Phising dikenal juga sebagai serangan social engineering adalah tindakan memanipulasi orang secara psikologis untuk melakukan tindakan atau membocorkan informasi rahasia yang biasanya tidak mereka lakukan. Serangan phising semuanya berkaitan dengan perilaku dan psikologis manusia. Pelaku di balik serangan phising biasanya hanya membutuhkan keterampilan teknis yang terbatas. Keberhasilan mereka tergantung pada pemahaman sifat manusia yang cukup baik untuk mengantisipasi bagaimana orang akan berperilaku dan bereaksi terhadap umpan.
Penjahat siber memahami teori piskologi ini, berikut beberapa contoh tentang bagaimana penipu online memaksimalkan keberhasilan email phising mereka.
-
Email dikirim ketika orang paling rentan dan stres, misalnya, sore, Jumat, atau akhir bulan.
-
Alamat email manajer dipalsukan untuk memastikan karyawan tidak mempertanyakan permintaan.
-
Menggunakan taktik ancaman untuk menciptakan rasa takut sehingga membuat target terburu-buru dalam mengambil keputusan.
Serangan phising meningkat
Penjahat dunia maya menggunakan phising dan social engineering untuk mengalahkan sistem keamanan dengan mengeksploitasi kelemahan dalam pengambilan keputusan dan perilaku manusia. Mudahnya membuat seseorang jatuh dalam permainan psikologi mendorong minat banyak pelaku kejahatan siber menggunakan phising.
Phising merupakan serangan siber paling sederhana dibanding metode lainnya. Serangan ini tidak membutuhkan teknik tinggi dalam penerapannya, namun pelaku biasanya sangat pandai dalam memperdaya korban, mempengaruhi dengan cara-cara psikologis, mendorong korban melakukan kesalahan sendiri yang dapat berdampak buruk terhadap dirinya, keluarga terutama perusahaan. Phising merupakan bahaya laten siber yang tidak boleh dipandang sebelah mata, karena selama ini itulah yang terjadi. Menganggap enteng kejahatan siber sekecil apa pun sama artinya dengan menghunuskan pisau ke leher sendiri.
Dampak Phising
Penjahat dunia maya menggunakan phishing untuk mencuri kredensial seperti nama pengguna, kata sandi dan informasi pribadi lainnya untuk mendapatkan akses ke akun pribadi atau perusahaan untuk mencuri uang, data keuangan atau kesehatan, rahasia dagang, atau informasi sensitif lainnya, atau untuk melakukan kejahatan lain , seperti pencurian identitas, spionase perusahaan, atau pemerasan.
Informasi yang diperoleh melalui penipuan phising juga dapat menyebabkan tindak kejahatan berlanjut. Misalnya, jika informasi pribadi pengguna misalnya, nama, alamat, nomor telepon, akun email disebar secara online, penjahat lain dapat menggunakan informasi ini untuk melakukan kejahatan lain terhadap korban seperti stalking, pelecehan, perampokan. Korban bahkan mungkin berisiko menjadi tersangka dalam kejahatan yang dilakukan oleh seorang kriminal menggunakan identitas atau kredensial mereka. Misalnya, penjahat siber menggunakan kredensial korban untuk mencuri uang dari perusahaan mereka melalui transfer ilegal.
Terlebih lagi baik kehidupan pribadi maupun profesional korban kejahatan siber seperti phising dapat berdampak luas dalam banyak hal, sebagai berikut:
Waktu yang hilang
Memulihkan diri dari serangan phising tidak semudah seperti yang dibayangkan, memakan waktu dan umumnya tidak nyaman bagi korban. Kondisi ini juga bisa menyebabkan tekanan secara psikologis yang dapat mempengaruhi kejiwaan karyawan. Korban dapat menghabiskan waktu dari beberapa jam hingga berbulan-bulan atau bertahun-tahun untuk menyelesaikan masalah tersebut.
Trauma
Serangan phishing dapat menyebabkan tekanan emosional yang signifika seperti penolakan, kehilangan kepercayaan, frustrasi, takut, marah, tidak berdaya, tidak berdaya, malu, depresi, gangguan tidur. Korban kejahatan siber, seperti pencurian identitas, bisa lebih berbahaya bagi korban daripada kejahatan seperti pencurian properti karena seseorang dapat mengganti properti, tetapi tidak mungkin untuk mendapatkan identitas baru. Selanjutnya, korban phishing dapat mengalami serangan psikologi oleh orang lain yang menyalahkan korban karena jatuh dalam serangan phising.
Kerugian finansial
Kerugian uang sudah pasti menjadi dampak dari serangan phising yang berhasil, ada kerugian langsung yaitu nilai barang, layanan atau uang tunai yang diperoleh dan kerugian tidak langsung seperti biaya hukum dan biaya penanganan siber. Selain itu, pengusaha korban phishing dapat mengalami kerugian keuangan terkait dengan penurunan produktivitas (lihat di bawah), gangguan bisnis.
Konsekuensi sosial
Korban dapat mengalami tekanan jiwa yang berpengaruh dalam hubungan pribadi dan keluarga serta hancurnya reputasi. Misalnya, jika penjahat dunia maya mendapatkan akses ke email korban, mereka dapat menemukan informasi tentang hubungan pribadi atau foto atau video memalukan yang mungkin bocor ke publik. Keluarga atau teman juga bisa menjadi korban dan sasaran baru bagi kriminal di dunia maya.
Konsekuensi bisnis
Baik kekayaan intelektual dan data pelanggan dapat berisiko ketika serangan phishing terjadi. Selain kerugian finansial, serangan phishing dapat merusak reputasi dan kredibilitas suatu bisnis. Konsumen dapat kehilangan kepercayaan terhadap bisnis yang dapat menyebabkan perusahaan kehilangan basis pelanggannya. Lebih dari itu, spionase siber biasanya dimulai dengan phising ketika karyawan berinteraksi dengan lampiran jahat atau mengikuti tautan ke situs web berbahaya. Serangan awal ini memungkinkan penjahat dunia maya untuk mendapatkan akses backdoor dan menginstal malware di komputer/perangkat untuk lebih menembus jaringan sistem. Mengingat bahwa diperlukan waktu berbulan-bulan sampai bertahun-tahun untuk mendeteksi kompromi jaringan dan hanya membutuhkan beberapa menit untuk mencuri informasi dari suatu jaringan, penjahat dunia maya dapat memiliki akses yang tidak terdeteksi dalam jangka waktu yang panjang ke rahasia dagang yang dapat menghambat pertumbuhan bisnis.
Produktivitas hilang
Waktu yang diperlukan untuk pulih dari serangan phishing dan trauma yang ditimbulkan dapat mengakibatkan penurunan produktivitas karyawan. Tekanan psikologi terutama di lingkungan perusahaan, rasa bersalah dan tuntutan perusahaan dapat membuat karyawan yang menjadi korban tidak lagi optimal dalam setiap kerjanya. Selain itu, produktivitas juga dapat hilang dalam mencegah serangan phishing, karena karyawan menghabiskan waktu untuk menentukan apakah sebuah email palsu atau tidak.