Credit image: Freepix
Penipuan DocuSign Jangan Sampai Data Anda Dicuri – Dulu, kalau ingin tanda tangan dokumen resmi, ribetnya minta ampun, harus cetak, tanda tangan, scan, kirim email, bahkan fax. Sekarang, semua jadi mudah berkat layanan seperti DocuSign. Kita tinggal klik sana-sini, dan dokumen pun beres.
Tapi, seperti merek teknologi populer lainnya, begitu banyak orang yang menggunakannya, para penjahat siber pasti akan mencari cara untuk menyalahgunakannya.
DocuSign mengklaim punya 1,6 juta pelanggan di seluruh dunia, termasuk 95% perusahaan besar Fortune 500, dan lebih dari satu miliar pengguna.
Angka ini menjadikannya target empuk bagi para penjahat siber. Mari kita pahami bagaimana cara melindungi karyawan (atau diri Anda sendiri) dari penipuan (phising) yang menggunakan nama DocuSign.
|
Baca juga: Bandit Digital Salahgunakan Google Form untuk Penipuan |
Cara Kerja Penipuan DocuSign
Penipuan di dunia maya seringkali memanfaatkan rekayasa sosial, yaitu tipu daya yang mengandalkan kelemahan manusia. Menurut Verizon, phising (memancing informasi sensitif) kini menjadi pintu masuk awal untuk 19% kasus kebocoran data, dan 60% di
antaranya melibatkan “faktor manusia”.
Karena DocuSign adalah merek yang tepercaya dan dikenal luas, sangat wajar jika penjahat siber memilihnya untuk mencuri informasi login perusahaan dan mencari keuntungan lainnya.
Biasanya, korban akan menerima email yang mirip dengan email DocuSign, dengan tulisan “amplop” atau “dokumen” dan meminta Anda mengklik kotak kuning besar bertuliskan “review document” (tinjau dokumen).
Kadang, ada juga lampiran berisi kode QR. Kedua aksi ini bisa berujung pada hasil yang sama: korban akan dibawa ke situs palsu (phising site) yang menyerupai halaman login Microsoft palsu, lalu diminta memasukkan informasi pribadi dan/atau keuangan.
Kode QR juga populer karena pengguna harus memindainya dengan ponsel mereka. Masalahnya, ponsel mungkin tidak punya perangkat lunak keamanan yang bisa mencegah pengguna masuk ke halaman berbahaya.
Bagaimanapun juga, serangan phising yang ditargetkan seperti ini bisa memungkinkan penjahat siber mendapatkan akses penting ke jaringan perusahaan, serta untuk meningkatkan hak akses, bergerak bebas di dalam jaringan, dan mencuri data atau menyebarkan ransomware.
Beberapa Contoh Penipuan yang Terjadi
Beberapa bulan terakhir, muncul berbagai insiden, antara lain:
- Amplop DocuSign “asli” yang memalsukan faktur dari pemasok, dengan tujuan menipu perusahaan agar mentransfer uang.
- Penipuan faktur palsu yang menyamar sebagai lembaga negara bagian dan kota di AS, dirancang untuk menipu pemasok agar mentransfer uang.
- Penjahat siber tidak memalsukan email DocuSign, melainkan mendaftarkan akun sungguhan di DocuSign dan menggunakan fitur API-nya untuk mengirim “amplop” asli yang memalsukan merek populer. Ini membuat emailnya terlihat sangat meyakinkan!
- Email phising biasa yang memalsukan merek DocuSign dan membawa pengguna ke halaman login palsu. Ini bisa meniru departemen SDM dan penggajian perusahaan, atau bahkan pihak eksternal seperti otoritas kota.
- Penipuan pengembalian dana (refund scams) yang menyebutkan transaksi palsu dan mencoba memaksa korban untuk menelepon nomor tertentu jika ingin membatalkannya. Begitu tersambung di telepon, mereka akan dibujuk untuk memberikan detail pribadi/keuangan/kartu mereka demi mengklaami ‘pengembalian dana’.
|
Baca juga: Penipuan Email Paypal |
Cara Tetap Aman
Untungnya, ada banyak hal yang bisa Anda lakukan untuk menjaga diri sendiri dan perusahaan Anda aman dari ancaman DocuSign.
Dari sudut pandang perusahaan, langkah pertama adalah menyadari risiko dan memperbarui program pelatihan kesadaran phising untuk memastikan staf dapat mengenali tanda-tanda peringatan email penipuan. Alat simulasi harus cukup dapat disesuaikan untuk mendukung ini.
Hal-hal yang harus diajarkan kepada karyawan untuk diperhatikan antara lain:
- URL Tujuan: Arahkan kursor (hover) ke tautan/tombol apa pun di email DocuSign untuk memeriksa apakah URL tujuannya sah.
- Kode Keamanan: Ini seharusnya ada di setiap email DocuSign yang sah (di bagian “metode masuk alternatif”) dan memungkinkan pengguna mengakses dokumen langsung di situs DocuSign daripada mengikuti tautan di email.
- Lampiran: Seharusnya tidak ada lampiran di email DocuSign awal. Hanya setelah dokumen ditandatangani, Anda akan menerima versi selesai melalui lampiran.
- Kesalahan Ejaan, Tata Bahasa, dan Nada Bahasa: Ini adalah tanda-tanda lain dari email phising.
- Tanda tangan email dan nama/alamat email pengirim yang tidak cocok.
Lapisan Pertahanan
Lapisi pertahanan Anda di atas kesadaran keamanan dengan menyertakan hal-hal seperti:
- Otentikasi Multi-Faktor (MFA) untuk semua akun perusahaan. Ini akan mempersulit peretas untuk mengakses data Anda, meskipun mereka berhasil mencuri detail login Anda.
- Kebersihan kata sandi, termasuk penggunaan kata sandi yang kuat dan unik untuk setiap akun, yang disimpan dalam pengelola kata sandi (password manager).
- Alat keamanan berlapis dari vendor terkemuka seperti ESET, yang, antara lain, mendeteksi lampiran berbahaya, mencegah pengguna mengikuti tautan ke situs phising, dan memungkinkan administrator untuk secara manual menentukan kondisi dan tindakan penyaringan email.
- Kebijakan yang diperbarui untuk mendesak pengguna agar tidak membuka lampiran atau mengikuti tautan di email yang tidak diminta, dan hanya mengakses dokumen DocuSign melalui kode keamanan.
- Mengubah proses bisnis internal terkait transfer dana, sehingga setiap jumlah besar dikenakan pemeriksaan ekstra.
- Mendorong pengguna untuk melaporkan semua email mencurigakan yang bertema DocuSign ke tim IT/keamanan Anda dan ke spam@docusign.com.
|
Baca juga: Penipuan Identitas Berbasis AI |
Apa yang Harus Dilakukan Jika Anda Jadi Korban
Jika hal terburuk terjadi dan seorang karyawan mengklik penipuan DocuSign, sebagai administrator, Anda perlu melakukan serangkaian tindakan khusus, antara lain:
- Reset kata sandi untuk pengguna yang terkena dampak, termasuk akun apa pun yang mungkin mereka gunakan kembali kredensialnya.
- Jalankan pemindaian malware di mesin korban untuk mendeteksi dan menghapus kode berbahaya.
- Isolasi perangkat dari jaringan untuk membatasi dampak serangan.
- Pantau dark web untuk mencari tanda-tanda pencurian/kebocoran informasi.
- Pantau akun korban untuk aktivitas yang tidak biasa.
- Telusuri lebih dalam dengan forensik untuk memahami apa yang diinginkan penyerang dan apakah mereka berhasil mendapatkan akses internal yang lebih tinggi.
- Gunakan kejadian ini sebagai momen pembelajaran bagi karyawan: dorong mereka untuk melaporkan email mencurigakan dengan cepat dan untuk selalu waspada terhadap email yang tidak diminta secara umum.
Tentu saja, DocuSign tidak hanya digunakan oleh bisnis. Anda mungkin pernah menggunakannya secara pribadi saat membeli rumah atau menyelesaikan dokumen pajak.
Dalam kasus tersebut, banyak tips di atas masih akan sangat membantu Anda. Aplikasi tanda tangan elektronik memang sangat menghemat waktu. Tetapi pastikan Anda tidak tertipu oleh penipu yang mengeksploitasi kepercayaan Anda pada aplikasi ini.
Demikian pokok bahasan kita kali ini mengenai penipuan DocuSign jangan sampai data Anda dicuri, semoga informasi yang disampaikan dapat bermanfaat.
Sumber berita:
