Image credit: Freepix
Langkah Menghentikan Penipuan Online Modern – Apakah Anda berpikir Otentikasi Multi-Faktor (MFA) dan pelatihan phising sudah cukup untuk menjaga perusahaan Anda aman? Pikirkan lagi.
Penyerang saat ini tidak perlu lagi melakukan hacking secara teknis; mereka cukup masuk (log in) menggunakan akun yang telah disusupi.
Di tengah maraknya penipuan deepfake dan pencurian kredensial, penjahat siber kini lebih mengandalkan manipulasi manusia daripada malware. Buktinya, 60% dari pelanggaran data baru-baru ini melibatkan elemen manusia (human element).
Dua pakar, yang menghabiskan karir mereka di sisi yang berlawanan satu sebagai ethical hacker yang membobol perusahaan dengan mengeksploitasi perilaku manusia.
Dan yang lain sebagai pemimpin keamanan yang membangun teknologi untuk menghentikan serangan tersebut secara real-time telah mencapai kesimpulan yang sama, kerentanan yang paling banyak dieksploitasi bukanlah teknis, melainkan manusia.
Berikut adalah lima langkah penting yang harus diambil setiap organisasi untuk melindungi sumber daya, proses, dan pembayaran mereka dari era modern peniruan dan penipuan.
1. Terapkan “Paranoia Sopan” (Polite Paranoia)
Ada pergeseran pola pikir penting yang harus dilakukan setiap karyawan: Jangan hanya percaya, verifikasi dulu!
Seorang ethical hacker, atau penjahat siber mana pun, dapat meniru seorang CFO (Chief Financial Officer) hanya dengan menggunakan aplikasi caller-ID spoofing yang murah.
Keakraban tidak bisa lagi dianggap sebagai bukti keaslian. Karyawan harus berhenti sejenak dan memeriksa ulang sebelum mengambil tindakan sensitif, terutama yang melibatkan uang atau kredensial.
Verifikasi Saluran Kedua: Jika seseorang menghubungi dengan permintaan sensitif (misalnya transfer dana besar), konfirmasikan melalui saluran kedua yang terpercaya.
Tutup telepon dan telepon balik menggunakan nomor yang sudah Anda miliki, atau kirim pesan melalui sistem chat resmi perusahaan.
Mungkin terasa canggung untuk memeriksa ulang atasan atau vendor Anda. Namun, momen singkat “paranoia sopan” itu dapat mencegah kerugian jutaan dolar.
|
Baca juga: Penipuan PayPal Terkini |
2. Perkuat Login (Jangan Cukup Hanya Email)
Banyak profesional merasa masalah mengamankan login sudah selesai. Padahal belum. Sebagian besar organisasi masih belum menggunakan password manager dan menerapkan MFA secara tidak konsisten.
Penyerang dapat dengan mudah menjatuhkan email ke dalam tool pencarian kebocoran dan menemukan 10-15 kata sandi yang bocor dalam hitungan detik.
Inilah yang direkomendasikan:
- Kata Sandi Unik dan Panjang: Gunakan kata sandi yang panjang, acak, dan unik untuk setiap login.
- Wajibkan Password Manager: Gunakan password manager atau sistem passkey alih-alih mencoba mengingatnya.
- Perluas MFA: Terapkan MFA ke setiap sistem yang memiliki nilai bisnis atau terlibat dalam aktivitas sensitif (seperti ERP, CRM, payroll, persetujuan pembayaran, dan pembuatan vendor), bukan hanya email.
Penyerang sengaja menargetkan sistem sekunder yang sering diabaikan ini untuk mendapatkan pijakan, bergerak secara lateral (lateral movement), atau mengumpulkan data untuk serangan peniruan identitas berikutnya.
3. Pertahanan Berdasarkan Risiko, Bukan Peran
Sebagian besar perusahaan memfokuskan pertahanan terkuat mereka pada jajaran C-suite atau satu departemen, padahal penyerang menargetkan siapa pun dalam posisi terpercaya.\
Seperti tim keuangan, customer support, IT, pengadaan, dan operasional. Kelompok-kelompok ini sering menangani permintaan sensitif yang dapat dimanipulasi:
- “Pelanggan” menelepon untuk mengubah nomor telepon.
- “Teknisi IT” meminta reset kata sandi.
- “Vendor” meminta pembaruan detail pembayaran.
Semua permintaan ini terlihat rutin, dan di situlah penyerang mengeksploitasinya.
Untuk bertahan, verifikasi harus dibangun di setiap alur kerja berisiko tinggi. Ini berarti menerapkan langkah-langkah validasi identitas di luar pertanyaan keamanan sederhana.
Menggunakan saluran sekunder, atau konfirmasi lintas tim sebelum perubahan dilakukan. Lindungi berdasarkan risiko, bukan jabatan.
|
Baca juga: Penipuan Berbagi Layar WhatsApp |
4. Hubungkan Titik-Titik Peringatan
Tujuh puluh persen serangan siber mencakup banyak sistem, yang berarti banyak tanda peringatan luput dari perhatian karena tersebar.
Penipuan seringkali terjadi secara bertahap: profil vendor baru terlihat tidak berbahaya, perubahan kecil pada rekening bank tidak memicu alarm, dan perilaku anomali lainnya tampak normal secara terpisah.
Tetapi jika dilihat bersamaan, polanya menjadi jelas: ada yang salah.
- Berbagi Informasi: Pastikan tim berbagi apa yang mereka lihat. Anomali kecil harus diteruskan, bukan ditangani sendiri.
- Sentralisasi Peringatan: Ketika sinyal peringatan mendarat di satu tempat, pola akan lebih menonjol.
- Lihat Urutan, Bukan Tindakan Tunggal: Penipuan dibangun selangkah demi selangkah.
Penyerang mengandalkan titik buta ini. Ketika Anda menghubungkan titik-titik tersebut, Anda melihat masalah lebih awal, bertindak lebih cepat, dan menghentikan penipuan sebelum menjadi kerugian.
5. Deteksi Perilaku Adalah Keharusan
Kata sandi yang kuat dan MFA penting, tetapi tidak cukup. Hacker menggunakan AI untuk masuk, dan Anda perlu AI untuk menjaga mereka tetap di luar.
Para ahli merekomendasikan fokus pada AI Perilaku (Behavioral AI) karena sinyal sebenarnya bukanlah siapa yang diklaim seseorang, tetapi apa yang diungkapkan oleh tindakannya.
Apakah mereka mengirim pembayaran ke negara baru? Menyetujui faktur di luar alur kerja normal? Mengunduh data pada jam-jam yang tidak biasa?
Deteksi perilaku menangkap penyimpangan halus ini, bahkan ketika semua detail login lainnya terlihat normal. Ini adalah salah satu pertahanan yang secara konsisten mengganggu rekayasa sosial modern secara real-time.
Inti Masalah: Penipuan saat ini bersifat perilaku, bukan teknis. Di era di mana penjahat menyerang dengan AI, mempersenjatai organisasi Anda dengan pertahanan berbasis AI Perilaku bukan lagi kemewahan, tetapi pertahanan yang krusial.
Sumber berita:
