Simulasi phishing adalah latihan keamanan siber yang menguji kemampuan organisasi untuk mengenali dan menanggapi serangan phishing.

Serangan phishing adalah email, teks, atau pesan suara palsu yang dirancang untuk mengelabui orang agar mengunduh malware (seperti ransomware), mengungkapkan informasi sensitif (seperti nama pengguna, kata sandi, atau detail kartu kredit) atau mengirim uang kepada orang yang salah.

Selama simulasi phishing, karyawan menerima email phishing yang disimulasikan (atau teks atau panggilan telepon) yang meniru upaya phishing di dunia nyata. Pesan menggunakan taktik rekayasa sosial yang sama (misalnya, menyamar sebagai seseorang yang dikenal atau dipercaya penerima, menciptakan rasa urgensi) untuk mendapatkan kepercayaan dari penerima dan memanipulasi mereka untuk mengambil tindakan yang tidak tepat. Satu-satunya perbedaan adalah bahwa penerima yang memakan umpan (misalnya, mengklik tautan berbahaya, mengunduh lampiran berbahaya, memasukkan informasi ke dalam halaman arahan yang palsu, atau memproses faktur palsu) akan gagal dalam pengujian, tanpa dampak yang merugikan organisasi.

Dalam beberapa kasus, karyawan yang mengklik tautan jahat palsu dibawa ke halaman arahan yang menunjukkan bahwa mereka menjadi mangsa serangan phishing yang disimulasikan, dengan informasi tentang cara mengenali penipuan phishing dan serangan siber lainnya dengan lebih baik di masa depan. Setelah simulasi, organisasi juga menerima metrik pada tingkat klik karyawan dan sering kali menindaklanjuti dengan pelatihan kesadaran phishing tambahan.

Statistik terbaru menunjukkan ancaman phishing terus meningkat. Sejak tahun 2019, jumlah serangan phishing telah meningkat 150% persen per tahun—dengan Anti-Phishing Working Group (APWG) melaporkan jumlah tertinggi sepanjang masa untuk phishing pada tahun 2022, dengan mencatat lebih dari 4,7 juta situs phishing. Menurut Proofpoint, 84% organisasi pada tahun 2022 mengalami setidaknya satu serangan phishing yang berhasil.

Karena gateway email dan alat keamanan terbaik sekalipun tidak dapat melindungi organisasi dari setiap kampanye phishing, maka organisasi makin beralih ke simulasi phishing. Simulasi phishing yang dibuat dengan baik membantu mengurangi dampak serangan phishing dengan dua cara penting. Simulasi menyediakan kebutuhan tim keamanan informasi untuk mendidik karyawan agar lebih mengenali dan menghindari serangan phishing di dunia nyata. Mereka juga membantu tim keamanan menemukan titik kerentanan, meningkatkan respons insiden secara keseluruhan, dan mengurangi risiko pelanggaran data serta kerugian finansial akibat upaya phishing yang berhasil.

Uji phishing biasanya merupakan bagian dari pelatihan kesadaran keamanan yang lebih luas yang dipimpin oleh departemen TI atau tim keamanan.

Proses ini umumnya melibatkan lima langkah:

1. Perencanaan: Organisasi memulai dengan menentukan tujuan mereka dan menetapkan ruang lingkup, memutuskan jenis email phishing yang akan digunakan dan frekuensi simulasi. Mereka juga menentukan target audiens, termasuk segmentasi kelompok atau departemen tertentu dan, sering kali, eksekutif. 
2. Penyusunan: Setelah membuat rencana, tim keamanan menyusun email phishing tiruan realistis yang sangat mirip dengan ancaman phishing yang sebenarnya, sering kali dibuat berdasarkan templat phishing dan perangkat phishing yang tersedia di dark web. Mereka sangat memperhatikan detail seperti baris subjek, alamat pengirim, dan konten untuk membuat simulasi phishing yang realistis. Mereka juga menyertakan taktik rekayasa sosial—bahkan meniru (atau 'memalsukan') seorang eksekutif atau sesama karyawan sebagai pengirimnya—untuk meningkatkan kemungkinan karyawan mengklik email tersebut.
3. Pengiriman: Setelah mereka menyelesaikan konten, tim TI atau vendor luar mengirimkan email phishing yang telah disimulasikan kepada target audiens melalui sarana yang aman, dengan mempertimbangkan privasi.
4. Pemantauan: Setelah mengirim email berbahaya tiruan, para pemimpin melacak dan mencatat dengan cermat bagaimana karyawan berinteraksi dengan email simulasi, memantau apakah mereka mengklik tautan, mengunduh lampiran, atau memberikan informasi sensitif.
5. Menganalisis: Setelah pengujian phishing, pimpinan TI menganalisis data dari simulasi untuk menentukan tren seperti rasio klik dan kerentanan keamanan. Setelah itu, mereka menindaklanjuti karyawan yang gagal dalam simulasi dengan umpan balik langsung, menjelaskan bagaimana mereka dapat mengidentifikasi upaya phishing dengan benar dan bagaimana menghindari serangan nyata di masa depan.

Setelah mereka menyelesaikan langkah-langkah ini, banyak organisasi menyusun laporan komprehensif yang merangkum hasil simulasi phishing untuk dibagikan kepada para pemangku kepentingan yang relevan. Beberapa juga menggunakan insight tersebut untuk meningkatkan pelatihan kesadaran keamanan mereka sebelum mengulangi proses tersebut secara teratur untuk meningkatkan kesadaran keamanan siber dan tetap terdepan dalam menghadapi ancaman siber yang terus berkembang.

Saat menjalankan kampanye simulasi phishing, organisasi harus mempertimbangkan hal-hal berikut.

• Frekuensi dan variasi pengujian: Banyak pakar menyarankan untuk melakukan simulasi phishing secara teratur sepanjang tahun dengan menggunakan berbagai jenis teknik phishing. Peningkatan frekuensi dan variasi ini dapat membantu memperkuat kesadaran keamanan siber sekaligus memastikan semua karyawan tetap waspada terhadap ancaman phishing yang terus berkembang.
• Konten dan metode: Dalam hal konten, organisasi harus mengembangkan email phishing simulasi yang menyerupai upaya phishing yang realistis. Salah satu cara untuk melakukannya adalah dengan menggunakan templat phishing yang dimodelkan berdasarkan jenis serangan phishing yang populer untuk menargetkan karyawan. Misalnya, templat mungkin berfokus pada penyusupan email bisnis (BEC)—juga disebut penipuan CEO—sejenis phishing tombak di mana penjahat siber meniru email dari salah satu eksekutif tingkat C organisasi untuk mengelabui karyawan agar memberikan informasi sensitif atau mengirim sejumlah besar uang uang kepada vendor palsu. Seperti halnya penjahat siber yang meluncurkan penipuan BEC di dunia nyata, tim keamanan yang merancang simulasi harus secara hati-hati meneliti pengirim dan penerima agar email tersebut dapat dipercaya.
• Pengaturan waktu: Waktu yang ideal bagi organisasi untuk melakukan simulasi phishing masih menjadi perdebatan. Beberapa lebih suka menerapkan tes phishing sebelum karyawan menyelesaikan pelatihan kesadaran phishing untuk menetapkan patokan dan mengukur efisiensi solusi simulasi phishing di masa mendatang. Yang lain lebih memilih untuk menunggu sampai setelah pelatihan kesadaran phishing untuk menguji efektivitas modul dan melihat apakah karyawan melaporkan insiden phishing dengan benar. Waktu ketika organisasi memutuskan untuk menjalankan simulasi phishing tergantung pada kebutuhan dan prioritasnya.
• Tindak lanjut edukasi: Kapan pun organisasi memutuskan untuk melakukan tes phishing, biasanya ini merupakan bagian dari program pelatihan kesadaran keamanan yang lebih besar dan komprehensif. Pelatihan tindak lanjut membantu karyawan yang gagal dalam ujian merasa didukung, bukan hanya diperdaya, dan memberikan pengetahuan serta insentif untuk mengidentifikasi email yang mencurigakan atau serangan yang nyata di masa depan.
• Pelacakan kemajuan dan tren: Setelah simulasi, organisasi harus mengukur dan menganalisis hasil dari setiap tes simulasi phishing. Ini dapat mengidentifikasi area untuk perbaikan, termasuk karyawan tertentu yang mungkin memerlukan pelatihan tambahan. Tim keamanan juga harus terus mengikuti tren dan taktik phishing terbaru sehingga pada saat mereka menjalankan simulasi phishing berikutnya, mereka bisa menguji karyawan dengan ancaman yang paling relevan dalam kehidupan nyata.

Simulasi phishing dan pelatihan kesadaran keamanan merupakan langkah pencegahan yang penting, tetapi tim keamanan juga memerlukan kemampuan deteksi dan respons ancaman yang canggih untuk mengurangi dampak kampanye phishing yang berhasil.