Email phishing adalah cara paling efektif menembus pertahanan cyber security perusahaan. Berdasarkan prediksi Deloitte, 91% kebocoran data berawal dari terjebaknya korban untuk mengklik link di sebuah email phishing.
Sekadar mengingatkan, email phishing adalah email berisi link jebakan. Link jebakan ini biasanya berupa malware, yang secara otomatis akan menular ketika korban mengklik link tersebut.
Masalahnya, masih banyak orang yang masih terjebak mengklik tombol ini. Simulasi yang dilakukan Kaspersky Awareness Platform menunjukkan, 1 dari 5 karyawan masih mengklik email phishing.
Menurut Kaspersky, ada lima jenis email yang paling efektif “menjebak” korban. Lima jenis email itu adalah:
- Gagal mengirim barang. Contohnya adalah email dengan judul “Failed delivery attempt - Unfortunately, our courier was unable to deliver your item dan pengirim menyamar sebagai perusahaan kurir. Sebanyak 18,5% karyawan terjebak email seperti ini
- Gagal mengirim email. Contohnya adalah email dengan judul Emails not delivered due to overloaded mail servers dengan pengirim Google Support Team. Sebanyak 18% responden terjebak email seperti ini.
- Survei dari HR. Contohnya adalah email berjudul Online employee survey: What would you improve about working at the company? Sebanyak 18% responden terjebak email seperti ini.
- Aturan sebuah acara kantor. Contohnya adalah email berjudul Reminder: New company-wide dress code dengan pengirim tim HR. Sebanyak 17,5% terjebak email seperti ini.
- Pengumuman dari HR. Lagi-lagi, karyawan biasanya terjebak membuka email yang mengatasnamakan tim HR. Contohnya email berjudul Attention all employees: new building evacuation plan. Yang terjebak sebanyak 16%.
Yang menarik, email berisi iming-iming tertentu, seperti Netflix gratis atau uang, hanya diklik 1% responden. Artinya, karyawan lebih mengenali email phishing yang terlalu “menjual”.
Dengan kata lain, perusahaan perlu terus melatih karyawannya dalam mengenali email phishing yang metodenya semakin “halus”. “Karena metode yang digunakan penjahat siber terus berubah, simulasi juga harus meniru tren rekayasa sosial terbaru,” ungkap Elena Molchanova, Head of Security Awareness Business Development Kaspersky.
Bagaimana terhindar dari email phishing
Kaspersky pun memberikan beberapa saran bagi perusahaan dalam meningkatkan kemampuan karyawan mengenali email phishing.
- Ingatkan karyawan akan tanda-tanda email phishing. Biasanya email seperti ini menggunakan judul yang dramatis, kesalahan tulis atau typo, alamat pengirim yang tidak konsisten, serta link yang mencurigakan
- Jika email yang diterima meragukan, periksa format lampiran sebelum membukanya dan periksa keakuratan link sebelum diklik. Hal ini bisa dilakukan dengan menempatkan kursor di bagian lampiran, pastikan alamat pengirim jelas dan asli, dan file yang dilampirkan bukan dalam format executable (.exe)
- Selalu laporkan bila ada serangan phishing. Hal ini bisa membantu tim keamanan siber perusahaan memperbarui kebijakan anti-spam dan mencegah kejadian serangan
- Berikan pengetahuan dasar keamanan siber kepada karyawan. Edukasi diarahkan untuk mengubah perilaku karyawan dan mengajarkan mereka bagaimana menghadapi serangan.
- Karena serangan phishing bisa membingungkan, dan tidak ada jaminan menghindari semua klik yang tidak disengaja, lindungi perangkat kerja Anda dengan keamanan
- yang andal. Pilih solusi yang memiliki kemampuan anti-spam, melacak perilaku mencurigakan, dan buat cadangan file kalau-kalau terjadi serangan ransomware.