — sedangkan, dalam serangan vishing (kependekan dari "voice phishing"), peretas menggunakan komunikasi suara seperti panggilan telepon dan pesan suara untuk menyamar sebagai organisasi yang sah dan memanipulasi korban.
Banyak pakar keamanan siber percaya bahwa smishing akan semakin umum terjadi di tahun-tahun mendatang. CISO Proofpoint Lucia Milică (tautan berada di luar ibm.com) berpendapat bahwa alat smishing akan muncul di pasar malware, yang memungkinkan para penipu yang tidak terlalu paham secara teknis untuk mengirim teks berbahaya.
Gartner memprediksi (tautan berada di luar ibm.com) peningkatan upaya phishing "multisaluran" yang menggabungkan teks, email, panggilan telepon, dan saluran komunikasi lainnya. Sebagai contoh, Grup Lazarus, sebuah geng peretas yang didukung oleh Korea Utara, telah dikenal menggunakan taktik multisaluran. Kelompok ini menggunakan profil LinkedIn palsu untuk menyamar sebagai perekrut untuk pertukaran cryptocurrency (tautan berada di luar ibm.com), menghubungi korban dengan kedok mendiskusikan lowongan pekerjaan dan kemudian memindahkan percakapan dari LinkedIn ke SMS atau WhatsApp, di mana mereka menipu mereka untuk mengunduh trojan horse atau malware lainnya.
FCC (tautan berada di luar ibm.com) sedang mempertimbangkan peraturan yang mewajibkan penyedia layanan nirkabel untuk memblokir teks spam. Namun, sementara itu, individu dan perusahaan dapat mengambil langkah-langkah penting untuk melindungi diri mereka sendiri:
Solusikeamanan siber seluler : Sistem operasi Android dan iOS memiliki perlindungan dan fungsi bawaan, seperti memblokir aplikasi yang tidak disetujui dan memfilter teks yang mencurigakan ke folder spam. Di tingkat organisasi, perusahaan bisa menggunakan solusi manajemen titik akhir terpadu (UEM) untuk mengatur kontrol dan kebijakan keamanan seluler.
Pelatihan kesadaran keamanan: Melatih orang-orang untuk mengenali tanda-tanda peringatan serangan siber dan upaya smishing-seperti nomor telepon yang tidak biasa, URL yang tidak terduga, dan rasa urgensi yang tinggi-dapat membantu melindungi organisasi. Pelatihan juga dapat menetapkan aturan untuk menangani data sensitif, mengotorisasi pembayaran, dan memverifikasi permintaan sebelum menindaklanjutinya.
Hentikan ancaman keamanan seluler di perangkat apa pun sambil menciptakan pengalaman tanpa gesekan bagi pengguna dan menjaga tim TI dan keamanan tetap efisien.
Deteksi ransomware sebelum dapat menyandera data Anda — dan ambil tindakan segera dan terinformasi untuk mencegah atau meminimalkan efek serangan — dengan IBM Security® QRadar® SIEM.
Tingkatkan investigasi dan triase peringatan dengan IBM Security QRadar Suite, pilihan teknologi keamanan yang telah dimodernisasi yang menampilkan pengalaman analis terpadu serta AI dan otomatisasi yang disematkan.
Penipuan phishing mengelabui korban untuk membocorkan data sensitif, mengunduh malware, dan mengekspos diri mereka sendiri atau organisasi mereka terhadap kejahatan siber.
Serangan rekayasa sosial bergantung pada sifat manusia dan bukan pada peretasan teknis untuk memanipulasi orang agar mengorbankan keamanan pribadi mereka atau keamanan jaringan perusahaan.
Pahami apa itu keamanan seluler, mengapa hal ini penting, dan bagaimana cara kerjanya.