Credit image: Freepix
Modus Serangan yang Sedang Marak – Serangan phising terus menjadi salah satu ancaman siber terbesar di dunia, dengan para pelaku kejahatan terus mengembangkan taktik yang lebih canggih dan sulit dideteksi.
Data terbaru menunjukkan bahwa meskipun upaya pencegahan terus dilakukan, jumlah insiden phising tetap tinggi, bahkan meningkat dalam beberapa aspek.
Salah satu tren yang paling mengkhawatirkan adalah peningkatan volume serangan phising yang didorong oleh Kecerdasan Buatan (AI).
Dengan bantuan AI generatif, penjahat siber kini dapat membuat email, pesan, bahkan panggilan suara deepfake yang sangat meyakinkan, membuat korban semakin sulit membedakan antara yang asli dan palsu.
Misalnya, kerentanan pada Google Gemini for Workspace memungkinkan pembuatan ringkasan email yang terlihat sah tetapi berisi instruksi berbahaya untuk mengarahkan pengguna ke situs phising.
|
Baca juga: Bertahan dari Serangan Siber |
Modus Serangan yang Sedang Marak
Para penyerang tidak hanya mengandalkan email. Mereka memanfaatkan berbagai kanal untuk menjebak korban:
- Phising Email yang Lebih Canggih: Email phising masih menjadi metode utama. Pelaku kini sering menggunakan HTTPS pada situs phising palsu mereka (sekitar 80% di tahun 2024), membuatnya tampak lebih sah. Mereka juga meniru merek-merek terkenal seperti Microsoft, Amazon, dan Facebook, serta menggunakan PDF untuk menyamar sebagai DocuSign atau NortonLifeLock dalam kampanye phising berbasis PDF.
- Vishing: Serangan phising melalui telepon semakin lazim. Penipu menyamar sebagai pejabat atau eksekutif (misalnya, dari bank atau lembaga pajak) untuk memanipulasi korban agar memberikan informasi sensitif atau melakukan transfer dana. Peningkatan deepfake suara yang dihasilkan AI membuat panggilan ini sangat sulit dibedakan.
- Smishing: Pesan teks penipuan juga melonjak. Contoh terbaru adalah peringatan dari pihak berwenang AS tentang pesan teks palsu yang mengatasnamakan agen penagihan tol jalan raya, mencoba mendapatkan informasi kartu kredit atau rekening bank.
- Quishing: Serangan phising berbasis kode QR meningkat 25% dari tahun ke tahun. Pelaku mengeksploitasi ruang fisik seperti poster atau kartu nama palsu untuk memikat korban agar memindai kode QR berbahaya yang mengarahkan mereka ke situs phising.
- Penargetan Akun Bisnis: Kampanye phising yang menargetkan karyawan semakin marak. Contohnya, ada kampanye phising yang menyalahgunakan fitur “Direct Send” di Microsoft 365 untuk mengirim email phising seolah-olah dari pengguna internal, agar lolos dari deteksi keamanan email. Ada juga kasus peretas Rusia membobol lebih dari 20 LSM menggunakan Evilginx phising melalui halaman Microsoft Entra palsu.
- Eksploitasi Fitur Otentikasi Lanjutan: Bahkan otentikasi yang dianggap “tahan phising” seperti passkey atau FIDO2 tidak sepenuhnya aman. Penyerang menggunakan serangan downgrade, phising kode perangkat, dan trik OAuth untuk melewati MFA modern. Kampanye phising “PoisonSeed” telah ditemukan menyalahgunakan fitur cross-device sign-in di WebAuthn untuk menipu pengguna agar menyetujui permintaan otentikasi login dari portal perusahaan palsu.
|
Baca juga: Cara Melindungi Backup Anda dari Serangan |
Dampak dan Biaya
Dampak serangan phising sangat serius. Laporan Comcast Business Cybersecurity Threat menyebutkan bahwa 80-95% serangan siber dimulai dengan phising. Volume total serangan phising telah meroket 4.151% sejak munculnya ChatGPT pada tahun 2022.
Rata-rata biaya tahunan phising meningkat hampir 10% dari $4,45 juta pada tahun 2023 menjadi $4,88 juta pada tahun 2024, menurut studi IBM/Ponemon.
Cara Melindungi Diri dan Organisasi
Meskipun ancaman semakin canggih, ada beberapa langkah penting yang bisa Anda ambil:
- Waspada Terhadap Tautan dan Lampiran Mencurigakan: Ini adalah aturan emas. Jangan pernah mengklik tautan atau membuka lampiran dari pengirim yang tidak dikenal atau mencurigakan, bahkan jika terlihat mendesak atau menarik.
- Verifikasi Identitas Pengirim: Jika Anda menerima email atau pesan dari suatu organisasi (bank, perusahaan teknologi, dll.) yang meminta informasi sensitif atau tindakan mendesak, jangan langsung percaya. Hubungi organisasi tersebut melalui saluran resmi (nomor telepon di situs web resmi mereka, bukan yang ada di pesan) untuk memverifikasi keaslian permintaan.
- Periksa URL dengan Cermat: Sebelum mengklik tautan, arahkan kursor Anda ke atas tautan tersebut (tanpa mengklik) untuk melihat alamat URL aslinya. Perhatikan ejaan yang salah, domain yang tidak cocok, atau karakter aneh.
- Aktifkan Otentikasi Multi-Faktor (MFA): Ini adalah salah satu pertahanan terkuat. MFA menambahkan lapisan keamanan kedua (misalnya, kode dari aplikasi autentikator atau SMS) selain password Anda, sehingga meskipun password Anda dicuri, akun Anda tetap aman.
- Perbarui Perangkat Lunak Secara Rutin: Pastikan sistem operasi, browser, dan semua aplikasi Anda selalu diperbarui. Pembaruan seringkali mencakup perbaikan keamanan untuk kerentanan yang baru ditemukan.
- Gunakan Perangkat Lunak Keamanan: Instal dan perbarui antivirus serta solusi keamanan endpoint yang andal di semua perangkat Anda.
- Edukasi dan Kesadaran: Untuk organisasi, melatih karyawan tentang cara mengenali dan melaporkan upaya phising adalah investasi penting. Tingkat pelaporan ancaman yang sebenarnya oleh pengguna yang telah mengikuti pelatihan lebih dari satu tahun meningkat signifikan.
Phising adalah permainan kucing-kucingan yang tak ada habisnya. Namun, dengan meningkatkan kewaspadaan dan menerapkan praktik keamanan yang baik, kita dapat secara signifikan mengurangi risiko menjadi korban. Selalu skeptis terhadap permintaan yang mencurigakan dan jangan ragu untuk memverifikasi.
Sumber berita:
