Apa itu phishing dan bagaimana hal itu dapat merampok uang dan rahasia Anda
Kiat Teknologi / / December 28, 2020
Apa itu phishing dan betapa berbahayanya itu
Phishing adalah jenis penipuan cyber umum yang ditujukan untuk membobol akun catatan dan intersepsi kendali atas mereka, pencurian data kartu kredit atau rahasia lainnya informasi.
Paling sering, penjahat dunia maya menggunakan email: misalnya, mereka mengirim surat atas nama perusahaan terkenal, memikat pengguna ke situs web palsu dengan dalih promosi yang menguntungkan. Korban tidak mengenali yang palsu, memasukkan nama pengguna dan kata sandi dari akunnya, dan dengan demikian pengguna itu sendiri mentransfer data ke penipu.
Siapapun bisa menderita. Email phishing otomatis paling sering ditargetkan ke khalayak luas (ratusan ribu atau bahkan jutaan alamat), tetapi ada juga serangan yang ditujukan pada target tertentu. Paling sering, target ini adalah manajer puncak atau karyawan lain yang memiliki akses istimewa ke data perusahaan. Strategi phishing yang dipersonalisasi ini disebut vailing (eng. perburuan paus), yang diterjemahkan sebagai "paus penangkap."
Konsekuensi dari serangan phishing bisa sangat merusak. Penipu dapat membaca korespondensi pribadi Anda, mengirim pesan phishing ke lingkaran kontak Anda, menarik uang dari rekening bank, dan umumnya bertindak atas nama Anda dalam arti luas. Jika Anda menjalankan bisnis, risikonya semakin besar. Phisher mampu mencuri rahasia perusahaan, menghancurkan file sensitif, atau membocorkan data pelanggan Anda, merusak reputasi perusahaan.
Menurut laporan ituLaporan Tren Aktivitas Phishing Anti-Phishing Working Group, pada kuartal terakhir tahun 2019 saja, pakar keamanan siber menemukan lebih dari 162 ribu situs penipuan dan 132 ribu pesan email. Selama ini, sekitar seribu perusahaan dari seluruh dunia menjadi korban phishing. Masih harus dilihat berapa banyak serangan yang tidak terdeteksi.
Ivan Budylin
Arsitek Pusat Teknologi Microsoft di Rusia.
Penting untuk memperjelas tentang diri Anda dan mengkomunikasikan beberapa hal kepada rekan kerja, teman, dan keluarga Anda. Pertama, industri melawan kami. Penyusup dunia maya bukan lagi orang iseng yang antusias, mereka adalah profesional berpengalaman yang, dengan satu atau lain cara, ingin menghasilkan uang dari Anda. Kedua, informasi apa pun memiliki nilai, meskipun tampaknya tidak penting. Dan aktivitas Anda di jejaring sosial, dan nama panggilan kucing favorit Anda - semuanya dapat digunakan untuk itu monetisasi langsung, atau sebagai tahap serangan untuk mendapatkan akses yang lebih "mahal" data. Ketiga, penggunaan otentikasi multi-faktor dan login tanpa kata sandi secara bertahap berpindah dari kategori rekomendasi kuat ke kategori persyaratan keras dari realitas yang berubah.
Evolusi dan jenis phishing
Istilah "phishing" berasal dari kata bahasa Inggris "fishing". Jenis penipuan ini sangat mirip dengan memancing: penyerang melempar umpan dalam bentuk pesan atau tautan palsu dan menunggu pengguna untuk menggigit.
Namun dalam bahasa Inggris, phishing dieja sedikit berbeda: phishing. Digraf ph digunakan sebagai pengganti huruf f. Menurut satu versi, ini adalah referensi ke kata palsu ("penipu", "penipu"). Di sisi lain - ke subkultur peretas awal, yang disebut phreakers ("phreakers").
Diyakini bahwa istilah phishing pertama kali digunakan secara publik pada pertengahan 1990-an di newsgroup Usenet. Pada saat itu, penipu meluncurkan serangan phishing pertama yang menargetkan pelanggan dari penyedia Internet AOL Amerika. Penyerang mengirimkan pesan yang meminta untuk mengkonfirmasi kredensial, meniru karyawan perusahaan.
Dengan perkembangan Internet, jenis serangan phishing baru telah muncul. Penipu mulai memalsukan seluruh situs web dan menguasai berbagai saluran dan layanan komunikasi. Saat ini, jenis phishing seperti itu dapat dibedakan.
- Phishing email. Penipu mendaftarkan alamat surat yang mirip dengan alamat perusahaan terkenal atau kenalan korban yang dipilih, dan mengirim surat darinya. Pada saat yang sama, dengan nama pengirim, desain dan isinya, surat palsu bisa hampir identik dengan aslinya. Hanya di dalamnya terdapat link ke situs palsu, lampiran terinfeksi atau permintaan langsung untuk mengirimkan data rahasia.
- Phishing SMS (smishing). Skema ini mirip dengan yang sebelumnya, tetapi alih-alih email, SMS digunakan. Pelanggan menerima pesan dari nomor yang tidak dikenal (biasanya pendek) dengan permintaan data rahasia atau dengan link ke situs palsu. Misalnya, penyerang mungkin memperkenalkan dirinya sebagai bank dan meminta kode verifikasi yang Anda terima sebelumnya. Faktanya, scammer membutuhkan kode tersebut untuk meretas ke rekening bank Anda.
- Phishing media sosial. Dengan semakin banyaknya pengirim pesan instan dan media sosial, serangan phishing juga membanjiri saluran-saluran ini. Penyerang dapat menghubungi Anda melalui akun palsu atau akun yang disusupi dari organisasi terkenal atau teman Anda. Prinsip serangan lainnya tidak berbeda dari yang sebelumnya.
- Phishing telepon (vishing). Scammer tidak terbatas pada pesan teks dan dapat menghubungi Anda. Paling sering, telepon Internet (VoIP) digunakan untuk tujuan ini. Penelepon dapat meniru, misalnya, sebagai karyawan layanan dukungan sistem pembayaran Anda dan meminta data untuk mengakses dompet - seharusnya untuk verifikasi.
- Telusuri phishing. Anda dapat menemukan phishing langsung di hasil pencarian. Cukup mengklik tautan yang mengarah ke situs palsu dan meninggalkan data pribadi di dalamnya.
- Phishing munculan. Penyerang sering menggunakan pop-up. Saat mengunjungi sumber daya yang meragukan, Anda mungkin melihat spanduk yang menjanjikan beberapa keuntungan - misalnya, diskon atau produk gratis - atas nama perusahaan terkenal. Dengan mengklik tautan ini, Anda akan dibawa ke situs yang dikendalikan oleh penjahat dunia maya.
- Pertanian. Tidak terkait langsung dengan phishing, tetapi bertani juga merupakan serangan yang sangat umum. Dalam kasus ini, penyerang memalsukan data DNS, secara otomatis mengarahkan pengguna alih-alih situs asli ke situs palsu. Korban tidak melihat pesan atau spanduk yang mencurigakan, yang meningkatkan efektivitas serangan.
Phishing terus berkembang. Microsoft berbicara tentang teknik baru yang ditemukan oleh layanan anti-phishing Perlindungan Ancaman Tingkat Lanjut Office 365 pada tahun 2019. Misalnya, scammer telah belajar untuk menyamarkan konten berbahaya dengan lebih baik dalam hasil penelusuran: ke atas menampilkan tautan sah yang mengarahkan pengguna ke situs phishing menggunakan beberapa pengalihan.
Selain itu, penjahat dunia maya mulai secara otomatis membuat tautan phishing dan salinan elektronik yang tepat huruf pada tingkat yang baru secara kualitatif, yang memungkinkan Anda untuk lebih efektif menipu pengguna dan memotong dana perlindungan.
Kenali Office 365
Bagaimana melindungi diri Anda dari phishing
Tingkatkan literasi teknis Anda. Seperti yang mereka katakan, dia yang diperingatkan sebelumnya bersenjata. Pelajari sendiri keamanan informasi atau konsultasikan dengan pakar untuk mendapatkan nasihat. Bahkan pengetahuan sederhana tentang dasar-dasar kebersihan digital dapat menyelamatkan Anda dari banyak masalah.
Hati-hati. Jangan mengikuti tautan atau membuka lampiran dalam surat dari lawan bicara yang tidak dikenal. Harap periksa dengan cermat detail kontak pengirim dan alamat situs yang Anda kunjungi. Jangan menanggapi permintaan informasi pribadi, bahkan ketika pesannya terlihat bisa dipercaya. Jika perwakilan perusahaan meminta informasi, lebih baik hubungi call center mereka dan laporkan situasinya. Jangan klik pop-up.
Gunakan kata sandi dengan bijak. Gunakan kata sandi yang unik dan kuat untuk setiap akun. Berlangganan layanan yang memperingatkan pengguna jika kata sandi untuk akun mereka muncul di Web, dan segera ubah kode akses jika ternyata dibobol.
Siapkan otentikasi multi-faktor. Fitur ini juga melindungi akun, misalnya, menggunakan kata sandi satu kali. Dalam hal ini, setiap kali Anda masuk ke akun dari perangkat baru, selain kata sandi, Anda harus melakukannya masukkan kode empat atau enam karakter yang dikirimkan kepada Anda melalui SMS atau dibuat secara khusus aplikasi. Ini mungkin terlihat tidak nyaman, tetapi pendekatan ini akan melindungi Anda dari 99% serangan umum. Lagi pula, jika penipu mencuri kata sandi, mereka tetap tidak bisa masuk tanpa kode verifikasi.
Gunakan fasilitas login tanpa kata sandi. Dalam layanan tersebut, jika memungkinkan, Anda harus sepenuhnya meninggalkan penggunaan kata sandi, menggantinya dengan kunci keamanan perangkat keras atau otentikasi melalui aplikasi pada telepon pintar.
Gunakan perangkat lunak antivirus. Antivirus yang diperbarui tepat waktu akan membantu melindungi komputer Anda dari program jahat yang mengarahkan ke situs phishing atau mencuri login dan kata sandi. Namun perlu diingat bahwa perlindungan utama Anda tetap mematuhi aturan kebersihan digital dan kepatuhan terhadap rekomendasi keamanan siber.
Jika Anda menjalankan bisnis
Kiat berikut juga akan bermanfaat bagi pemilik bisnis dan eksekutif perusahaan.
Latih karyawan Anda. Jelaskan kepada bawahan pesan apa yang harus dihindari dan informasi apa yang tidak boleh dikirim melalui email atau saluran komunikasi lainnya. Larang karyawan menggunakan surat perusahaan untuk tujuan pribadi. Instruksikan mereka tentang cara menggunakan sandi. Perlu juga mempertimbangkan kebijakan penyimpanan pesan: misalnya, untuk tujuan keamanan, Anda dapat menghapus pesan yang lebih lama dari periode tertentu.
Lakukan serangan phishing pendidikan. Jika Anda ingin menguji reaksi karyawan terhadap phishing, cobalah memalsukan serangan. Misalnya, daftarkan alamat surat yang serupa dengan Anda dan kirimkan surat dari alamat tersebut ke bawahan yang meminta mereka untuk memberikan data rahasia kepada Anda.
Pilih layanan pos yang andal. Penyedia email gratis terlalu rentan terhadap komunikasi bisnis. Perusahaan harus memilih hanya layanan perusahaan yang aman. Misalnya, pengguna layanan email Microsoft Exchange yang termasuk dalam rangkaian Office 365 memiliki perlindungan komprehensif terhadap pengelabuan dan ancaman lainnya. Untuk mengatasi scammer, Microsoft menganalisis ratusan miliar email setiap bulan.
Pekerjakan ahli keamanan siber. Jika anggaran Anda memungkinkan, temukan profesional berkualifikasi yang akan memberikan perlindungan berkelanjutan terhadap phishing dan ancaman dunia maya lainnya.
Apa yang harus dilakukan jika Anda menjadi korban phishing
Jika ada alasan untuk meyakini bahwa data Anda jatuh ke tangan yang salah, segera bertindak. Periksa perangkat Anda dari virus dan ubah kata sandi akun. Beri tahu staf bank bahwa detail pembayaran Anda mungkin telah dicuri. Jika perlu, beri tahu pelanggan tentang potensi kebocoran.
Untuk mencegah situasi seperti itu berulang, pilih layanan kolaborasi yang andal dan modern. Produk dengan mekanisme perlindungan bawaan paling cocok: ini akan bekerja senyaman mungkin dan tidak harus mempertaruhkan keamanan digital.
Selain itu, layanan ini menyediakan kontrol akses dinamis dengan penilaian risiko dan dengan mempertimbangkan berbagai kondisi. Office 365 juga berisi otomatisasi dan analitik data bawaan, dan juga memungkinkan Anda untuk mengontrol perangkat dan melindungi informasi dari kebocoran.
Coba Microsoft Office 365