Diperbarui: 17 Mei 2024
Kontributor: Matthew Kosinski
Serangan phishing menggunakan email palsu, pesan teks, panggilan telepon, atau situs web untuk mengelabui orang agar membagikan data sensitif, mengunduh malware , atau mengekspos diri mereka ke kejahatan dunia maya.
Penipuan phishing adalah bentuk rekayasa sosial. Tidak seperti serangan siber lainnya yang secara langsung menargetkan jaringan dan sumber daya, serangan rekayasa sosial menggunakan kesalahan manusia, cerita palsu, dan taktik tekanan untuk memanipulasi korban agar secara tidak sengaja merugikan diri mereka sendiri atau organisasi mereka.
Dalam upaya phishing yang khas, seorang peretas berpura-pura menjadi seseorang yang dipercaya korban, seperti kolega, bos, tokoh otoritas, atau perwakilan dari merek terkenal. Peretas mengirimkan pesan yang mengarahkan korban untuk membayar faktur, membuka lampiran, mengklik tautan, atau melakukan tindakan lain.
Karena mereka memercayai sumber pesan yang seharusnya, pengguna mengikuti instruksi dan jatuh ke dalam perangkap penipu. "Faktur" tersebut mungkin mengarah langsung ke akun peretas. Lampiran itu mungkin menginstal ransomware di perangkat pengguna. Tautan itu mungkin membawa pengguna ke situs web yang mencuri nomor kartu kredit, nomor rekening bank, kredenSIAL login, atau data pribadi lainnya.
Phishing sangat populer di kalangan penjahat siber dan sangat efektif. Menurut laporan Biaya Pelanggaran Data IBM, phishing adalah vektor pelanggaran data yang paling umum, yang berkontribusi sekitar 16% dari semua pelanggaran. Pelanggaran yang disebabkan oleh phishing menimbulkan kerugian bagi organisasi rata-rata USD 4,76 juta, lebih tinggi daripada rata-rata biaya pelanggaran secara keseluruhan sebesar USD 4,45 juta.
Phishing adalah ancaman yang signifikan karena mengeksploitasi orang dibandingkan kerentanan teknologi. Penyerang tidak perlu melanggar sistem secara langsung atau mengakali alat keamanan siber. Mereka dapat mengelabui orang-orang yang memiliki akses resmi ke target mereka—baik itu uang, informasi sensitif, atau yang lainnya—untuk melakukan pekerjaan kotor mereka.
Phisher bisa menjadi penipu tunggal atau geng kriminal canggih. Mereka dapat menggunakan phishing untuk berbagai tujuan kejahatan, termasuk pencurian identitas, penipuan kartu kredit, pencurian uang, pemerasan, pengambilalihan akun, spionase, dan banyak lagi.
Target phishing berkisar dari orang biasa hingga perusahaan besar dan lembaga pemerintah. Dalam salah satu serangan phishing yang paling terkenal, peretas Rusia menggunakan email atur ulang kata sandi palsu untuk mencuri ribuan email dari kampanye kepresidenan Amerika Serikat Hillary Clinton pada tahun 2016.1
Karena penipuan phishing memanipulasi manusia, alat dan teknik pemantauan jaringan standar tidak selalu dapat menangkap serangan yang sedang berlangsung. Faktanya, dalam serangan kampanye Clinton, bahkan meja bantuan TI kampanye mengira bahwa email pengaturan ulang kata sandi palsu itu asli.
Untuk memerangi phishing, organisasi harus menggabungkan alat deteksi ancaman tingkat lanjut dengan pendidikan karyawan yang kuat untuk memastikan bahwa pengguna dapat mengidentifikasi secara akurat dan merespons upaya penipuan dengan aman.
Tim X-Force kami yang terdiri dari para peretas, penanggap, peneliti, dan analis intelijen tersedia untuk mendiskusikan tantangan keamanan spesifik organisasi Anda dan bagaimana kami dapat membantu.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Kata "phishing" mengacu pada fakta bahwa penipu menggunakan "umpan" yang menarik untuk mengelabui korban mereka, sama seperti nelayan menggunakan umpan untuk mengaitkan ikan yang sebenarnya. Dalam phishing, umpan adalah pesan penipuan yang tampak kredibel dan membangkitkan emosi yang kuat seperti ketakutan, keserakahan, dan rasa ingin tahu.
Jenis umpan yang digunakan penipu phishing bergantung pada siapa dan apa yang mereka cari. Beberapa contoh umum dari serangan phishing meliputi:
Dalam phishing email massal, penipu mengirim email spam tanpa pandang bulu ke sebanyak mungkin orang, dengan harapan sebagian kecil dari targetnya akan terjebak dalam serangan tersebut.
Penipu sering kali membuat email yang tampaknya berasal dari bisnis besar dan sah, seperti bank, peritel online, atau pembuat aplikasi populer. Dengan menyamar sebagai merek terkenal, penipu meningkatkan kemungkinan target mereka adalah pelanggan dari merek-merek tersebut. Jika target secara rutin berinteraksi dengan sebuah merek, mereka cenderung membuka email phishing yang mengatasnamakan merek tersebut.
Penjahat siber berusaha keras untuk membuat email phishing tampak asli. Mereka mungkin menggunakan logo dan merek pengirim yang ditiru. Mereka mungkin memalsukan alamat email untuk membuatnya tampak seperti pesan yang berasal dari nama domain pengirim yang ditiru. Mereka bahkan mungkin menyalin email asli dari pengirim yang ditiru dan memodifikasinya untuk tujuan jahat.
Penipu menulis baris subjek email untuk menarik emosi yang kuat atau menciptakan rasa urgensi. Penipu yang cerdas menggunakan subjek yang mungkin benar-benar ditangani oleh pengirim yang menyamar, seperti "Ada masalah dengan pesanan Anda" atau "Faktur Anda terlampir".
Isi email menginstruksikan penerima untuk melakukan tindakan yang tampaknya masuk akal yang berakibat membocorkan informasi sensitif atau mengunduh malware. Misalnya, tautan phishing mungkin berbunyi, "Klik di sini untuk memperbarui profil Anda." Ketika korban mengklik tautan berbahaya tersebut, itu membawa mereka ke situs web palsu yang mencuri kredensial login mereka.
Beberapa penipu mengatur waktu kampanye phishing mereka agar selaras dengan hari libur dan acara lain di mana orang lebih rentan terhadap tekanan. Misalnya, serangan phishing terhadap pelanggan Amazon sering kali melonjak di sekitar Prime Day, acara penjualan tahunan pengecer online.2 Penipu mengirim email tentang kesepakatan palsu dan masalah pembayaran untuk memanfaatkan kelengahan penerima.
Phishing tombak adalah serangan phishing yang ditargetkan pada individu tertentu. Targetnya biasanya seseorang yang memiliki akses istimewa ke data sensitif atau otoritas khusus yang dapat dieksploitasi oleh penipu, seperti manajer keuangan yang dapat memindahkan uang dari rekening perusahaan.
Seorang phisher tombak mempelajari target mereka untuk mengumpulkan informasi yang mereka butuhkan untuk menyamar sebagai seseorang yang dipercaya oleh target, seperti teman, atasan, rekan kerja, vendor, atau lembaga keuangan. Media sosial dan situs jejaring profesional—di mana orang-orang secara terbuka memberi selamat kepada rekan kerja, mendukung vendor, dan cenderung berbagi secara berlebihan—merupakan sumber informasi yang kaya untuk penelitian phishing tombak.
Phisher tombak menggunakan penelitian mereka untuk membuat pesan yang berisi detail pribadi tertentu, membuatnya tampak sangat kredibel bagi target. Misalnya, phisher tombak mungkin menyamar sebagai bos target dan mengirim email yang berbunyi: "Saya tahu Anda akan pergi malam ini untuk liburan, tetapi bisakah Anda membayar faktur ini sebelum penutupan bisnis hari ini?"
Serangan phishing tombak yang ditujukan kepada eksekutif tingkat C, individu kaya, atau target bernilai tinggi lainnya disebut whale phishing atau serangan paus.
BEC adalah kelas serangan phishing tombak yang berupaya mencuri uang atau informasi berharga—misalnya, rahasia dagang, data pelanggan, atau informasi keuangan—dari bisnis atau organisasi lain.
Serangan BEC dapat berupa beberapa bentuk. Dua yang paling umum termasuk:
- Penipuan CEO: Penipu menyamar sebagai eksekutif tingkat C, sering kali dengan membajak akun email eksekutif tersebut. Penipu mengirimkan pesan kepada karyawan yang lebih rendah yang menginstruksikan mereka untuk mentransfer dana ke rekening palsu, melakukan pembelian dari vendor palsu, atau mengirim file ke pihak yang tidak berwenang.
- Penyusupan akun email (EAC): Penipu menyusup ke akun email karyawan tingkat bawah, seperti akun manajer di bidang keuangan, penjualan, atau penelitian dan pengembangan. Penipu menggunakan akun tersebut untuk mengirimkan faktur palsu ke vendor, menginstruksikan karyawan lain untuk melakukan pembayaran palsu, atau meminta akses ke data rahasia.
Serangan BEC dapat menjadi salah satu serangan siber yang paling mahal, dengan penipu yang sering kali mencuri jutaan dolar sekaligus. Dalam satu contoh penting, sekelompok penipu mencuri lebih dari USD 100 juta dari Facebook dan Google dengan menyamar sebagai vendor perangkat lunak yang sah.3
Beberapa penipu BEC beralih dari taktik profil tinggi ini dan memilih untuk meluncurkan serangan kecil terhadap lebih banyak target. Menurut Anti-Phishing Working Group (APWG), serangan BEC semakin sering terjadi pada tahun 2023, tetapi rata-rata penipu meminta lebih sedikit uang pada setiap serangan.4
SMS phishing, atau smishing, menggunakan pesan teks palsu untuk mengelabui target. Penipu biasanya menyamar sebagai penyedia layanan nirkabel korban, mengirimkan pesan yang menawarkan "hadiah gratis" atau meminta pengguna untuk memperbarui informasi kartu kredit mereka.
Beberapa smisher menyamar sebagai Layanan Pos AS atau perusahaan pengiriman lain. Mereka mengirim teks yang memberi tahu korban bahwa mereka harus membayar biaya untuk menerima paket yang mereka pesan.
Voice phishing (phishing suara), atau vishing, adalah phishing melalui panggilan telepon. Insiden Vishing telah meledak dalam beberapa tahun terakhir, dengan peningkatan kasus sebesar 260% antara tahun 2022 dan 2023 menurut APWG.5 Munculnya vishing sebagian disebabkan oleh ketersediaan teknologi voice over IP (VoIP), yang dapat digunakan penipu untuk membuat jutaan panggilan vishing otomatis per hari.
Penipu sering menggunakan spoofing ID penelepon untuk membuat panggilan mereka tampak berasal dari organisasi yang sah atau nomor telepon lokal. Panggilan vishing biasanya menakut-nakuti penerima dengan peringatan masalah pemrosesan kartu kredit, pembayaran yang terlambat, atau masalah dengan hukum. Penerima akhirnya memberikan data sensitif atau uang kepada penjahat siber untuk “menyelesaikan” masalah mereka.
Phishing media sosial menggunakan platform media sosial untuk menipu orang. Para penipu menggunakan kemampuan perpesanan bawaan platform—misalnya, Facebook Messenger, LinkedIn InMail, dan DM X (sebelumnya Twitter)—dengan cara yang sama seperti mereka menggunakan email dan pesan teks.
Penipu sering menyamar sebagai pengguna yang membutuhkan bantuan target untuk masuk ke akun mereka atau memenangkan kontes. Mereka menggunakan tipuan ini untuk mencuri kredensial login target dan mengambil alih akun mereka di platform. Serangan ini bisa sangat merugikan korban yang menggunakan kata sandi yang sama di beberapa akun, sebuah praktik yang sangat umum terjadi.
Penipu terus-menerus merancang teknik phishing baru untuk menghindari deteksi. Beberapa perkembangan terakhir meliputi:
Phishing AI menggunakan alat kecerdasan buatan (AI) generatif untuk membuat pesan phishing. Alat-alat ini dapat menghasilkan email dan pesan teks yang disesuaikan yang tidak memiliki kesalahan ejaan, inkonsistensi tata bahasa, dan tanda bahaya umum lainnya dari upaya phishing.
AI generatif juga dapat membantu penipu meningkatkan operasi mereka. Menurut X-Force Threat Intelligence IndexIBM, penipu membutuhkan waktu 16 jam untuk membuat email phishing secara manual. Dengan AI, penipu dapat membuat pesan yang lebih meyakinkan hanya dalam lima menit.
Penipu juga menggunakan generator gambar dan penyintesis suara untuk menambah kredibilitas lebih lanjut ke skema mereka. Sebagai contoh, pada tahun 2019, para penyerang menggunakan AI untuk melakukan kloning suara seorang CEO perusahaan energi dan menipu seorang manajer bank sebesar USD 243.000.7
Quishing menggunakan kode QR palsu yang disematkan dalam email dan pesan teks atau diposting di dunia nyata. Quishing memungkinkan peretas menyembunyikan situs web dan perangkat lunak berbahaya di depan mata.
Sebagai contoh, Komisi Perdagangan Federal AS (FTC) tahun lalu memperingatkan tentang penipuan di mana para penjahat mengganti kode QR di meteran parkir umum dengan kode mereka sendiri yang mencuri data pembayaran.6
Serangan hybrid vishing menggabungkan phishing suara dengan metode lain untuk menghindari filter spam dan mendapatkan kepercayaan korban.
Misalnya, penipu mungkin mengirim email yang mengaku berasal dari IRS. Email ini memberi tahu target bahwa ada masalah dengan pengembalian pajak mereka. Untuk mengatasi masalah ini, target harus menghubungi nomor telepon yang disediakan dalam email, yang menghubungkan mereka langsung ke penipu.
Detailnya dapat bervariasi dari satu penipuan ke penipuan lainnya, tetapi ada beberapa tanda umum yang mengindikasikan bahwa pesan tersebut mungkin merupakan upaya phishing. Tanda-tanda ini meliputi:
Penipuan phishing mencoba membuat korban merasakan urgensi sehingga mereka bertindak cepat tanpa berpikir. Penipu sering melakukan ini dengan memunculkan emosi yang kuat seperti ketakutan, keserakahan, dan rasa ingin tahu. Mereka mungkin memberlakukan batas waktu dan mengancam konsekuensi yang tidak realistis, seperti waktu penjara.
Masalah phishing yang umum meliputi:
- "Ada masalah dengan rekening atau informasi keuangan Anda. Anda harus segera memperbaruinya agar tidak kehilangan akses."
- "Kami telah mendeteksi aktivitas ilegal. Bayar denda ini sekarang, atau Anda akan ditangkap."
- "Anda telah memenangkan hadiah gratis, tetapi hadiah harus diklaim sekarang."
- " Faktur ini sudah terlambat. Anda harus segera membayarnya, atau kami akan menonaktifkan layanan Anda."
- "Kami memiliki peluang investasi yang menarik untuk Anda. Setorkan uang sekarang, dan kami dapat menjamin pengembalian yang luar biasa."
Penipuan phishing biasanya meminta salah satu dari dua hal: uang atau data. Permintaan pembayaran atau informasi pribadi yang tidak diminta atau tidak terduga dapat menjadi tanda serangan phishing.
Penipu menyamarkan permintaan uang mereka sebagai faktur yang terlambat, denda, atau biaya untuk layanan. Mereka menyamarkan permintaan informasi sebagai pemberitahuan untuk memperbarui pembayaran atau informasi akun atau mengatur ulang kata sandi.
Banyak geng phishing yang beroperasi secara internasional, yang berarti mereka sering menulis pesan phishing dalam bahasa yang tidak mereka kuasai. Oleh karena itu, banyak upaya phishing mengandung kesalahan tata bahasa dan inkonsistensi.
Pesan dari merek yang sah sering kali berisi detail spesifik. Mereka mungkin memanggil pelanggan dengan nama, menyebutkan nomor pesanan tertentu, atau menjelaskan dengan tepat apa masalahnya. Pesan yang tidak jelas seperti "Ada masalah dengan akun Anda" tanpa detail lebih lanjut adalah tanda bahaya.
Penipu sering kali menggunakan URL dan alamat email yang sekilas tampak sah. Misalnya, email dari "admin@rnicrosoft.com" mungkin tampak aman, tetapi coba cermati lagi. "m" di "Microsoft" sebenarnya adalah "r" dan "n".
Taktik umum lainnya adalah menggunakan URL seperti "bankingapp.scamsite.com". Pengguna mungkin mengira ini tertaut ke bankingapp.com, namun sebenarnya ini menunjuk ke subdomain scamsite.com. Peretas mungkin juga menggunakan layanan pemendekan tautan untuk menyamarkan URL berbahaya.
Penipu mungkin mengirim file dan lampiran yang tidak diminta atau diharapkan oleh target. Mereka mungkin menggunakan gambar teks dan bukan teks sebenarnya dalam pesan dan halaman web untuk menghindari filter spam.
Beberapa penipu merujuk pada isu-isu penting untuk membuat korbannya gusar. Misalnya, IBM X-Force menemukan bahwa penipu biasanya menggunakan konflik di Ukraina untuk memicu emosi target.
Karena penipuan phishing menargetkan manusia, karyawan sering kali menjadi garis pertahanan pertama dan terakhir organisasi terhadap serangan ini. Organisasi dapat mengajari pengguna cara mengenali tanda-tanda upaya phishing dan menanggapi email dan pesan teks yang mencurigakan. Ini dapat mencakup memberi karyawan cara mudah untuk melaporkan upaya phishing ke tim TI atau keamanan.
Organisasi juga dapat menetapkan kebijakan dan praktik yang mempersulit penipu untuk berhasil.
Misalnya, organisasi dapat melarang karyawan mentransfer uang melalui email. Mereka dapat meminta karyawan untuk memverifikasi permintaan uang atau informasi dengan menghubungi pemohon melalui cara lain selain yang disediakan dalam pesan. Sebagai contoh, karyawan dapat mengetik URL langsung ke browser mereka daripada mengklik tautan atau menelepon saluran kantor rekan kerja daripada membalas teks dari nomor yang tidak dikenal.
Organisasi dapat melengkapi pelatihan karyawan dan kebijakan perusahaan dengan alat keamanan yang membantu mendeteksi pesan phishing dan menggagalkan peretas yang menggunakan phishing untuk membobol jaringan.
- Filter spam dan perangkat lunak keamanan email menggunakan data tentang penipuan phishing yang ada dan algoritme machine learning untuk mengidentifikasi email phishing dan pesan spam lainnya. Penipuan dan spam kemudian dipindahkan ke folder terpisah, di mana tautan dan kode berbahaya diberantas.
- Perangkat lunak antivirus dan antimalware dapat mendeteksi dan menetralisir file atau kode berbahaya yang dibawa oleh email phishing.
- Autentikasi multifaktor dapat mencegah peretas mengambil alih akun pengguna. Phisher dapat mencuri kata sandi, tetapi mereka lebih sulit mencuri faktor kedua seperti pemindaian sidik jari atau kode sandi sekali pakai.
- Alat keamanan titik akhir seperti solusi deteksi dan respons titik akhir (EDR) dan manajemen titik akhir terpadu (UEM) dapat menggunakan kecerdasan buatan (AI) dan analitik tingkat lanjut untuk mencegat upaya phishing dan memblokir malware.
- Filter web mencegah pengguna mengunjungi situs web yang diketahui berbahaya dan menampilkan peringatan setiap kali pengguna mengunjungi halaman yang mencurigakan. Alat-alat ini dapat membantu mengurangi kerugian jika pengguna mengklik tautan phishing.
- Solusi keamanan siber perusahaan, seperti platform orkestrasi keamanan, otomatisasi dan respons (SOAR), dan informasi keamanan dan manajemen acara (SIEM), menggunakan AI dan otomatisasi untuk mendeteksi dan merespons aktivitas anomali. Solusi ini dapat membantu menghentikan phisher yang mencoba menginstal malware atau mengambil alih akun.
Lakukan penilaian risiko yang didorong oleh AI hampir real-time dan lindungi aplikasi dan data penting dengan solusi keamanan seluler IBM.
Memberikan pengalaman pelanggan yang lancar dan membangun kepercayaan identitas digital dengan deteksi penipuan real-time yang didukung oleh AI.
IBM Security Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Ikuti perkembangan berita, tren, dan teknik pencegahan phishing di Security Intelligence, blog thought leadership oleh IBM Security.
Pelajari alasan dan cara organisasi menggunakan simulasi phishing untuk memperkuat pertahanan terhadap serangan rekayasa sosial.
Bersiaplah dengan lebih baik untuk menghadapi pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biaya. Berdasarkan pengalaman lebih dari 550 organisasi yang menghadapi pelanggaran data di dunia nyata.
Catatan kaki
Semua tautan berada di luar ibm.com
1 Bagaimana peretas Rusia membobol email kampanye Clinton. Pers Terkait. 4 November 2017.
2 Bagaimana penjahat siber menargetkan pembeli Amazon Prime Day. TechRepublic. 6 Juli 2022.
3 Bagaimana penipu ini menggunakan email phishing untuk mencuri lebih dari USD 100 juta dari Google dan Facebook. CNBC. 27 Maret 2019.
4, 5 Laporan Tren Aktivitas Phishing (PDF, 3,6 MB). Kelompok Kerja Anti-Phishing. 13 Februari 2024.
6 Quishing adalah phishing jenis baru. ZDNET. 11 Desember 2023.
7 Panggilan panik dari seorang kerabat? Bisa jadi itu adalah pencuri yang menggunakan kloning suara, FTC memperingatkan. NPR. 22 Maret 2023.