Credit image: Freepix
Email Phising dalam Teknologi – Serangan phising email terus berevolusi, menjadi lebih canggih, dengan berbagai metode yang semakin sulit dideteksi.
Penjahat siber kini menggunakan berbagai taktik baru untuk menipu korban, memanfaatkan kemajuan teknologi dan kecerdasan buatan (AI) untuk membuat serangan mereka lebih meyakinkan.
1. Serangan Berbasis Otomatisasi dan AI
Teknologi yang terus berkembang dengan pesat punya peran meningkatkan kualitas serangan phising dan menyempurnakannya.
PhaaS (Phishing as a Service)
Layanan seperti Lighthouse dan Lucid telah menjadi toolset andalan bagi penjahat siber. Layanan ini menyediakan paket phising lengkap dengan templat yang menargetkan ratusan merek ternama di berbagai negara. Hal ini memungkinkan bahkan individu dengan sedikit keterampilan teknis untuk melancarkan serangan berskala besar.
AI Generatif
Penggunaan AI generatif membuat pembuatan email phising menjadi lebih mudah dan lebih personal. Phisher dapat menghasilkan email yang tidak hanya bebas dari kesalahan tata bahasa, tetapi juga disesuaikan dengan profil korban, membuat pesan terlihat sangat otentik.
Deepfake
Meskipun lebih sering digunakan dalam vishing (voice phishing), teknologi deepfake juga digunakan untuk meniru suara eksekutif senior dalam upaya menipu karyawan agar membocorkan informasi atau melakukan transfer dana.
2. Taktik Penyamaran yang Semakin Canggih
Salah satu trik yang sering digunakan oleh para pelaku kejahatan phising adalah melakukan duplikasi atau peniruan untuk mnegelabui korbannya.
Peniruan Merek Terkemuka
Penjahat siber terus meniru merek-merek terkenal seperti Microsoft, Google, Adobe, dan institusi keuangan.
Email phising sering kali dirancang agar terlihat seperti notifikasi resmi, seperti “Pembaruan Gaji,” “Dokumen untuk Ditinjau,” atau “Akun Anda Akan Dihapus.”
Serangan Homograf
Penjahat siber menggunakan karakter dari bahasa asing (seperti karakter Hiragana Jepang “ん”) yang secara visual mirip dengan huruf Latin.
Hal ini dilakukan untuk membuat URL palsu yang sulit dibedakan dari yang asli. Taktik ini sering menargetkan pengguna mata uang kripto.
Eksploitasi Jasa Sah
Penjahat siber semakin sering menggunakan layanan yang sah, seperti EmailJS, untuk mengumpulkan kredensial login dan kode 2FA.
Ini memungkinkan mereka menghindari kebutuhan untuk mengelola infrastruktur hosting mereka sendiri dan menyulitkan pelacakan.
|
Baca juga: 5 Cara Sederhana Mengenali Email Phising |
3. Phising dalam Konteks Kerja dan Keuangan
Jika berbicara serangan phising yang berhubungan dengan konteks kerja dan berkaitan dengan keuangan atau finansial, berikut jenis penipuannya:
Peniruan Institusi Pendidikan dan Perusahaan
Banyak serangan phishing yang menargetkan lingkungan akademis dan perusahaan, menyamar sebagai departemen Human Resources (HR) atau IT. Contohnya termasuk email tentang “Penyesuaian Gaji” atau “Perekrutan Asisten Penelitian Jarak Jauh.”
Serangan Ransomware
Email phising sering menjadi langkah awal dalam serangan ransomware. Setelah berhasil mencuri kredensial, penyerang bisa mendapatkan akses ke jaringan perusahaan dan menyebarkan malware atau ransomware.
Penipuan Tugas (Task Scams)
Modus penipuan ini menipu korban dengan menawarkan uang untuk menyelesaikan tugas-tugas sederhana. Korban diminta untuk menyetor uang kripto untuk memulai, dan uang tersebut kemudian dicuri oleh penyerang. Penipuan ini sering kali menggunakan nama-nama merek terkenal untuk membangun kepercayaan.
Melindungi Diri dari Phising Email
Untuk melindungi diri dari ancaman yang terus berkembang ini, penting untuk selalu waspada dan menerapkan praktik terbaik:
- Selalu periksa alamat email pengirim, bukan hanya nama yang tertera. Waspadai nama domain yang salah ketik atau tidak sesuai.
- Jika ada keraguan, jangan pernah mengklik tautan atau mengunduh lampiran. Sebaiknya, kunjungi situs web resmi organisasi tersebut secara langsung melalui browser Anda.
- Penjahat siber sering menggunakan taktik ketakutan atau urgensi untuk memaksa korban bertindak cepat tanpa berpikir.
- MFA menambahkan lapisan keamanan ekstra, bahkan jika password Anda berhasil dicuri.
- Pastikan antivirus dan software keamanan Anda selalu diperbarui untuk mendeteksi ancaman terbaru.
- Kenali taktik phising yang umum dan berikan pelatihan keamanan siber kepada diri Anda sendiri atau karyawan di organisasi Anda.
Dengan terus mengikuti perkembangan tren serangan phising, kita dapat lebih siap untuk mengidentifikasi dan menghindari ancaman ini.
Sumber berita:
