Prosedur Penanganan Phising Email

Prosedur Penanganan Phising Email – Phising email adalah salah satu vektor serangan siber yang paling umum dan persisten.

Penanganan serangan ini memerlukan strategi berlapis yang mencakup persiapan proaktif, respons cepat, dan langkah pemulihan yang tegas.

Artikel ini menyajikan prosedur komprehensif penanganan phising email yang terbagi dalam tiga fase kritis mulai dari pencegahan sampai dengan pemulihan.

Fase Persiapan dan Pencegahan Proaktif (Sebelum Serangan)

Langkah terbaik melawan phising adalah memastikan serangan tidak pernah berhasil. Persiapan berfokus pada pengerasan sistem dan peningkatan kesadaran pengguna.

1. Pengerasan Keamanan Teknis

• Implementasi MFA Tahan phising: Wajibkan penggunaan Autentikasi Multi-Faktor (MFA), terutama yang berbasis kunci hardware (FIDO2) atau authenticator app, dan hindari MFA berbasis SMS/Email yang rentan terhadap SIM swapping atau serangan Attacker-in-the-Middle (AiTM).
• Verifikasi Domain (DMARC/DKIM/SPF): Terapkan protokol DMARC, DKIM, dan SPF pada domain organisasi untuk mencegah email spoofing (peniruan alamat email). Ini memastikan bahwa email yang mengklaim berasal dari domain Anda memang sah.
• Sistem Filter Canggih: Gunakan solusi email gateway dan cloud security (misalnya Defender for Office 365, Google Workspace Security) yang dilengkapi kecerdasan buatan (AI) untuk mendeteksi phising tingkat lanjut, spear phising, dan malware tersembunyi.
• Pembatasan Akses (Least Privilege): Terapkan prinsip hak istimewa paling rendah (least privilege). Pastikan akun pengguna hanya memiliki akses ke sumber daya yang mutlak diperlukan untuk pekerjaan mereka.

2. Peningkatan Kesadaran Pengguna (Pelatihan)

• Simulasi Phising Realistis: Lakukan simulasi phising yang meniru skenario aktual (misalnya, tawaran sponsorship, urgent payment request, notifikasi login aneh). Latih karyawan untuk mengidentifikasi lure (umpan) terbaru, termasuk quishing (kode QR berbahaya) dan phising yang sempurna secara tata bahasa (hasil AI).
• Prosedur Pelaporan Jelas: Tetapkan dan komunikasikan prosedur yang sangat mudah untuk melaporkan email yang mencurigakan. Setiap pengguna harus tahu persis siapa yang harus dihubungi atau tombol apa yang harus diklik (Tombol Laporkan phising) dalam waktu secepatnya.

Fase Deteksi dan Respons Cepat (Menghadapi Ancaman)

Ketika email phising terdeteksi di inbox pengguna, respons harus cepat dan terstruktur.

1. Identifikasi dan Isolasi

• Verifikasi Sumber.Jangan klik tautan atau lampiran apa pun. Periksa alamat sender (pengirim) secara detail (bukan hanya nama tampilan, tetapi domain aslinya).
• Cek URL. Arahkan kursor (hover) ke tautan tanpa mengkliknya. Pastikan URL tujuan sesuai dengan merek yang diklaim. Waspadai sub-domain yang aneh atau penulisan nama yang salah (typosquatting).
• Verifikasi Internal. Jika email dari atasan/CEO meminta transfer dana mendesak (BEC), verifikasi permintaan tersebut melalui saluran komunikasi alternatif (misalnya, telepon atau pesan chat internal) yang telah diverifikasi sebelumnya. Jangan membalas email yang sama.
• Laporkan Segera. Pengguna harus segera menggunakan tombol “Laporkan phising” untuk mengirim email tersebut ke tim keamanan (Security Operations Center/SOC).

2. Tindakan Tim Keamanan

• Analisis Cepat: Tim SOC harus segera menganalisis email yang dilaporkan. Periksa header email untuk melacak asal sebenarnya dan memverifikasi link/payload.
• Penarikan Massal (Email Recall): Jika email terbukti berbahaya, segera tarik (recall) dan hapus email tersebut dari inbox semua pengguna yang mungkin telah menerimanya (terutama di seluruh organisasi).
• Blokir Vektor Serangan: Tambahkan domain sender, alamat IP, dan hash lampiran berbahaya ke daftar blokir (blocklist) di email gateway dan firewall Anda.
• Peringatan Cepat: Kirim peringatan internal segera kepada seluruh staf mengenai phising spesifik tersebut, menyertakan subjek, alamat pengirim palsu, dan instruksi untuk tidak membukanya.

Fase Pemulihan dan Post-Mortem (Setelah Menjadi Korban)

Ini adalah fase penanganan ketika pengguna telah mengklik tautan atau memasukkan kredensialnya.

1. Respons Kedaruratan (Akun yang Dikompromikan)

• Isolasi Jaringan: Jika malware diunduh, segera cabut perangkat korban dari jaringan (putuskan koneksi Wi-Fi dan kabel LAN) untuk mencegah pergerakan lateral (lateral movement).
• Rotasi Kredensial Mendesak: Segera ubah kata sandi akun yang kredensialnya mungkin telah dicuri. Ini harus mencakup email, cloud service, dan password manager yang mungkin memiliki kata sandi yang sama.
• Hapus Sesi Aktif: Hapus semua sesi login aktif dari akun yang dikompromikan. Ini membatalkan token sesi yang mungkin dicuri melalui serangan AiTM, memaksa penyerang untuk login ulang.

2. Investigasi Forensik dan Audit

• Pemeriksaan Malware: Lakukan pemindaian endpoint mendalam dan analisis forensik pada perangkat korban untuk mendeteksi dan menghapus malware pencuri informasi (infostealer) atau remote access trojans (RATs).
• Audit Aktivitas Akun: Periksa log login akun yang terkompromi. Cari login dari lokasi atau perangkat asing. Periksa juga apakah penyerang telah membuat aturan forwarding email (agar salinan email masuk dikirimkan ke mereka).
• Penilaian Kerusakan: Tentukan data apa yang telah diakses atau dieksfiltrasi penyerang. Identifikasi apakah pelanggaran ini memengaruhi data pelanggan (PII/KYC) yang memerlukan pelaporan regulasi (misalnya, notifikasi pelanggaran data).

3. Peningkatan Pertahanan Jangka Panjang

• Revisi Prosedur: Lakukan post-mortem (analisis pasca-kejadian). Tinjau mengapa email atau malware bisa melewati filter dan perbaiki konfigurasi filter (misalnya, tambahkan daftar pengecualian ke DMARC/SPF/DKIM jika terjadi false negative).
• Edukasi Ulang: Beri pelatihan ulang segera kepada pengguna yang menjadi korban, dengan fokus pada kekurangan yang ditemukan selama serangan.

Penanganan phising yang komprehensif adalah proses yang berkelanjutan, menuntut investasi pada teknologi canggih dan, yang paling penting, pertahanan lapisan manusia yang terlatih.

Sumber berita:

WeLiveSecurity