Teknologi, Phising dan Pelatihan Siber

Security by design atau keamanan berdasarkan desain telah lama menjadi strategi ampuh bagi para profesional keamanan siber. Ini adalah konsep sederhana: pastikan produk dirancang seaman mungkin untuk meminimalkan kemungkinan peretasan di masa mendatang.

Konsep ini telah diperluas lebih lanjut dalam beberapa tahun terakhir untuk menandakan upaya untuk menanamkan keamanan ke setiap bagian perusahaan, mulai dari saluran DevOps hingga praktik kerja karyawan sehari-hari. Dengan menciptakan budaya yang mengutamakan keamanan seperti ini, perusahaan akan lebih tahan terhadap ancaman siber dan lebih siap untuk meminimalkan dampaknya jika mereka mengalami pelanggaran.

Kontrol teknologi, tentu saja merupakan alat penting untuk membantu menciptakan budaya keamanan yang tertanam dalam semacam ini. Namun demikian juga pelatihan kesadaran phising yang memainkan peran sangat penting dalam mengurangi salah satu ancaman terbesar terhadap keamanan perusahaan saat ini dan harus menjadi pokok dalam program pelatihan kesadaran keamanan siber secara umum.

Phising sangat efektif

Menurut Laporan Ancaman ESET T1 2022, ancaman email mengalami peningkatan 37 persen dalam empat bulan pertama tahun 2022 dibandingkan dengan empat bulan terakhir tahun 2021. Jumlah URL phising yang diblokir melonjak hampir pada tingkat yang sama, dengan banyak scammers mengeksploitasi kepentingan umum dalam perang Rusia-Ukraina.

Penipuan phising terus menjadi salah satu cara paling sukses bagi peretas untuk menginstal malware, mencuri kredensial, dan menipu pengguna agar melakukan transfer uang perusahaan. Mengapa? Karena kombinasi taktik spoofing yang membantu scammer menyamar sebagai pengirim yang sah, dan teknik social engineering yang dirancang untuk mempercepat penerima bertindak tanpa terlebih dahulu memikirkan konsekuensi dari tindakan itu.

Taktik tersebut antara lain:

• ID pengirim/domain/nomor telepon palsu, terkadang menggunakan salah ketik atau nama domain internasional (IDN)
• Akun pengirim yang dibajak, yang seringkali sangat sulit dikenali sebagai upaya phising
• Riset online (melalui media sosial) untuk membuat upaya spearphishing yang ditargetkan lebih meyakinkan
• Penggunaan logo resmi, header, footer
• Menciptakan rasa urgensi atau kegembiraan yang mendorong pengguna untuk membuat keputusan tanpa banyak berpikir.
• Tautan singkat yang menyembunyikan tujuan sebenarnya pengirim
• Pembuatan portal dan situs web masuk yang tampak sah

Menurut laporan DBIR Verizon terbaru, empat vektor menyumbang sebagian besar insiden keamanan tahun lalu: kredensial, phising, eksploitasi kerentanan, dan botnet. Dari jumlah tersebut, dua yang pertama berkisar pada kesalahan manusia. Seperempat (25%) dari total pelanggaran yang diperiksa dalam laporan tersebut adalah hasil dari serangan social engineering. Ketika dikombinasikan dengan kesalahan manusia dan penyalahgunaan hak istimewa, elemen manusia menyumbang 82% dari semua pelanggaran. Itu akan menjadikan mengubah tautan lemah ini menjadi rantai keamanan yang kuat sebagai prioritas bagi CISO mana pun.

Penyebab phising

Serangan phising telah menjadi ancaman yang lebih besar selama dua tahun terakhir. Pekerja rumahan yang terganggu dengan perangkat yang berpotensi tidak ditambal dan tidak terlindungi telah menjadi sasaran kejam oleh pelaku ancaman. Pada April 2020, Google mengklaim memblokir sebanyak 18 juta email berbahaya dan phising setiap hari secara global.

Karena banyak dari pekerja ini kembali ke kantor, ada juga risiko mereka akan terkena lebih banyak serangan SMS (smishing) dan berbasis panggilan suara (vishing). Pengguna yang sedang bepergian mungkin lebih cenderung mengeklik tautan dan membuka lampiran yang seharusnya tidak mereka lakukan. Ini dapat menyebabkan:

• Unduhan Ransomware
• Trojan perbankan
• Pencurian/pelanggaran data
• Malware Cryptojacking
• Penyebaran botnet
• Pengambilalihan akun untuk digunakan dalam serangan lanjutan
• Business Email Compromise (BEC) yang mengakibatkan uang hilang karena faktur penipuan/permintaan pembayaran

Dampak finansial dan reputasi sangat besar. Sementara biaya rata-rata pelanggaran data mencapai lebih dari $4,2 juta saat ini, bahkan beberapa pelanggaran ransomware menelan biaya berkali-kali lipat.

Taktik pelatihan

Sebuah studi global baru-baru ini mengungkapkan bahwa pelatihan dan kesadaran keamanan bagi karyawan adalah prioritas pengeluaran utama bagi perusahaan selama tahun mendatang. Tapi begitu ini telah diputuskan, taktik apa yang akan memberikan pengembalian investasi terbaik? Pertimbangkan kursus pelatihan dan peralatan yang menyediakan:

• Cakupan komprehensif di semua saluran phising (email, telepon, media sosial, dll.).
• Edukasi yang menghibur menggunakan penguatan positif daripada pesan berbasis rasa takut.
• Latihan simulasi real life yang dapat disesuaikan oleh staf TI untuk mencerminkan kampanye phishing yang terus berkembang.
• Sesi pelatihan berkelanjutan sepanjang tahun dalam pelajaran singkat yang tidak lebih dari 15 menit.
• Cakupan untuk semua karyawan termasuk karyawan magang, kontraktor, dan eksekutif senior. Siapa pun yang memiliki akses jaringan dan akun perusahaan berpotensi menjadi target phising.
• Analisis untuk memberikan umpan balik terperinci tentang individu yang kemudian dapat dibagikan dan digunakan untuk meningkatkan sesi ke depan.
• Pelajaran yang dipersonalisasi disesuaikan dengan peran tertentu. Misalnya, anggota tim keuangan mungkin memerlukan panduan tambahan tentang cara menangani serangan BEC.
• Gamifikasi, lokakarya, dan kuis. Ini dapat membantu memotivasi pengguna untuk bersaing dengan rekan-rekan mereka, daripada merasa mereka “diajar” oleh pakar TI. Beberapa alat paling populer menggunakan teknik gamifikasi untuk membuat pelatihan , lebih ramah pengguna, dan menarik.
• Latihan phising DIY. Menurut Pusat Keamanan Siber Nasional Inggris (NCSC), beberapa perusahaan membuat pengguna membuat email phising mereka sendiri, memberi mereka “tampilan yang lebih kaya tentang teknik yang digunakan”.

Jangan lupa lapor

Menemukan program pelatihan yang sesuai untuk perusahaan Anda adalah langkah penting untuk mengubah karyawan menjadi garis pertahanan pertama yang kuat terhadap serangan phising. Namun perhatian juga harus difokuskan pada penciptaan budaya terbuka di mana pelaporan potensi upaya phising didorong.

Perusahaan harus membuat proses yang mudah digunakan dan jelas untuk pelaporan dan meyakinkan staf bahwa setiap peringatan akan diselidiki. Pengguna harus merasa didukung dalam hal ini, yang mungkin memerlukan dukungan dari seluruh perusahaan tidak hanya TI tetapi juga SDM dan manajer senior.

Pada akhirnya, pelatihan kesadaran phising seharusnya hanya menjadi salah satu bagian dari strategi berlapis untuk mengatasi ancaman social engineering. Bahkan staf yang paling terlatih pun kadang-kadang bisa tertipu oleh penipuan yang canggih. Itu sebabnya kontrol keamanan juga penting: pikirkan otentikasi multi faktor, rencana respons insiden yang diuji secara teratur, dan teknologi anti-spoofing seperti DMARC.