Spear phishing adalah jenis serangan phishing yang menargetkan individu atau kelompok individu tertentu dalam suatu organisasi, dan mencoba mengelabui mereka agar membocorkan informasi sensitif, mengunduh malware, atau tanpa disadari mengirimkan pembayaran otorisasi kami kepada penyerang.
Seperti semua penipuan phishing, spear phishing dapat dilakukan melalui email, pesan teks, atau panggilan telepon. Perbedaannya adalah bahwa alih-alih menargetkan ribuan atau jutaan calon korban dengan taktik 'phishing massal', pelaku spear phishing menargetkan individu atau kelompok individu tertentu—misalnya, direktur penjualan regional perusahaan—dengan penipuan yang dipersonalisasi berdasarkan penelitian ekstensif.
Menurut laporan Cost of a Data Breach 2022 dari IBM, phishing adalah penyebab paling umum kedua dari pelanggaran data pada tahun 2022. McKinsey mencatat bahwa jumlah serangan spear phishing meningkat hampir tujuh kali lipat setelah dimulainya pandemi. Penjahat siber memanfaatkan peningkatan jumlah pekerja jarak jauh, yang mungkin lebih rentan terhadap penipuan phishing karena kebersihan keamanan yang lemah dan kebiasaan berkolaborasi dengan kolega dan atasan terutama melalui email dan aplikasi obrolan.
Laporan IBM juga menemukan bahwa meskipun serangan phishing memiliki biaya rata-rata tertinggi per pelanggaran yaitu USD 4,91 juta, biaya serangan spear phishing dapat secara signifikan melebihi jumlah tersebut. Misalnya, dalam satu serangan profil tinggi, spear phishing mencuri lebih dari USD 100 juta dari Facebook dan Google dengan menyamar sebagai vendor yang sah dan menipu karyawan untuk membayar faktur palsu.
Dalam serangan phishing massal klasik, para peretas membuat pesan-pesan palsu yang tampaknya berasal dari bisnis, organisasi, atau bahkan selebritas terkenal. Kemudian mereka 'menyemprot dan berdoa', mengirimkan pesan phishing ini tanpa pandang bulu ke sebanyak mungkin orang dan berharap setidaknya segelintir orang akan tertipu dan menyerahkan informasi berharga seperti nomor jaminan sosial, nomor kartu kredit, atau kata sandi akun.
Di sisi lain, serangan spear phishing adalah serangan yang ditargetkan untuk individu tertentu yang memiliki akses ke aset tertentu.
Menetapkan tujuan
Sebagian besar serangan spear phishing bertujuan untuk mencuri uang dalam jumlah besar dari organisasi-dengan mengelabui seseorang untuk melakukan pembayaran atau transfer ke vendor atau rekening bank palsu, atau dengan mengelabui mereka untuk membocorkan nomor kartu kredit, nomor rekening bank, atau data rahasia atau data sensitif lainnya.
Tetapi kampanye spear phishing dapat memiliki tujuan merusak lainnya:
Menyebarkan ransomware atau malware lainnya - misalnya, pelaku ancaman dapat mengirimkan lampiran email berbahaya, seperti file Microsoft Excel, yang menginstal malware ketika dibuka.
Mencuri kredensial, seperti nama pengguna dan kata sandi, yang dapat digunakan peretas untuk melakukan serangan yang lebih besar. Misalnya, peretas mungkin mengirim tautan berbahaya kepada target ke laman web 'perbarui kata sandi Anda' yang curang.
Mencuri data pribadi atau informasi sensitif, seperti data pribadi pelanggan atau karyawan, keuangan perusahaan, atau rahasia dagang.
Memilih target
Selanjutnya, spear phisher mengidentifikasi target yang sesuai - seseorang atau sekelompok orang dengan akses langsung ke sumber daya yang diinginkan peretas, atau yang dapat menyediakan akses tersebut secara tidak langsung dengan mengunduh malware.
Sering kali upaya spear phishing menargetkan karyawan tingkat menengah, tingkat rendah, atau karyawan baru dengan hak akses jaringan atau sistem yang lebih tinggi, yang mungkin kurang ketat dalam mengikuti kebijakan dan prosedur perusahaan. Korban umumnya adalah manajer keuangan yang berwenang untuk melakukan pembayaran, administrator TI dengan akses tingkat administrator ke jaringan, dan manajer SDM yang memiliki akses ke data pribadi karyawan. (Jenis serangan spear phishing lainnya menargetkan karyawan tingkat eksekutif secara eksklusif; lihat 'Spear phishing, perburuan ikan paus, dan BEC,' di bawah ini).
Meneliti target
Penyerang meneliti target untuk mendapatkan informasi yang dapat mereka gunakan untuk menyamar sebagai seseorang yang dekat dengan target - seseorang atau organisasi yang dipercaya target, atau seseorang yang bertanggung jawab kepada target.
Berkat banyaknya informasi yang dibagikan orang secara bebas di media sosial dan di tempat lain secara online, penjahat siber dapat menemukan informasi ini tanpa perlu menggali terlalu dalam. Menurut laporan dari Omdia, peretas dapat membuat email spear phishing yang meyakinkan setelah sekitar 100 menit melakukan pencarian di Google secara umum. Beberapa peretas mungkin membobol akun email perusahaan atau aplikasi perpesanan dan menghabiskan lebih banyak waktu mengamati percakapan untuk mengumpulkan informasi yang lebih rinci.
Membuat dan mengirim pesan
Dengan menggunakan penelitian ini, spear phisher dapat membuat pesan phishing yang ditargetkan dan terlihat kredibel, dari sumber atau orang yang dipercaya.
Misalnya, bayangkan 'Jack' adalah manajer utang dagang di ABC Industries. Dengan hanya melihat profil LinkedIn publik Jack, penyerang mungkin menemukan jabatan, tanggung jawab, alamat email perusahaan, nama departemen, nama dan jabatan bos, serta nama dan jabatan mitra bisnis Jack — dan kemudian menggunakan detail ini untuk mengiriminya email yang sangat dapat dipercaya dari atasan atau kepala departemennya:
Hai Jack,
Saya tahu Anda memproses faktur dari Sistem XYZ. Mereka hanya memberi tahu saya bahwa mereka sedang memperbarui proses pembayaran mereka dan membutuhkan semua pembayaran di masa mendatang untuk masuk ke rekening bank baru. Berikut faktur terbaru mereka dengan detail akun baru. Bisakah Anda mengirim pembayaran hari ini?
Email tersebut biasanya menyertakan petunjuk visual yang sekilas memperkuat identitas pengirim yang ditiru, seperti alamat email yang dipalsukan (misalnya, menampilkan nama tampilan pengirim yang ditiru tetapi menyembunyikan alamat email palsu), Ccs ke email rekan kerja yang juga dipalsukan, atau tanda tangan email yang menampilkan logo perusahaan ABC Industries. Beberapa penipu dapat meretas akun email pengirim yang ditiru dan mengirimkan pesan dari sana, untuk keaslian yang sesungguhnya.
Taktik lain adalah menggabungkan email dengan phishing pesan teks (disebut SMS phising atau smishing) atau phishing suara (disebut vishing). Misalnya, alih-alih melampirkan faktur, email mungkin menginstruksikan Jack untuk menghubungi departemen hutang dagang XYZ Systems, di nomor telepon yang dikelola oleh penipu.
Serangan spear phishing banyak menggunakan teknik rekayasa sosial — taktik yang menggunakan tekanan psikologis atau motivasi untuk mengelabui atau memanipulasi orang agar mengambil tindakan yang seharusnya tidak dan biasanya tidak akan mereka ambil.
Menyamar sebagai pejabat tinggi perusahaan, seperti pada email spear phishing di atas, adalah salah satu contohnya. Karyawan dikondisikan untuk menghormati otoritas dan secara tidak sadar takut untuk tidak mengikuti perintah eksekutif, bahkan jika perintah tersebut di luar kebiasaan. Serangan spear phishing bergantung pada teknik rekayasa sosial lainnya termasuk:
Berpura-pura-membuatcerita atau situasi realistis yang dapat dikenali dan dipahami oleh target, misalnya, 'kata sandi Anda akan segera kedaluwarsa...'
Menciptakan rasa urgensi - misalnya, menyamar sebagai vendor, dan mengklaim pembayaran untuk layanan penting terlambat
Memancing emosi atau motivator bawah sadar. Mencoba memicu rasa takut, rasa bersalah, atau keserakahan pada target, merujuk pada penyebab atau peristiwa yang menjadi perhatian target, atau bahkan sekadar membantu (misalnya, "ini tautan ke situs web yang menjual suku cadang komputer yang Anda cari.")
Sebagian besar kampanye spear phishing menggabungkan beberapa taktik rekayasa sosial-misalnya, sebuah catatan dari manajer langsung target yang berbunyi, 'Saya akan naik pesawat dan baterai saya hampir habis, tolong bantu saya dan segerakan transfer uang ke XYZ Corp. agar kami tidak perlu membayar denda keterlambatan.
Meskipun setiap serangan phishing yang menargetkan individu atau kelompok tertentu adalah serangan spear phishing, ada beberapa subtipe yang penting.
Whaling (kadang-kadang disebut whale phishing) adalah spear phishing yang menargetkan korban dengan profil tertinggi dan bernilai tertinggi — seringkali anggota dewan atau manajemen tingkat C, tetapi juga target non-perusahaan seperti selebriti dan politisi. Pemburu paus mengejar penggalian yang hanya dapat disediakan oleh target ini — jumlah uang tunai yang sangat besar, atau akses ke informasi yang sangat berharga atau sangat rahasia. Tidak mengherankan, serangan perburuan paus biasanya membutuhkan penelitian yang lebih rinci daripada serangan spear phishing lainnya.
Kompromi email bisnis (BEC) adalah spear phishing yang ditujukan secara khusus untuk merampok organisasi. Dua bentuk umum dari BEC meliputi:
Penipuan CEO. Penipu menyamar sebagai akun email eksekutif tingkat C, atau meretas akun tersebut secara langsung, dan mengirimkan pesan kepada satu atau beberapa karyawan tingkat bawah yang menginstruksikan mereka untuk mentransfer dana ke akun palsu atau melakukan pembelian dari vendor palsu.
Email account compromise (EAC). Penipu mendapatkan akses ke akun email karyawan tingkat bawah — misalnya, manajer di bidang keuangan, penjualan, R&D — dan menggunakannya untuk mengirim faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran atau setoran palsu, atau meminta akses ke data rahasia.
Serangan BEC yang berhasil merupakan salah satu kejahatan siber yang paling mahal. Dalam salah satu contoh BEC yang paling terkenal, peretas yang menyamar sebagai CEO meyakinkan departemen keuangan perusahaannya untuk mentransfer EUR 42 juta ke rekening bank palsu.
Serangan phishing merupakan salah satu serangan siber yang paling sulit untuk diperangi, karena mereka tidak selalu dapat diidentifikasi oleh alat keamanan siber tradisional (berbasis tanda tangan); dalam banyak kasus, penyerang hanya perlu melewati pertahanan keamanan 'manusia'. Serangan spear phishing sangat menantang karena sifatnya yang ditargetkan dan konten yang dipersonalisasi membuat mereka lebih meyakinkan bagi kebanyakan orang.
Namun, ada beberapa langkah yang bisa diambil organisasi untuk membantu mengurangi dampak spear phishing, atau bahkan mencegah serangan spear phishing sama sekali:
Pelatihan kesadaran keamanan. Karena spear phishing memanfaatkan sifat manusia, pelatihan karyawan merupakan garis pertahanan yang penting untuk melawan serangan ini. Pelatihan kesadaran keamanan bisa meliputi
Mengajari karyawan teknik untuk mengenali email yang mencurigakan (misalnya, memeriksa nama pengirim email untuk mengetahui nama domain palsu)
Kiat tentang cara menghindari 'berbagi berlebihan' di situs jejaring sosial
Kebiasaan kerja yang baik-misalnya, tidak pernah membuka lampiran yang tidak diminta, mengonfirmasi permintaan pembayaran yang tidak biasa melalui saluran kedua, menelepon vendor untuk mengonfirmasi faktur, menavigasi langsung ke situs web alih-alih mengeklik tautan di dalam email
Simulasi spear phishing di mana karyawan dapat menerapkan apa yang mereka pelajari
Autentikasi multi-faktor dan adaptif. Menerapkan autentikasi multi-faktor (membutuhkan satu atau lebih kredensial selain nama pengguna dan kata sandi) dan/atau autentikasi adaptif (membutuhkan kredensial tambahan saat pengguna masuk dari perangkat atau lokasi yang berbeda) dapat mencegah peretas untuk mendapatkan akses ke akun email pengguna, bahkan jika mereka dapat mencuri kata sandi email pengguna.
Perangkat lunak keamanan. Tidak ada satu pun perangkat keamanan yang dapat mencegah spear phishing secara keseluruhan, tetapi beberapa perangkat dapat berperan dalam mencegah serangan spear phishing atau meminimalkan kerusakan yang ditimbulkannya:
Beberapa alat keamanan email, seperti penyaring spam dan gateway email yang aman, dapat membantu mendeteksi dan mengalihkan email spear phishing.
Perangkat lunak antivirus dapat membantu menetralisir infeksi malware atau ransomware yang dikenal sebagai hasil dari spear phishing.
- Gateway web yang aman dan alat pemfilteran web lainnya dapat memblokir situs web berbahaya yang ditautkan ke email spear phishing.
- Perbaikan sistem dan perangkat lunak dapat menutup kerentanan teknis yang biasanya dieksploitasi oleh spear phisher.
Solusi keamanan perusahaan dapat membantu tim keamanan dan pusat operasi keamanan (SOC) mendeteksi dan mencegat lalu lintas berbahaya dan aktivitas jaringan yang terkait dengan serangan phishing. Solusi ini mencakup (namun tidak terbatas pada) orkestrasi keamanan, otomatisasi dan respons (SOAR), manajemen insiden dan peristiwa keamanan (SIEM), deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan deteksi dan respons yang diperluas (XDR).
Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan perbaikan segera.
IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.
Ikuti perkembangan berita, tren, dan teknik pencegahan phishing di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.
Ransomware adalah malware yang menyandera perangkat dan data korban, sampai tebusan dibayarkan.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.