Kaspersky mengungkap skema email phishing yang menargetkan karyawan perusahaan dengan berkedok evaluasi kinerja dari departemen HRD.
Skema ini memanfaatkan kebiasaaan perusahaan dalam melakukan evaluasi kinerja karyawan yang biasanya dilakukan setahun sekali.Dalam kampanye spear-phishing terbarunya, para penjahat siber memanfaatkan celah keamanan pada pengiriman email undangan partisipasi evaluasi yang dikirimkan oleh departemen HRD ke karyawan.
Dalam skema penipuan ini, penjahat siber mengirimkan email yang dibuat secara meyakinkan agar tampak seolah-olah berasal dari departemen SDM. Email ini menawarkan formulir evaluasi diri sebagai cara bagi karyawan untuk berinteraksi dengan manajer mereka.
Kaspersky menjelaskan bahwa jika diperhatikan email-email penipuan ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas.
Pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal. Kedua, email tersebut disertai tekanan dengan menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja. Menurut Kaspersky, ini adalah sebuah taktik umum yang digunakan oleh penipu untuk menciptakan rasa urgensi.
Selain itu, ketika mengeklik link atau tautan yang disediakan, penerima email akan menghadapi pertanyaan yang, pada pandangan pertama, tampak tidak berbahaya. Namun kemudian skema penipuan ini menjadi jelas ketika meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.
Taktik seperti ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata "kata sandi/password" disembunyikan, sehingga menambah kecanggihan penipuan.
“Kami menghimbau karyawan perusahaan untuk berhati-hati saat menerima email seperti itu, terutama yang menyerupai komunikasi HR. Untuk melindungi data mereka, sangat penting untuk memverifikasi keaslian permintaan evaluasi diri yang tidak diminta secara langsung dengan departemen SDM mereka,” komentar Roman Dedenok, pakar keamanan di Kaspersky.
Para ahli Kaspersky juga merekomendasikan sejumlah langkah untuk menjaga data Anda dari serangan dan kebocoran phishing, seperti berhati-hati terhadap pesan dari pengirim yang tidak dikenal; gunakan kata sandi yang kuat dan hindari penggunaan kata sandi yang ama di beberapa akun. Kaspersky juga menyarankan pengguna untuk selalu memeriksa keabsahan tautan, menggunakan autentikasi dua faktor, dan memasang solusi keamanan, seperti Kaspersky Premium.
Baca juga: Banyak UMKM Indonesia Jadi Korban Serangan Siber Paruh Pertama 2023
Baca juga: Kaspersky Digital Footprint Tingkatkan Perlindungan Keamanan Pelanggan