Tak terhitung berapa banyak jumlah data yang terpapar di dunia maya akibat kelalaian manusia, human error menjadi penyebab utama kebobolan data yang terjadi selama ini. Serangan phising email memang dirancang untuk itu, tapi adakah cara untuk mengatasi masalah non teknis seperti ini?
Beberapa waktu lalu uji MBTI, Myers–Briggs Type Indicator bisa menunjukkan kepribadian seseorang dapat menjadi petunjuk mana orang yang mudah mengeklik tautan dalam email begitu saja tanpa berpikir panjang. Namun, apakah itu cukup akurat, dan dapat menjadi jawaban atas permasalahan yang sama.
Nah, kali ini mungkin berbeda, para peneliti di National Institute of Standards and Technology (NIST) AS telah menemukan metode baru yang dapat digunakan untuk menilai secara akurat mengapa karyawan mengeklik email phising tertentu.
Alat, yang disebut Skala Phish, menggunakan data nyata untuk mengevaluasi kompleksitas dan kualitas serangan phising untuk membantu perusahaan memahami di mana letak kerentanan karyawan mereka.
Berikut penyegar singkatnya: dalam bentuknya yang paling sederhana, phising adalah Unsolicited email atau email yang tidak diminta atau bentuk komunikasi elektronik apa pun yang membuat penjahat dunia maya meniru identitas organisasi tepercaya dan berupaya mencuri data.
Informasi seperti kredensial akses kemudian dapat disalahgunakan untuk serangan lebih lanjut atau dijual di web gelap dan digunakan untuk melakukan penipuan atau pencurian identitas.
Oleh karena itu, setiap perusahaan atau organisasi yang menangani keamanan sibernya dengan serius melakukan pelatihan phising secara teratur untuk melihat apakah karyawannya dapat membedakan antara email asli dan email phising.
Pelatihan ini bertujuan untuk meningkatkan kewaspadaan karyawan serta mengajari mereka untuk menemukan tanda-tanda serangan phising yang menyamar sebagai email yang sah, yang pada gilirannya, mencegah mereka dari kerugian dan melindungi dari rusaknya reputasi perusahaan.
Latihan ini biasanya diawasi oleh Chief Information Security Officers (CISO), yang mengevaluasi keberhasilan atau kegagalan latihan ini berdasarkan rasio klik, yaitu seberapa sering karyawan mengklik email phising. Namun, hasil tersebut tidak melambangkan keseluruhan masalah.
“Skala Phish dimaksudkan untuk membantu memberikan pemahaman yang lebih dalam tentang apakah email phising tertentu lebih sulit atau lebih mudah untuk dideteksi oleh target audiens tertentu,” kata peneliti NIST Michelle Steves dalam pernyataannya.
Skala Phish melihat dua elemen utama saat menilai seberapa sulit mendeteksi email potensial phising. Variabel pertama yang dievaluasi alat adalah ‘isyarat email phising’, tanda yang dapat diamati, seperti kesalahan ejaan, menggunakan alamat email pribadi daripada email kantor, atau menggunakan teknik tekanan waktu.
Sementara itu, yang kedua ‘penyelarasan konteks email dengan pengguna’ memanfaatkan sistem peringkat untuk mengevaluasi apakah konteksnya relevan dengan target, semakin relevan, semakin sulit untuk mengidentifikasinya sebagai email phising. Berdasarkan kombinasi faktor-faktor ini, Skala Phising mengelompokkan kesulitan dalam mengenali phish ke dalam tiga kategori: paling sedikit, sedang, dan sangat sulit.
Ini dapat memberikan wawasan berharga tentang serangan phishing itu sendiri, serta membantu memastikan mengapa orang cenderung mengeklik email ini.
Skala Phish bertujuan untuk memberi CISO pemahaman yang lebih baik tentang data rasio klik mereka, sehingga mereka tidak hanya mengandalkan keluaran angka.
Rasio klik yang rendah untuk email phising tertentu dapat disebabkan oleh beberapa hal: Email pelatihan phising terlalu mudah atau tidak memberikan konteks yang relevan kepada pengguna, atau email phising serupa dengan latihan sebelumnya. Data seperti ini dapat menimbulkan rasa aman yang salah jika rasio klik dianalisis sendiri tanpa memahami kesulitan email phising.
Sementara semua data yang diumpankan ke Skala Phish berasal dari NIST, institut berharap untuk menguji alat tersebut pada organisasi dan perusahaan lain untuk melihat apakah kinerjanya sesuai standar. Untuk informasi lebih lanjut tentang alat dan penelitian di baliknya, Anda dapat mempelajari artikel, Categorizing human phishing difficulty: a Phish Scale.