Lindungi diri dan perangkat sebaik mungkin, kenali dan terus tingkatkan awareness terhadap bahaya phishing dan cyber attack lainnya.
Beberapa waktu terakhir ini, kita banyak mendengar kasus cyber attack yang terjadi di Indonesia yang juga menimpa perusahaan besar. Hal ini membuat kita harus semakin waspada terhadap data yang kita miliki, baik data pribadi maupun data perusahaan.
Banyak cara yang dapat dilakukan, mulai dari menggunakan antivirus, password yang kuat dan dilindungi dengan 2FA (two-factor authentication), serta update perangkat elektronik secara reguler. Namun hal ini ternyata belum cukup, karena kini ada juga social engineering attack, dan salah satu bentuknya yang cukup familiar adalah phishing attack.
Apa itu phishing?
Phishing attack adalah salah satu metode serangan siber yang memanfaatkan sisi psikologis manusia melalui media email, telepon maupun pesan teks lainnya. Phishing attack ini dilakukan dengan cara mengelabui seseorang dengan tujuan mendapatkan data sensitif milik orang tersebut (credential) ataupun usaha untuk memperoleh akses ke sistem seperti sistem yang ada di laptop ataupun mobile device.
Biasanya, pelaku menyamar sebagai lembaga yang sah, atasan, hingga rekan kerja untuk memikat kita agar semakin percaya. Jika lengah dan tidak teliti, hanya dengan membalas email atau klik tautan yang dikirimkan, kita telah menyediakan akses pada pelaku untuk masuk ke sistem kita.
Phishing attack ini dilakukan dengan cara mengelabui seseorang dengan tujuan mendapatkan data sensitif milik orang tersebut (credential)
Informasi yang didapatkan dari korban kemudian akan digunakan untuk mengakses akun penting, sehingga mengakibatkan pencurian identitas dan kerugian finansial.
Cara kerja phishing
Ada beberapa cara yang biasanya dilakukan untuk menarik perhatian (clickbait) sebagai modus operandi pada umumnya:
- Penawaran atau berita yang menarik perhatian
Pelaku mulai dengan menentukan siapa korban yang akan menjadi target dan membuat strategi untuk mengumpulkan data yang bisa digunakan dalam penyerangan. Beberapa phishing attack akan menyertakan penawaran menggiurkan seperti informasi bahwa kita telah memenangkan hadiah tertentu atau informasi meresahkan terhadap akun perbankan kita.
2. Konten berisi URL atau attachments
Pelaku akan membuat metode seperti email atau halaman website palsu untuk mengirim pesan yang memikat data dari korbannya. Kemudian pelaku akan memanipulasi tindakan yang mengarah kepada klik tautan (URL), seperti arahan untuk mengunjungi web tertentu untuk klaim hadiah atau memperbaiki akun bank kita.
3. Alamat pengirim dan situs yang mencurigakan
Pelaku akan menggunakan identitas pengirim dan alamat website yang hampir mirip dengan perusahaan resmi. Namun jika diperhatikan lebih detail, kita akan menemukan kesalahan dalam pengejaan atau tulisan pada keduanya (misalnya bankrnandiri.co.id).
- Memanfaatkan sense of urgency
Pelaku juga akan mendorong kita untuk melakukan tindakan dengan segera, seperti keterbatasan periode hadiah yang ditawarkan.
Keempat hal ini merupakan trik yang cukup sederhana namun ternyata efektif karena kurangnya tingkat kewaspadaan dan kehati-hatian kita. Kunci untuk melindungi diri kita selain selalu waspada juga mulai mengedukasi diri kita mengenai bahaya phishing ini.
Kunci untuk melindungi diri kita selain selalu waspada juga mulai mengedukasi diri kita mengenai bahaya phishing ini.
Pencegahan bahaya phishing
Tidak ada istilah “terlalu waspada”. Semakin kita waspada dan mempersiapkan diri dan perangkat maka secara tidak langsung kita berupaya untuk menutup celah yang dapat dimanfaatkan oleh pelaku.
Meski pelaku selalu menemukan teknik baru, ada beberapa hal yang bisa dilakukan untuk melindungi diri dari serangan phishing. Apa saja langkah pencegahannya?
- Selalu update dengan perkembangan phishing
Phishing attack selalu menggunakan teknologi dan metode yang selalu berkembang. Selalu engage dengan kegiatan-kegiatan yang disediakan oleh Divisi Cyber Security di sebuah organisasi, dan aktif mengikuti informasi dan pelatihan terkait cyber security.
- Two-factor authentication (2FA) atau multi-factor authentication (MFA) adalah wajib
Salah satu metode ampuh menangkal phising adalah dengan mengaktifkan fitur 2FA dan MFA sehingga para pelaku akan kesulitan mengakses akun kita yang memiliki mekanisme proses autentifikasi tambahan, seperti pertanyaan rahasia, kode verifikasi hingga pemindaian sidik jari.
- Anti-spam dan anti-phishing tool
Kita juga bisa memanfaatkan fitur spam filter pada layanan email dan perangkat mobile kita. Fitur tersebut dapat mendeteksi malware, memblokir URL berbahaya, menganalisis konten email, serta berbagai fungsi lainnya untuk mencegah phishing.
- Penggunaan sosial media
Hindari mempublikasikan data sensitif melalui sosial media, seperti alamat email kantor dan nomor ponsel. Selalu kritis dan pastikan akun pengirim merupakan kontak resmi perusahaan atau lembaga.
Kita semua bertanggung jawab untuk menjaga data pribadi ataupun data perusahaan. Lindungi diri dan perangkat sebaik mungkin serta kenali dan terus tingkatkan awareness terhadap bahaya phising dan cyber attack lainnya.
Apa yang perlu dilakukan apabila terkena phishing?
Meski upaya pencegahan telah dilakukan, namun tetap ada kemungkinan kita terkena phishing. Kemudian apa yang kita bisa lakukan?
Secepatnya hubungi Divisi Cyber Security perusahaan seandainya kita mencurigai bahwa diri kita telah menjadi korban atau merasakan kejanggalan di perangkat kita. Diagnosa awal akan membantu menghalangi pelaku untuk compromise data yang lebih dalam lagi.
Pada akhirnya, kita semua bertanggung jawab untuk menjaga data pribadi ataupun data perusahaan. Lindungi diri dan perangkat sebaik mungkin serta kenali dan terus tingkatkan awareness terhadap bahaya phising dan cyber attack lainnya.