Image credit: Freepix
Waspada Intelijen Media Sosial – Promosi perusahaan melalui akun media sosial karyawan (employee advocacy) memang bagus untuk branding, tapi ternyata ada sisi gelapnya.
Ketika para profesional memposting tentang pekerjaan mereka, perusahaan mereka, dan peran mereka, mereka berharap dapat menjangkau para profesional yang berpikiran sama, serta calon pelanggan dan mitra. Tetapi pelaku ancaman juga memperhatikan.
Informasi yang dibagikan secara sukarela oleh karyawan bisa menjadi “senjata” bagi penjahat siber untuk menyusun serangan yang sangat rapi.
Berikut adalah rangkuman mengenai risiko oversharing karyawan dan cara melindunginya.
Di Mana Karyawan Sering “Bocor”?
Penjahat siber biasanya memantau platform berikut untuk mengumpulkan informasi:
- LinkedIn: Dianggap sebagai database terbuka terbesar di dunia. Hacker bisa melihat jabatan, tanggung jawab, hingga hubungan internal antar karyawan. Lowongan kerja yang terlalu detail soal teknologi perusahaan juga sering jadi sasaran.
- GitHub: Selain kode, pengembang sering tidak sengaja membagikan nama proyek, struktur tech stack, hingga alamat email perusahaan dalam konfigurasi Git.
- Instagram & X (Twitter): Unggahan tentang rencana perjalanan ke konferensi atau acara kantor bisa digunakan hacker untuk mengetahui kapan seseorang sedang tidak ada di meja kerjanya.
- Situs Web Perusahaan: Informasi tentang vendor, mitra, atau pengumuman akuisisi (M&A) sering menjadi modal untuk melakukan penipuan.
|
Baca juga: Eksekutif Senior Target Utama Penipu |
Informasi Menjadi Senjata
Tahap pertama dari serangan social engineering tipikal adalah pengumpulan intelijen. Selanjutnya adalah mempersenjatai intelijen tersebut dalam serangan spearphishing yang dirancang untuk menipu penerima agar tanpa sadar menginstal malware ke perangkat mereka.
Atau berpotensi untuk membagikan kredensial perusahaan mereka untuk akses awal. Ini dapat dicapai melalui email, pesan teks, atau bahkan panggilan telepon.
Atau, mereka mungkin menggunakan informasi tersebut untuk meniru eksekutif tingkat C atau pemasok dalam email, panggilan telepon, atau panggilan video yang meminta transfer dana mendesak.
Untuk melakukan iitu, hacker menggunakan teknik Open Source Intelligence (OSINT) untuk melakukan:
- Spearphishing: Mengirim email yang sangat personal. Contoh: Menyamar sebagai vendor teknis yang meminta “update keamanan mendesak” kepada karyawan IT yang baru bergabung.
- Business Email Compromise (BEC): Menggunakan data dari LinkedIn atau Instagram untuk menyamar sebagai eksekutif yang sedang sibuk di luar kota, lalu meminta tim keuangan melakukan transfer dana darurat.
- Deepfake AI: Dengan video atau audio eksekutif yang ada di publik, hacker kini bisa membuat rekaman palsu yang sangat meyakinkan untuk menipu karyawan.
Langkah Mitigasi
Agar perusahaan dan karyawan tetap aman, lakukan langkah-langkah ini:
- Berikan pemahaman bahwa tidak semua hal boleh diposting. Ingatkan mereka untuk curiga pada DM atau email yang meminta data sensitif, meskipun pengirimnya terlihat “kenal”.
- Buat batasan tegas antara akun pribadi dan profesional, serta apa saja informasi teknis yang dilarang dibagikan.
- Pastikan semua akun media sosial profesional menggunakan autentikasi dua faktor (MFA) agar tidak mudah diambil alih.
- Lakukan tes phishing secara berkala untuk menguji kewaspadaan karyawan terhadap taktik yang memanfaatkan informasi publik.
|
Baca juga: DroidLock Sandera Android Curi Data |
Panduan Singkat Keamanan Media Sosial Karyawan
Media sosial adalah tempat yang luar biasa untuk berbagi kesuksesan. Namun, informasi yang terlalu detail bisa dimanfaatkan oleh penjahat siber untuk menargetkan kita dan perusahaan.
Berikut adalah panduan sederhana untuk keamanan media sosial karyawan:
Apa yang AMAN untuk Dibagikan:
- Berbagi kabar gembira tentang budaya kantor, penghargaan, atau acara publik.
- Mempromosikan lowongan pekerjaan (gunakan tautan resmi perusahaan).
- Berbagi konten edukasi atau opini profesional tanpa membocorkan rahasia internal.
- Foto kegiatan kantor yang tidak memperlihatkan layar komputer atau ID Badge.
Apa yang HARUS DIHINDARI (Oversharing):
- Foto ID Badge atau Kartu Akses: Penjahat bisa memalsukan kartu tersebut atau mengetahui posisi jabatan Anda secara detail.
- Detail Teknis Pekerjaan: Hindari menyebutkan nama proyek rahasia, struktur database, atau teknologi spesifik yang kita gunakan di internal (terutama di LinkedIn atau GitHub).
- Rencana Perjalanan Bisnis: Jangan memposting kapan dan ke mana Anda akan pergi untuk urusan bisnis sebelum acara selesai. Hacker bisa menyamar sebagai Anda saat Anda sedang “tidak di tempat”.
- Informasi Kontak Pribadi/Internal: Hindari mencantumkan email kantor atau nomor HP internal di kolom bio yang bisa diakses publik.
Sumber berita:
