Bisnis.com, Jakarta – Penjahat dunia maya punya cara berbeda-beda dalam melakukan kejahatannya. Yang paling umum adalah meniru sumber yang sah atau email phishing, menurut kepala keamanan siber di sebuah perusahaan.

Skema ini bertujuan untuk mengelabui karyawan agar mengungkapkan informasi sensitif, seperti detail login atau data keuangan, dan merupakan salah satu taktik paling luas dan efektif yang digunakan oleh penjahat dunia maya terhadap bisnis.

Menurut laporan State of Email Security 2023 dari Mimecast, 83% manajer TI yang disurvei melihat email sebagai sumber utama serangan dunia maya.

Menanggapi masalah ini, Kaspersky telah mengungkapkan sejumlah serangan phishing yang dapat dijadikan referensi untuk melindungi perusahaan secara efektif dari potensi pelanggaran.

Pertama, motivasi para penjahat dunia maya. Serangan phishing berasal dari penjahat dunia maya yang dimotivasi oleh berbagai faktor.

Terutama, mereka mencari keuntungan finansial dengan memperoleh informasi sensitif secara ilegal seperti rincian kartu kredit atau rincian login, yang dapat dijual atau digunakan dalam transaksi penipuan.

Selain itu, beberapa di antaranya dimotivasi oleh agenda politik atau ideologi, atau untuk tujuan spionase. Meski motifnya berbeda-beda, namun serangan tersebut menimbulkan risiko yang cukup besar bagi dunia bisnis.

Kedua, metode awal. Serangan phishing biasanya dimulai dengan penjahat dunia maya yang membuat email palsu yang dirancang untuk memikat penerima agar bertindak secepat mungkin.

Email ini sering kali meniru komunikasi sah dari sumber tepercaya, seperti kolega, mitra bisnis, atau organisasi terkemuka. Untuk meningkatkan kredibilitas, penyerang dapat menggunakan metode seperti memalsukan alamat pengirim atau meniru merek perusahaan.

Situasi ini semakin diperburuk dengan maraknya serangan phishing yang mengandalkan kecerdasan buatan, yang menggunakan algoritma canggih untuk membuat email phishing yang meyakinkan dan sangat personal. Hal ini menambah tantangan dalam mendeteksi dan memerangi ancaman-ancaman tersebut.

Ketiga, konten dan teknik yang menipu. Inti dari serangan phishing yang berhasil adalah eksploitasi kelemahan manusia. Penjahat dunia maya menggunakan teknik rekayasa sosial, memaksa korban untuk bertindak sembarangan tanpa mengevaluasi keabsahan email secara menyeluruh.

Email phishing menggunakan berbagai strategi untuk mengelabui penerima dan mendapatkan respons yang diinginkan.

Taktik yang umum mencakup klaim palsu menggunakan email yang mungkin menyampaikan urgensi atau kepentingan, mendorong penerima untuk bertindak cepat guna menghindari konsekuensi potensial, atau memanfaatkan peluang yang dirasakan.

Oleh karena itu, rekayasa sosial di mana penyerang mempersonalisasi email dan menyusun pesan agar sesuai dengan minat, peran, atau minat penerima, sehingga meningkatkan peluang untuk menarik korban.

Tidak hanya itu, mereka juga mengirimkan tautan dan lampiran berbahaya. Email phishing sering kali berisi tautan ke situs web palsu atau lampiran berbahaya yang dirancang untuk mengumpulkan kredensial, memasang malware, atau memulai transaksi tidak sah.

Keempat, hindari deteksi. Untuk menghindari deteksi oleh filter keamanan email dan solusi anti-phishing, penjahat dunia maya terus meningkatkan metode mereka dan beradaptasi dengan langkah-langkah keamanan siber yang terus berkembang.

Mereka dapat menggunakan teknik penyelubungan, teknik enkripsi, atau pengalihan URL untuk menghindari deteksi dan meningkatkan efektivitas serangan mereka.

Kelima, konsekuensi dari serangan phishing yang berhasil. Jika serangan phishing berhasil, konsekuensinya bagi organisasi bisa sangat parah.

Melanggar sistem email perusahaan dapat menyebabkan akses tidak sah ke data sensitif, kerugian finansial, kerusakan reputasi, dan pelanggaran peraturan.

Selain itu, akun email yang disusupi dapat menjadi dasar serangan dunia maya lebih lanjut, seperti penyusupan email bisnis (BEC) atau eksfiltrasi data.

Untuk melindungi dari serangan phishing yang menargetkan sistem email perusahaan, organisasi harus menerapkan langkah-langkah keamanan siber yang kuat sambil mendidik karyawan tentang kesadaran dan praktik terbaik phishing.

Strategi mitigasi yang efektif mencakup pelatihan karyawan, menawarkan autentikasi multifaktor, membuat rencana respons insiden, dan menerapkan pemfilteran email tingkat lanjut dan solusi keamanan.

Simak berita dan artikel lainnya di Google News dan WA Channel