Laporan ‘The State of Email Security 2023 dari Mimecast menunjukkan 83% CISO yang disurvei memandang email sebagai serangan utama siber. Konsekuensi serangan phishing yang parah dapat dilihat dari kasus Pepco Group Februari. Anak perusahaan perusahaan retail tersebut di Hongaria menjadi korban serangan phishing canggih sampai kehilangan uang tunai sekitar EUR15,5 juta. Insiden ini menekankan makin besarnya ancaman yang ditimbulkan penjahat siber dan pentingnya organisasi memperkuat pertahanan keamanan siber.

Baca juga: Pertumbuhan Serangan Phishing Tahun 2023 Mencapai 40%, Ini Tips Menghindarinya! 

Kaspersky mengungkap seluk beluk serangan phishing demi membantu bisnis melakuakn perlindungan dari potensi serangan secara efektif.

Motivasi pelaku kejahatan siber

Ada berbagai faktor yang memotivasi serangan phishing yang dilancarkan penjahat siber, terutama mereka yang mencari keuntungan keuangan. Jurus ini dilakukan dengan mendapatkan informasi sensitif secara tidak sah, seperti rincian kartu kredit atau kredensial login. Informasi tersebut bisa dijual atau digunakan untuk transaksi penipuan. Faktor lalin adalah agenda politik atau ideologi, bisa juga bertujuan untuk memata-matai. Kendati dilandasi motivasi yang berbeda, serangan-serangan tersebut berisiko besar bagi dunia bisnis.

Baca juga: Penjahat Siber Terus Ikuti Tren untuk Lancarkan Kampanye Phishing

Pendekatan awal

Langkah awal serangan phishing biasanya dilakukan penjahat siber dengan membuat email palsu yang dirancang memikat penerima agar bertindak sesegera mungkin. Biasanya email ini meniru komunikasi sah dari sumber terpercaya, seperti kolega, mitra bisnis atau organisasi terkemuka. Taktik yang digunakan penyerang adalah memalsukan alamat pengirim atau meniru merek perusahaan untuk meningkatkan kredibilitas. Serangan phishing yang didukung AI juga memperuruk situasi ini, karena algoritma canggih dapat membuat email phishing sangat meyakinkan dan personal. Tantangan dalam mendeteksi dan memerangi ancaman ini pun makin meningkat.

Konten dan teknik pengelabuan

Eksploutasi manusia merupakan inti keberhasilam serangan phising yang menggunakan teknik manupulasi psikologis. Teknik ini digunakan penjahat siber untuk memaksa korban bertindak impulsif tanpa mengevaluasi keabsahan email secara menyeluruh.

Berbagai strategi digunakan email phishing untuk menipu penerima dan memperoleh tanggapan sesuai keinginan. Berikut ini adalah teknik yang biasa digunakan:

• Kepura-puraan yang salah: Email mungkin menyatakan urgensi atau penting, mendesak penerima bertindak cepat untuk menghindari konsekuensi yang dapat ditimbulkan atau untuk memanfaatkan peluang
• Rekayasa sosial: Penyerang mempersonalisasi email dan membuat pesan sesuai dengan minat, peran, atau kekhawatiran penerima, sehingga meningkatkan potensi memikat korban
• Tautan dan lampiran berbahaya: biasanya email phishing berisi tautan ke situs web palsu atau lampiran berbahaya yang dirancang untuk mengambil kredensial, memasang malware, atau memulai transaksi tidak sah

Baca juga: Sebagian Besar Upaya Phishing di Indonesia Targetkan Sektor Keuangan

Menghindari deteksi

Taktik penjahat siber senantiasa disempurnakan secara konsisten untuk menghindari deteksi oleh filter keamanan email dan solusi anti-phishing. Penjahat siber juga terus beradaptasi dengan langkah-langkah keamanan siber yang terus berkembang. Jurus yang digunakan mencakup teknik kebingungan, metode enkripsi, atau pengalihan URL untuk melewati deteksi dan meningkatkan efektivitas serangan.

Konsekuensi keberhasilan serangan phishing

Konsekuensi serangan phishing yang berhasil sangat buruk bagi perusahaan. Pelanggaran sistem email perusahaan dapat menyebabkan akses tidak sah ke data sensitif, kerugian finansial, kerusakan reputasi, dan pelanggaran terhadap peraturan. Akun email yang disusupi juga bisa menjadi landasan bagi serangan siber lebih lanjut, seperti Business Email Compromise (BEC) atau eksfiltrasi data.

Strategi mitigasi

Organisasi harus menerapkam langkah-langkah keamanan siber yang kuat untuk melindungi diri dari serangan phishing. Upaya ini juga harus diiringi edukasi bagi karyawan mengenai kesadaran dan praktik terbaik phishing. Berikut ini adalah beberapa strategi mitigasi yang efektif:

1. Pelatihan karyawan
2. Pengenalan autentikasi multi-faktor
3. Perumusan rencana tanggap insiden
4. Penerapan pemfilteran email tingkat lanjut dan solusi keamanan.

“Dalam lanskap ancaman yang dinamis saat ini, bisnis menghadapi serangkaian risiko siber yang terus meningkat, seperti serangan berbasis email merupakan ancaman yang sangat berbahaya. Di Kaspersky, kami menyadari pentingnya melengkapi organisasi dengan solusi keamanan siber yang kuat untuk membantu bisnis mempertahankan diri dari ancaman siber dan ancaman yang terus berkembang ini," ucap Timofey Titkov, Kepala Lini Produk Keamanan Cloud & Jaringan di Kaspersky.

Kaspersky Security for Mail Server memadukan kemampuan pemfilteran konten tingkat lanjut dengan teknologi pembelajaran mesin mutakhir. Perpaduan tersebut melindungi sistem email perusahaan bahkan terhadap serangan phishing yang didukung AI, Solusi Kasperky memungkinkam bisnis mempertahankan diri dari serangan phishing dan ancaman berbahaya lain secara proaktif. Perusahaan juga dapat memastikan keamanan dan integritas data sensitif mereka menggunakan solusi Kaspersky.