Platform Phising as a Service atau PhaaS, telah berevolusi dari serangan phising klasik sebagai model bisnis. Dimana peretas yang kurang berpengalaman dapat memanfaatkan peluang untuk memulai beberapa kampanye phising tanpa harus memiliki kemampuan teknis untuk itu.
Dalam artikel ini, kita akan mendefinisikan phising sebagai Layanan, membahas bagaimana hal ini merupakan risiko dunia maya bagi pengguna bisnis, dan bagaimana Anda dapat melindungi perusahaan Anda dari hal tersebut.
Phising as a Service atau PhaaS menggunakan model bisnis perangkat lunak sebagai layanan yang menyediakan akses ke kit phising (laman phising, situs web palsu, dll.) dengan imbalan biaya. Penjahat dunia maya adalah penyedia layanan yang menjual akses ke alat dan pengetahuan yang diperlukan untuk serangan phising.
Biasanya, membuat kampanye phising memerlukan serangkaian keterampilan yang luas. Phising as a Service bahkan memungkinkan seorang pemula untuk melakukan serangan.
Baca juga: Phising 101 |
Definisi Phising
Phising adalah teknik jahat yang bertujuan untuk mencuri data pribadi menggunakan penipuan seperti halaman login sah yang sebenarnya adalah halaman phising.
Kampanye phising tradisional melibatkan penipuan, pembuatan pesan yang efektif, dan pembuatan situs palsu yang juga mencuri data. Tapi sekarang Anda bisa membeli semua ini, dalam kit phising yang menghasilkan umpan yang sangat meyakinkan.
Musuh dapat menyamar sebagai entitas yang dapat dipercaya dengan menyalin logo perusahaan, warna, situs web resmi, dll. Keberhasilan kampanye phising bergantung pada seberapa realistis pesannya.
Kampanye phising menggunakan halaman login yang tampak sah yang menimbulkan rasa percaya pada korban yang tidak menaruh curiga. Targetnya ditipu untuk mengungkapkan informasi rahasia seperti nama pengguna dan kata sandi, rincian kartu kredit, dll.
Setelah korban terhubung, data ini dapat digunakan untuk penipuan keuangan, pencurian identitas, untuk mengakses akun korban, atau memeras mereka. Dalam beberapa kasus, peretas menjual data di web gelap kepada pelaku jahat lainnya.
Cara Kerja Phising sebagai Layanan
Vendor Phising as a Service atau PhaaS awalnya hanya mengiklankan produknya di darknet. Akhir-akhir ini, Anda dapat melihat mereka mencoba mencari pelanggan untuk halaman phising bahkan di Internet biasa.
Ketika pelanggan tertarik menggunakan Phising as a Service, dia membeli kit phising. Harga kit phising bisa mulai dari $40 saja. Sama seperti produk lainnya, vendor menggunakan teknik pemasaran untuk meningkatkan penjualan. Mereka bahkan menawarkan diskon dan penawaran Black Friday.
Kit phising mencakup semua item yang dibutuhkan oleh pelaku kejahatan:
- Templat email yang ditujukan kepada para korban,
- Templat situs web palsu tempat target akan mendarat (untuk halaman phising),
- Daftar target potensial,
- Instruksi rinci,
- Dukungan pelanggan.
Beberapa perangkat phising dirancang untuk mengirimkan salinan data yang dicuri ke pembuat PhaaS, sehingga memungkinkan peretas terampil menghasilkan lebih banyak uang dengan menggunakannya dalam upaya jahat di masa depan atau langsung menjualnya ke pihak ketiga.
Semua komponen kit phising yang disediakan oleh layanan phising ini semakin menunjukkan kepada kita bahwa komponen tersebut ditujukan untuk orang-orang yang ingin terlibat dalam serangan siber namun tidak memiliki kemampuan teknis untuk melakukannya sendiri.
Baca juga: Phising Zerofont |
PhaaS Eskalasi Masalah bagi Organisasi
Cara baru penjahat dunia maya menghasilkan uang ini terbukti sukses, sehingga semakin sering digunakan. Laporan Kejahatan Internet FBI tahun 2022 menunjukkan bahwa phising masih merupakan aktivitas kriminal paling umum di Internet. Terdapat 300.497 kasus yang dilaporkan pada tahun 2022, yang menyebabkan kerugian sebesar $52.089.159.
Catatan kaki dalam laporan FBI menyarankan perusahaan untuk mendidik karyawannya untuk mengidentifikasi email phising. Namun, organisasi tidak boleh hanya mengandalkan pelatihan kesadaran sebagai tindakan perlindungan terhadap serangan phising.
Sampai saat ini, menerima pesan yang penuh dengan kesalahan tata bahasa dan salah eja akan langsung membuat Anda waspada. Kini peretas tidak hanya memiliki akses, tetapi juga memiliki alat AI generatif khusus. Jadi, menulis pesan phising yang benar dan persuasif sangatlah mudah dan bahkan tidak memerlukan biaya banyak. Alat pemfilteran DNS lebih berpeluang menyelamatkan situasi jika terjadi upaya phising.
Salah satu alasan tingginya angka dalam laporan FBI adalah munculnya phising-as-a-Service. Pada awalnya, kampanye phising mengharuskan penyerang untuk memiliki pengetahuan teknis tingkat tinggi. phising-as-a-Service membuat seluruh proses menjadi lebih cepat dan lebih inklusif bagi setiap pelaku kejahatan.
Keberhasilan serangan phising sering kali bergantung pada langkah-langkah persiapan, sehingga platform PhaaS yang dibangun dengan baik akan menjadi sesuatu yang akan menarik lebih banyak peretas. Akibatnya, hal ini akan menghasilkan lebih banyak uang bagi pelaku phising.
PhaaS mempersulit penuntutan pelaku aktivitas phising. Menangkap orang yang melakukan penyerangan tidak mengakhiri cerita. Anda masih harus menangkap orang yang merancang perangkat phising dan orang yang menyediakannya.
Melindungi Perusahaan dari PhaaS
Tidak ada yang dapat Anda lakukan untuk menghentikan pertumbuhan industri PhaaS. Namun, individu dan organisasi dapat mempelajari cara melindungi diri mereka dari serangan yang dilakukan menggunakan phising-as-a-Service.
Berikut beberapa opsi tindakan perlindungan sederhana:
- Perhatikan pengirim email. Periksa domain alamat email, bukan hanya namanya. Pelaku ancaman mengandalkan Anda untuk tidak mencari dua kali untuk menemukan email yang berpotensi berbahaya.
- Kesalahan ejaan dan variasi format adalah tanda lain email phising. Namun, indikator ini mungkin akan hilang di tahun-tahun mendatang karena AI generatif.
- Selidiki semua tautan sebelum Anda mengeklik. Arahkan kursor ke tautan dan perhatikan apakah URL sebenarnya sesuai dengan klaim pesan tersebut.
- Berhati-hatilah saat mengunduh lampiran. Apalagi dari pengirim yang tidak Anda kenal secara pribadi.
- Email phising akan meminta kredensial Anda dalam satu atau lain bentuk, jadi berhati-hatilah untuk membocorkan informasi pribadi Anda secara online.
- Latih karyawan untuk mengenali kampanye phising. Kebanyakan serangan terhadap bisnis dimulai dengan menargetkan seorang karyawan. Pendidikan saja tidak cukup, namun merupakan langkah pengamanan yang penting.
- Perangkat lunak anti-phising dapat menghentikan email phising sebelum mencapai kotak masuk Anda atau kolega Anda. Bahkan serangan paling canggih sekalipun dapat diidentifikasi dengan solusi yang menggunakan pendekatan zero-trust yang dipadukan dengan teknologi mesin pembelajaran dan pemrosesan bahasa alami.
- Gunakan otentikasi multi faktor untuk melindungi aset. Dalam kasus ini, meskipun pelaku ancaman membobol kata sandi Anda dalam serangan phising, mereka tidak akan dapat membobol akun Anda. Mereka masih memerlukan kode autentikasi multi faktor untuk masuk.
Baca juga: Serangan Phising Kredensial |
Tipuan Phising
Meskipun seseorang sudah terlatih dan sadar, masih ada kemungkinan mereka mengeklik tautan phising atau mengunduh lampiran berbahaya. Seringkali, banyaknya email dan informasi yang harus ditangani seseorang dalam satu hari kerja dapat membantu.
Email yang memalsukan pesan yang diduga berasal dari Departemen Sumber Daya Manusia bisa menjadi umpan yang sangat meyakinkan. Namun ada beberapa tanda bahaya klasik yang harus diwaspadai semua orang.
Jadi, berhati-hatilah dan periksa kembali apakah:
pesan tersebut meminta informasi apa pun seperti informasi kartu kredit, nomor telepon, nomor jaminan sosial, nama pengguna, dan kata sandi.
ada rasa urgensi dalam nada pesannya – semacam pembicaraan “lakukan ini atau yang lain”.
domain alamat pengirim tidak diketahui atau terlihat lucu.
Sumber berita: