Credit image: Freepix
Jenis dan Taktik Serangan Phising Terkini – Serangan phising email baru-baru ini melibatkan taktik seperti penggunaan AI untuk menghasilkan email phising yang meyakinkan.
Seperti meniru layanan resmi seperti Microsoft dan komunikasi universitas, serta mengeksploitasi perilaku umum seperti belanja daring dan kecemasan terkait pandemi.
Untuk melindungi diri Anda, bersikaplah skeptis terhadap email yang tidak diminta, periksa sedikit perbedaan pada alamat email dan URL pengirim, hindari mengklik tautan mencurigakan atau mengunduh lampiran yang tidak dikenal, dan aktifkan autentikasi multi-faktor di akun Anda.
Berikut berbagai informasi terkait sepak terjang phising terbaru, wawasan ini bisa membantu untuk memahami phising secara sederhana namun mendalam.
|
Baca juga: Evolusi Phising dan Arah Masa Depan |
Jenis dan Taktik Umum
Seiring perkembangan teknologi, jenis dan taktik serangan phising email terus berevolusi dengan berbagai macam cara, seperti sebagai berikut:
Phising Berbasis AI
Pelaku menggunakan alat AI generatif seperti WormGPT dan FraudGPT untuk membuat email phising yang sempurna dan personal yang meniru komunikasi internal perusahaan.
Eksploitasi cloud dan SaaS
Pelaku phising menargetkan layanan cloud dengan membuat halaman login palsu untuk platform seperti Microsoft 365 dan Google Workspace untuk mencuri kredensial.
Peniruan Identitas
Penipu meniru perusahaan populer seperti Microsoft atau institusi akademik untuk mengelabui Anda agar percaya bahwa email tersebut sah.
Meniru entitas tepercaya
Pelaku phising sering kali meniru merek seperti Microsoft, Google, Amazon, dan DHL. Mereka juga berpura-pura menjadi instansi pemerintah seperti IRS, departemen SDM, atau eksekutif tingkat C dalam serangan Business Email Compromise (BEC).
Manipulasi aturan kotak masuk
Dalam taktik penghindaran baru, penyerang menggunakan antarmuka pemrograman aplikasi (API) untuk mengubah aturan email.
Ini membuka pesan berisi kata kunci sensitif ke folder yang kurang terpantau, sehingga mempersulit setiap korban untuk mendeteksi akun yang telah disusupi.
Social Engineering
Email phising mengeksploitasi peristiwa terkini, seperti pandemi, atau menargetkan perilaku umum pengguna seperti belanja daring untuk menciptakan rasa urgensi atau peluang.
Lampiran canggih
Kampanye menggunakan hard drive virtual berbahaya dan lampiran menipu lainnya, seringkali dengan kode QR tertanam, untuk menerobos filter keamanan email dan mengirimkan malware.
|
Baca juga: Ancaman Phising Tanpa Tautan |
Cara Mengidentifikasi Email phising
Ada beberapa cara yang dapat dilakukan secara sederhana untuk mengungkap apakah sebuah email berpotensi phising, sebagai berikut:
- Cari kesalahan ejaan yang samar atau perubahan pada domain perusahaan yang dikenal.
- Penipu sering kali menciptakan rasa urgensi untuk membuat Anda bertindak tanpa berpikir.
- Arahkan kursor ke tautan untuk melihat URL sebenarnya, dan jangan pernah membuka lampiran dari pengirim yang tidak dikenal.
- Meskipun AI meningkatkan phising, banyak email masih mengandung kesalahan dasar yang dapat menandakan penipuan.
Cara Melindungi Diri Anda
Setelah mengetahui jenis dan taktik phising, lalu bagaimana cara mengidentifikasi email phising, berikut adalah cara melindungi diri dari ancaman yang terus berkembang seperti ini:
- Verifikasi permintaan mendesak. Jika Anda menerima permintaan mendesak terkait keuangan atau data melalui email, verifikasi melalui saluran terpisah yang tepercaya, seperti nomor telepon yang dikenal atau pesan baru yang terpisah. Jangan membalas secara langsung atau menggunakan informasi kontak dari email yang mencurigakan.
- Aktifkan autentikasi multifaktor (MFA). Menambahkan lapisan keamanan ekstra, seperti kode dari ponsel Anda, dapat mencegah peretas mengakses akun Anda meskipun mereka mencuri kata sandi Anda.
- Waspadai lampiran dan tautan. Hindari membuka lampiran yang tidak terduga atau mengklik tautan dalam email yang tidak diminta. Arahkan kursor mouse Anda ke tautan untuk melihat URL asli, dan cari kesalahan ejaan di domain email pengirim.
- Cari tanda-tanda rekayasa sosial. Waspadai pesan yang menciptakan rasa urgensi, otoritas, atau ketakutan yang palsu. Penipuan modern seringkali benar secara tata bahasa, jadi fokuslah pada konteks dan sifat permintaan.
- Tetap terinformasi. Tinjau informasi secara berkala dari sumber tepercaya tentang taktik phishing terbaru. Pelatihan kesadaran keamanan dapat sangat efektif dalam mengurangi kerentanan Anda terhadap serangan ini.
Sumber berita:
