Musim liburan menjadi kesempatan emas para hacker untuk melancarkan serangan phishing dengan menipu Anda melalui email, pesan singkat, dan situs palsu demi memperoleh informasi pribadi.
Laporan terbaru F5 yang bertajuk 2018 Phishing and Fraud Report : Attacks Peak During the Holidays menyebutkan, insiden penipuan (fraud) pada Oktober, November, dan Desember melonjak 50 persen dari rata-rata tahunan.
Phishing masih menjadi faktor serangan teratas yang memberi akses ke penyerang untuk membuka informasi pribadi seperti kredensial login dan nomor kartu kredit.
Riset yang menggunakan data dari berbagai sumber ini menelusuri secara khusus fenomena phishing dan aktivitas penipuan yang memuncak di musim liburan. Hasilnya, umpan phishing yang paling sukses adalah memainkan emosi seseorang seperti keserakahan, rasa khawatir, terdesak, dan rasa takut.
Modusnya, para penjahat siber akan berpura-pura menjadi seseorang atau entitas yang terkenal adalah taktik utama. Sebanyak 71% serangan phishing pada periode 1 september – 31 Oktober 2018 menggunakan modus mengaku dari perusahaan terkenal, khususnya di industri teknologi.
Lembaga keuangan adalah sasaran serangan phishing yang tumbuh paling cepat di musim liburan. Namun, diperkirakan akan ada kenaikan juga di industri e-commerce dan ekspedisi (shipping).
Cara Kerja Phishing
Penjahat menggunakan trik psikologis untuk memancing korban hingga mempercayai dan mengakses formulir dan aplikasi web palsu. Pelaku phishing (phishers) biasanya melakukan proses tiga langkah berikut ini dalam menjalankan skema penipuan mereka:
1. Pemilihan Target (Target Selection). Menemukan korban yang cocok, beserta alamat email dan latar belakangnya, guna mencari titik psikologi yang tepat untuk memancingnya.
2. Rekayasa sosial (Social Engineering). Menyiapkan pancingan dengan umpan yang tepat agar dimakan korbannya, untuk mencuri kredensial dan menanamkan malware. Dalam kasus spear-phishing atau teknik penyebaran email seolah dari rekan atau organisasi yang telah dikenal korban sebelumnya, setiap umpan akan disesuaikan dengan calon korbannya. Di akhir tahun, phisher akan memanfaatkan tutup tahun fiskal dan momen liburan sebagai bagian dari aktivitas mereka.
3. Rekayasa Teknis (Technical Engineering). Menciptakan metode untuk meretas korban yang termasuk diantaranya membuat website palsu, menciptakan malware, dan menyembunyikan serangan dari pemindai keamanan.
Tips
Untuk konsumen:
Sangat penting untuk memahami bahwa alamat email bisa dipalsukan atau dipelesetkan (spoofed). URL spoofing adalah proses menciptakan URL palsu yang seringkali terjadi dalam serangan phishing. Berikut beberapa tanda-tanda yang harus diwaspadai:
1. Penyingkatan URL (shortened URL) dari layanan seperti bit.ly dan lainnya bisa membahayakan. Pengguna sebaiknya membuka tab baru di browser dan mencari konten atau website yang menjadi referensi.
2. Peringatan sertifikat (certificate warning) terlihat dari browser ketika sertifikat keamanan website tidak berlaku, bukan yang terbaru, atau tidak dikeluarkan oleh otoritas sertifikat terpercaya. Ketimbang mengabaikan peringatan ini, khususnya jika pengguna merasa situsnya aman-aman saja, ada baiknya mencari situs tersebut di window terpisah pada browser.
Untuk perusahaan:
Seiring bertambahnya kecanggihan dan sifat agresif dari upaya penipuan phishing, melatih kewaspadaan pengguna sangat penting dalam melindungi perusahaan dan pengguna terhadap upaya phishing. Hal ini membutuhkan langkah-langkah yang bersifat teknologi. Termasuk diantaranya melabeli email, software antivirus (AV), penyaringan web, dan otentikasi multi-faktor.
KOMENTAR