
Credit image: Freepix
Modus Baru Penipuan Ancaman Callback Phising – Serangan siber terus berevolusi, dan salah satu modus terbaru yang semakin marak adalah callback phishing atau sering disebut Telephone-Oriented Attack Delivery (TOAD).
Berbeda dari phising tradisional yang mengandalkan tautan atau situs web palsu, serangan ini membalikkan keadaan. Justru korban yang diinduksi untuk menelepon peretas, percaya bahwa mereka sedang menghubungi organisasi yang sah.
Baca juga: Vektor Serangan Phising Terbaru |
Bagaimana Callback Phishing Bekerja?

Peretas menyamar sebagai merek-merek tepercaya seperti Microsoft, PayPal, Norton Lifelock, atau DocuSign. Mereka mengirimkan pesan awal, seringkali melalui email atau PDF, yang berisi pemberitahuan palsu.
Misalnya, tagihan untuk layanan yang tidak pernah dipesan, langganan yang akan diperbarui secara otomatis dengan biaya tinggi, atau masalah keamanan akun yang mendesak.
Pesan ini dirancang untuk menciptakan kepanikan atau urgensi. Kuncinya adalah menyertakan nomor telepon layanan pelanggan palsu yang jika dihubungi, akan langsung terhubung ke peretas.
Ketika korban menelepon, mereka berada dalam mode “waspada rendah” karena merasa proaktif menghubungi bantuan. Di sinilah rekayasa sosial berperan.
Peretas, melalui interaksi suara langsung, dapat memanipulasi emosi korban, membangun kepercayaan, dan meyakinkan mereka untuk:
- Memberikan informasi sensitif (misalnya detail login, informasi kartu kredit).
- Mengizinkan akses jarak jauh ke perangkat mereka.
- Mengunduh malware.
Keunggulan metode ini bagi peretas adalah penggunaan nomor VoIP yang sulit dilacak dan terkadang bahkan digunakan kembali dalam beberapa hari karena sistem deteksi cenderung lebih lambat dalam memblokir nomor telepon dibandingkan URL atau file.
Baca juga: Phising Cerdik Google Apps Script |
Mengapa Ini Berbahaya dan Bagaimana Melindunginya?

Karakteristik callback phishing membuatnya sangat berbahaya:
- Memanfaatkan Kepercayaan: Korban merasa proaktif dan mengira mereka menghubungi saluran resmi, sehingga kewaspadaan mereka rendah.
- Manipulasi Emosi: Interaksi suara memungkinkan peretas untuk bereaksi secara real-time terhadap respons korban, menyesuaikan taktik rekayasa sosial mereka.
- Sulit Dideteksi Otomatis: Meskipun sistem keamanan email dapat mendeteksi peniruan merek, nomor telepon yang disematkan dalam email seringkali luput dari deteksi blacklist reputasi siber standar, sehingga mereka bisa “di bawah radar” selama beberapa hari.
Untuk melindungi diri dari ancaman ini, strategi utama harus bergeser dari hanya mengandalkan pelatihan kesadaran pengguna yang terbukti kurang efektif dalam skala besar, menuju investasi teknologi yang lebih kuat. Organisasi dan individu perlu:
- Meningkatkan Sistem Deteksi Peniruan Merek: Menerapkan mesin deteksi yang canggih sebagai bagian dari keamanan email untuk mengidentifikasi dan memblokir pesan penipuan sebelum mencapai pengguna.
- Verifikasi Independen: Selalu verifikasi nomor telepon layanan pelanggan dari sumber resmi (misalnya situs web resmi perusahaan) dan jangan pernah menelepon nomor yang tertera dalam email atau pesan mencurigakan.
- Edukasi Spesifik: Meskipun pelatihan umum mungkin kurang efektif, edukasi yang sangat spesifik tentang modus callback phishing dapat membantu meningkatkan kewaspadaan.
- Perlindungan Endpoint yang Kuat: Memastikan perangkat (termasuk ponsel) memiliki perangkat lunak keamanan yang mutakhir untuk mendeteksi dan mencegah instalasi malware.
Serangan callback phising adalah pengingat bahwa penjahat siber akan terus berinovasi. Dengan memahami taktik baru ini dan memperkuat pertahanan teknologi, kita dapat lebih efektif melindungi diri dan organisasi dari kerugian yang ditimbulkannya.
Sumber berita: