Image credit: Freepix
Eksekutif Senior Target Utama Penipu – Ketika seorang manajer hedge fund membuka undangan rapat Zoom yang tampaknya tidak berbahaya, ia tidak menyadari bencana perusahaan yang akan terjadi.
Undangan tersebut ternyata dipasangi malware yang memungkinkan penjahat siber membajak akun email-nya. Dari sana, pelaku segera bertindak cepat, mengizinkan transfer uang atas nama manajer tersebut untuk faktur palsu yang mereka kirim ke hedge fund.
Total kerugian yang disetujui mencapai $8,7 juta. Insiden ini akhirnya menyebabkan kehancuran Levitas Capital, karena memaksa salah satu klien terbesar mereka untuk hengkang.
Sayangnya, penargetan terhadap eksekutif senior seperti ini bukanlah hal yang aneh. Mengapa repot-repot dengan “ikan kecil” jika “ikan paus” (whales) bisa memberikan kekayaan sebesar itu?
Apa Itu Serangan Whaling?
Sederhananya, serangan whaling (whaling cyberattack) adalah serangan siber yang ditargetkan pada anggota tim kepemimpinan perusahaan yang berprofil tinggi dan senior (termasuk C-suite seperti CEO, CFO, dll.).
Serangan ini dapat berupa phising, smishing (SMS), vishing (suara), atau penipuan kompromi email bisnis (Business Email Compromise – BEC). Pembeda utamanya dari serangan phising biasa adalah targetnya.
|
Baca juga: Langkah Menghentikan Penipuan Online Modern |
Mengapa “Paus” (Eksekutif) Menjadi Target Menarik?
Meskipun jumlahnya lebih sedikit dibandingkan karyawan biasa, eksekutif senior sangat menarik bagi penjahat siber karena tiga atribut utama:
- Keterbatasan Waktu: Eksekutif seringkali kekurangan waktu. Hal ini berarti mereka cenderung terburu-buru mengklik email phishing, membuka lampiran berbahaya, atau menyetujui permintaan transfer tanpa memeriksanya dengan benar. Mereka bahkan mungkin mematikan kontrol keamanan seperti MFA (Multi-Factor Authentication) demi menghemat waktu.
- Visibilitas Tinggi Online: Profil online mereka sangat terbuka. Ini memudahkan penjahat mengumpulkan informasi untuk menyusun serangan rekayasa sosial (social engineering) yang meyakinkan, misalnya, email yang dipalsukan seolah datang dari bawahan atau asisten pribadi.
- Kewenangan Besar: Mereka memiliki wewenang untuk mengakses informasi perusahaan yang sangat sensitif dan menguntungkan (misalnya, data IP dan keuangan), serta menyetujui atau meminta transfer dana dalam jumlah besar.
Taktik Khas Serangan Whaling
Serangan whaling memerlukan kerja keras dan persiapan detail (groundwork) agar berhasil.
- Penyelidikan Mendalam (Reconnaissance): Pelaku mengumpulkan informasi mendalam tentang target, termasuk akun media sosial, situs web perusahaan, wawancara media, dan video.
- Pengumpulan Konteks: Selain informasi dasar, mereka mencari tahu tentang bawahan, kolega, atau informasi sensitif yang dapat dijadikan dalih untuk social engineering (misalnya, aktivitas M&A, atau acara perusahaan).
- Membuat Umpan: Musuh kemudian membuat email spear phishing atau BEC. Email tersebut akan dipalsukan seolah dikirim dari sumber terpercaya (misalnya, CEO perusahaan atau mitra bisnis). Taktik klasik yang digunakan adalah menciptakan urgensi agar penerima cenderung tergesa-gesa dalam mengambil keputusan.
- Tujuan Akhir: Tujuannya seringkali adalah untuk mencuri login korban, memasang malware pencuri info, atau membajak akun email mereka. Akun yang dibajak kemudian digunakan untuk melancarkan serangan BEC kepada bawahan, meniru eksekutif untuk meminta transfer uang besar.
Peran Kecerdasan Buatan (AI)
AI kini membuat tugas ini semakin mudah bagi penjahat:
- Penyelidikan Cepat: AI dapat digunakan untuk mengumpulkan data dalam jumlah besar pada target, mempercepat fase penyelidikan.
- Pembuatan Konten Otentik: AI Generatif (GenAI) menciptakan email atau teks yang meyakinkan dengan bahasa alami yang sempurna. AI bahkan dapat meniru gaya penulisan pengirim asli.
- Deepfake Canggih: GenAI memungkinkan pembuatan teknologi deepfake untuk serangan vishing (suara) yang sangat meyakinkan, atau bahkan video yang meniru eksekutif tingkat tinggi untuk meyakinkan target agar melakukan transfer dana.
Dengan AI, serangan whaling meningkat dalam skala dan efektivitas, karena kemampuan canggih kini didemokratisasi ke lebih banyak pelaku kejahatan.
Langkah-Langkah Mengatasi Serangan Whaling
Tim keamanan harus mengambil langkah-langkah spesifik karena eksekutif senior seringkali berpikir aturan keamanan tidak berlaku untuk mereka.
- Lakukan simulasi serangan yang sangat dipersonalisasi dan singkat, memasukkan taktik terbaru, termasuk deepfake audio/video.
- Terapkan proses persetujuan yang ketat untuk transfer dana besar, yang memerlukan persetujuan dua individu dan/atau verifikasi melalui saluran komunikasi alternatif yang terpercaya (misalnya, konfirmasi lisan melalui telepon kantor yang sudah diketahui).
- Gunakan email security berbasis AI yang dirancang untuk mendeteksi pola komunikasi, pengirim, dan konten yang mencurigakan. Gunakan juga software deteksi deepfake untuk menandai panggilan atau video mencurigakan secara real-time.
- Terapkan prinsip Zero Trust (Jangan Percaya, Selalu Verifikasi). Hal ini meminimalkan apa yang dapat diakses oleh eksekutif (Hak Akses Paling Rendah / Least Privilege) dan memastikan login mereka tidak pernah dipercaya secara default.
- Perusahaan sebaiknya mulai membatasi jenis informasi korporat yang dibagikan secara publik, karena di era AI, informasi ini dapat dengan mudah dipersenjatai.
Sumber berita:
