Sampai saat ini serangan melalui e-mail masih menjadi favorit penjahat dunia maya, selain sederhana dan murah, serangan menggunakan e-mail mudah dilakukan dan dapat dikerjakan oleh siapa saja, memiliki efektifitas dan efisiensi lebih baik dari lainnya.
Rata-rata semua serangan tersebut dilandasi oleh social engineering, dalam hal ini dengan menggunakan phishing. Serangan phishing sendiri memiliki banyak jenis. Berikut ini paparan vendor sekuriti ESET tentang berbagai jenis serangan phishing dan cara kerjanya yang paling umum.
1. Penipuan CEO/BEC
Jenis phishing pertama ini terjadi ketika penjahat dunia maya mengirim e-mail ke karyawan tingkat bawah, biasanya seseorang yang bekerja di departemen akuntansi atau keuangan, sambil berpura-pura menjadi CEO perusahaan atau eksekutif lain, manajer, dan lainnya.
E-mail semacam ini sering membuat korbannya mentransfer dana ke akun palsu. Jenis penipuan ini juga sering disebut sebagai Business Email Compromise (BEC), yang menurut laporan FBI merugikan bisnis hingga miliaran dolar.
2. Klon phishing
Ide di balik serangan clone phishing adalah untuk memanfaatkan pesan sah yang mungkin telah diterima korban dan membuat versi jahatnya. Serangan tersebut menciptakan replika virtual dari pesan yang sah, dan mengirim pesan dari alamat e-mail yang terlihat sah. Tautan atau lampiran apa pun di e-mail asli diganti dengan yang berbahaya.
3. Spoofing domain/pemalsuan domain
Jenis phishing berikutnya dikenal sebagai spoofing domain. Metode serangan ini menggunakan e-mail atau situs web palsu. Spoofing domain terjadi ketika penjahat dunia maya memalsukan domain organisasi atau perusahaan untuk beberapa hal, seperti membuat e-mail mereka terlihat asli atau untuk membuat situs web palsu.
4. Evil twin
Serangan evil twin adalah bentuk phishing yang memanfaatkan Wi-Fi. Evil twin dapat digambarkan sebagai titik akses nirkabel jahat yang menyamar sebagai titik akses Wi-Fi yang sah. Walhasil pelaku dapat mengumpulkan informasi pribadi atau perusahaan tanpa sepengetahuan pengguna akhir. Jenis serangan ini juga disebut sebagai penipuan Starbucks karena sering terjadi di kedai kopi.
Baca Juga: Setara dengan Phishing, Penipuan Vishing Juga Incar Data Sensitif
Evil twin phishing melibatkan penjahat dunia maya yang membuat hotspot Wi-Fi yang terlihat seperti yang asli, mereka bahkan akan menggunakan service set identifier (SSID) yang sama dengan jaringan sebenarnya. Saat pengguna akhir terhubung, pelaku kemudian dapat menyadap lalu lintas jaringan mereka dan mencuri nama akun, kata sandi, dan melihat lampiran apa pun yang diakses pengguna saat terhubung ke hotspot yang disusupi.
5. Phishing HTTPS
Sebanyak 58 persen dari semua situs web phishing sekarang dilayani melalui HTTPS. Pendekatan yang digunakan penjahat dunia maya dalam serangan ini adalah mengirim e-mail hanya dengan tautan yang terlihat sah di badan e-mail. Seringkali tidak ada konten lain kecuali tautan itu sendiri, yang mungkin dapat diklik atau tautan tidak aktif yang mengharuskan penerima menyalin dan menempelkan URL ke bilah alamat web mereka.
6. Smishing
SMS phishing atau smishing, adalah bentuk phishing yang memanfaatkan kecanduan dunia terhadap pesan teks dan komunikasi instan seperti Messenger dan WhatsApp.
Smishing adalah cara bagi penjahat dunia maya untuk memikat pengguna agar mengunduh muatan berbahaya dengan mengirimkan pesan teks, yang tampaknya berasal dari sumber yang sah dan berisi URL jahat untuk mereka klik.
Hal itu bisa berupa sesuatu yang disamarkan sebagai kode kupon diskon untuk pembelian berikutnya atau bisa juga berupa tawaran untuk memenangkan tiket gratis ke pertunjukan yang akan datang.
Salah satu cara untuk menghindari menjadi korban serangan smishing adalah melihat apakah pesan dikirim dari sumber yang sah. Namun, cara terbaik untuk menghindarinya adalah dengan tidak terlibat dengan pesan teks yang tidak diminta.
7. Spear phishing
Serangan spear phishing adalah bentuk phishing yang ditargetkan. Tidak seperti e-mail phishing umum, yang menggunakan taktik seperti spam untuk meraup ribuan orang dalam operasi e-mail besar-besaran, e-mail spear phishing menargetkan individu tertentu dalam suatu organisasi. Mereka menggunakan taktik social engineering untuk membantu menyesuaikan dan mempersonalisasi e-mail kepada korban yang mereka tuju.
8. Vishing
Serangan vishing terjadi ketika seorang penjahat menelepon Anda untuk mencoba membuat Anda memberikan informasi pribadi atau keuangan. Mereka sering menggunakan panggilan otomatis yang mengarahkan kembali individu yang tertipu karena taktik mereka dan akhirnya berbicara dengan penjahat itu sendiri. Mereka juga menggunakan aplikasi seluler dan teknik lain untuk menipu nomor telepon mereka atau menyembunyikan nomor telepon mereka sepenuhnya. Pelaku serangan ini sering menggunakan berbagai taktik social engineering untuk mengelabui korban agar memberikan informasi sensitif.
9. Phishing Watering Hole
Serangan watering hole phishing menargetkan bisnis dengan cara mengidentifikasi situs web tertentu yang paling sering dikunjungi perusahaan, lalu menginfeksi salah satu situs dengan malware.
10. Whaling
Whaling adalah suatu bentuk spear phishing, sangat mirip, tetapi versi kebalikan dari penipuan CEO. Alih-alih menargetkan individu tingkat rendah dalam suatu organisasi, penjahat dunia maya malah menargetkan eksekutif tingkat tinggi seperti CEO, CFO, dan COO.
Tujuannya adalah untuk mengelabui eksekutif agar mengungkapkan informasi sensitif dan data perusahaan. Target ini dipilih dengan hati-hati karena akses dan otoritas mereka dalam suatu organisasi. Serangan ini sering menggunakan e-mail dan situs web spoofing.