Apa yang dimaksud dengan whale phishing?

Target whale phishing adalah para eksekutif tingkat C (CEO, CFO, COO), eksekutif senior lainnya, pemegang jabatan politik, dan pemimpin organisasi yang dapat mengesahkan pembayaran dalam jumlah besar atau transfer bank atau merilis informasi sensitif tanpa persetujuan dari orang lain. Target ini disebut sebagai whales (paus) yang merupakan istilah slang untuk pelanggan (atau penjudi) yang memiliki akses ke lebih banyak uang daripada rata-rata orang.

Penting untuk memahami bagaimana phishing, phishing tombak, dan whale phishing saling berkaitan, terutama karena istilah-istilah ini sering digunakan secara bergantian, secara tidak benar atau tanpa konteks.

Phishing adalah email palsu, pesan teks, atau panggilan telepon yang dirancang untuk mengelabui pengguna agar mengunduh malware (melalui tautan berbahaya atau lampiran file), berbagi informasi sensitif, mengirim uang kepada penjahat, atau mengambil tindakan lain yang membuat diri mereka atau organisasi mereka rentan terhadap kejahatan siber.

Siapa pun yang memiliki komputer atau ponsel cerdas telah menerima serangan phishing massal , pada dasarnya pesan formulir yang tampaknya berasal dari bisnis atau organisasi terkenal, menggambarkan situasi umum atau kredibel, dan menuntut tindakan segera, misalnya, Kartu kredit Anda telah ditolak. Klik tautan di bawah ini untuk memperbarui informasi pembayaran Anda. Penerima yang mengklik tautan tersebut akan dibawa ke situs web berbahaya yang dapat mencuri nomor kartu kredit mereka atau mengunduh malware ke komputer mereka.

Kampanye phishing massal adalah permainan angka. Penyerang mengirim pesan ke sebanyak mungkin orang, mengetahui bahwa beberapa persentase akan tertipu untuk mengambil umpan. Satu studi mendeteksi lebih dari 255 juta pesan phishing selama periode enam bulan pada tahun 2022. Menurut Laporan Biaya Pelanggaran Data 2024 dari IBM, phishing adalah penyebab paling umum kedua dari pelanggaran data pada tahun 2024, dan metode yang paling umum untuk mengirimkan ransomware kepada korban.

Phishing tombak adalah serangan phishing yang menargetkan individu atau sekelompok individu tertentu dalam sebuah organisasi. Serangan phishing tombak biasanya dilancarkan terhadap manajer tingkat menengah yang dapat mengotorisasi pembayaran atau transfer data, termasuk manajer keuangan dan direktur sumber daya manusia, oleh penyerang yang menyamar sebagai rekan kerja yang memiliki otoritas atas target, atau sebagai kolega (vendor, mitra bisnis, penasihat) yang dipercaya oleh target.

Serangan phishing tombak lebih personal dibandingkan serangan phishing massal, dan membutuhkan lebih banyak pekerjaan dan penelitian. Namun kerja ekstra tersebut dapat membuahkan hasil bagi para penjahat siber. Sebagai contoh, phisher tombak mencuri lebih dari USD 100 juta dari Facebook dan Google antara tahun 2013 dan 2015 dengan menyamar sebagai vendor yang sah dan mengelabui karyawan untuk membayar faktur palsu.

Serangan whale phishing atau serangan whaling adalah serangan phishing tombak yang ditujukan secara eksklusif kepada eksekutif atau pejabat tingkat tinggi. Penyerang biasanya menyamar sebagai rekan kerja di dalam organisasi target, atau kolega atau rekan kerja yang setara atau lebih tinggi dari organisasi lain.

Pesan whale phishing sangat dipersonalisasi. Penyerang berusaha keras untuk meniru gaya penulisan pengirim yang sebenarnya dan, jika memungkinkan, konteks referensi dari percakapan bisnis yang sedang berlangsung. Whale phishing sering kali memata-matai percakapan antara pengirim dan target; banyak yang akan mencoba membajak akun email atau pesan teks pengirim yang sebenarnya untuk mengirimkan pesan serangan langsung dari sana, demi keaslian yang tertinggi.

Karena serangan perburuan paus menargetkan individu yang dapat memberikan otorisasi pembayaran yang lebih besar, serangan ini menawarkan potensi imbalan langsung yang lebih tinggi bagi penyerang.

Whaling kadang-kadang disamakan dengan kompromi email bisnis (BEC), jenis lain dari serangan phishing tombak di mana penyerang mengirimkan email penipuan target yang tampaknya berasal dari rekan kerja atau kolega. BEC tidak selalu merupakan whaling (karena sering menargetkan karyawan tingkat bawah), dan whaling tidak selalu merupakan BEC (karena tidak selalu melibatkan email), tetapi banyak serangan whaling yang paling mahal juga melibatkan serangan BEC. Sebagai contoh:

• Pada tahun 2015, Ubiquity Networks kehilangan hampir 47 juta dolar AS hanya dalam waktu 17 hari ketika penyerang whale phishing yang menyamar sebagai CEO dan Kepala Penasihat perusahaan mengirimkan email yang meyakinkan Kepala Bagian Akuntansi untuk melakukan serangkaian transfer untuk membiayai akuisisi rahasia.
  
  
• Pada tahun 2018, Pathe Film Group kehilangan EUR 19,2 juta (USD 21 juta) ketika penipu yang berpura-pura menjadi CEO di kantor pusat Pathe di Prancis mengirim email ke CEO kantor Pathe di Belanda, meminta transfer uang untuk mendanai akuisisi.
  
  
• Juga pada tahun 2018, penyerang yang menyamar sebagai CEO, eksekutif senior, dan penasihat hukum perusahaan Italia Tecnimont SpA menipu pemimpin unit bisnis perusahaan di India untuk mentransfer INR 1,3 miliar (USD 18,25 juta) ke bank di Hong Kong, yang juga seolah-olah untuk mendanai sebuah akuisisi. Sebagai bagian dari penipuan ini, para penyerang mengambil langkah ekstra dengan melakukan beberapa panggilan konferensi palsu untuk mendiskusikan detail "akuisisi."

Phishing, phishing tombak, dan whale phishing adalah contoh-contoh serangan rekayasa sosial-serangan yang terutama mengeksploitasi kerentanan manusia dan bukan kerentanan teknis untuk membahayakan keamanan. Karena mereka meninggalkan bukti digital yang jauh lebih sedikit daripada malware atau peretasan, serangan ini bisa jadi jauh lebih sulit dideteksi atau dicegah oleh tim keamanan dan profesional keamanan siber.

Sebagian besar serangan pembajakan bertujuan untuk mencuri uang dalam jumlah besar dari sebuah organisasi, dengan mengelabui pejabat tingkat tinggi untuk membuat, mengesahkan, atau memerintahkan transfer uang ke vendor atau rekening bank palsu. Namun serangan whaling juga bisa memiliki tujuan lain

• Mencuri data sensitif atau informasi rahasia. Ini dapat mencakup pencurian data pribadi, seperti informasi penggajian karyawan atau data keuangan pribadi pelanggan. Tetapi penipuan whale phishing juga dapat menargetkan kekayaan intelektual, rahasia dagang, dan informasi sensitif lainnya.
  
  
• Mencuri kredensial pengguna. Beberapa penjahat siber akan meluncurkan serangan whale phishing awal untuk mencuri kredensial email, sehingga mereka dapat meluncurkan serangan whale phishing berikutnya dari akun email yang dibajak. Yang lain menggunakan kredensial untuk mendapatkan akses tingkat tinggi ke aset atau data di jaringan target.
  
  
• Menanam malware. Sebagian kecil serangan whale phishing mencoba mengelabui target untuk menyebarkan ransomware atau malware lainnya dengan membuka lampiran file berbahaya atau mengunjungi situs web berbahaya.

Sekali lagi, sebagian besar serangan whale phishing dimotivasi oleh keserakahan. Namun, mereka juga dapat dimotivasi oleh dendam pribadi terhadap seorang eksekutif atau perusahaan, tekanan persaingan, atau aktivisme sosial atau politik. Serangan whaling terhadap pejabat tinggi pemerintah bisa jadi merupakan tindakan terorisme siber independen atau yang disponsori negara.

Penjahat siber memilih target yang memiliki akses ke tujuan mereka, dan pengirim yang memiliki akses ke target mereka. Misalnya, penjahat siber yang ingin mencegat pembayaran ke mitra rantai pasokan perusahaan mungkin mengirim faktur kepada CFO perusahaan dan meminta pembayaran dari CEO mitra rantai pasokan. Seorang penyerang yang ingin mencuri data karyawan mungkin berpura-pura sebagai CFO dan meminta informasi penggajian dari VP sumber daya manusia.

Untuk membuat pesan pengirim menjadi kredibel dan meyakinkan, para penipu whaling melakukan riset secara menyeluruh terhadap target dan pengirimnya, serta organisasi tempat mereka bekerja.

Berkat banyaknya orang yang berbagi dan bercakap-cakap di media sosial dan di tempat lain secara online, para penipu dapat menemukan banyak informasi yang mereka butuhkan hanya dengan mencari di situs media sosial atau web. Sebagai contoh, hanya dengan mempelajari profil LinkedIn target potensial, penyerang dapat mempelajari jabatan pekerjaan, tanggung jawab, alamat email perusahaan, nama departemen, nama dan jabatan rekan kerja dan mitra bisnis, acara yang baru saja dihadiri, dan rencana perjalanan bisnis.

Bergantung pada target, media arus utama, bisnis, dan lokal dapat memberikan informasi tambahan, seperti kesepakatan yang dikabarkan atau yang telah diselesaikan, proyek yang ditawar, dan proyeksi biaya pembangunan yang dapat digunakan oleh para penipu. Peretas sering kali dapat membuat email spear phishing yang meyakinkan hanya dengan beberapa pencarian umum di Google.

Tetapi ketika mempersiapkan serangan whale phishing, scammers akan sering mengambil langkah ekstra penting untuk meretas target dan pengirim untuk mengumpulkan materi tambahan. Ini bisa sesederhana menginfeksi komputer target dan pengirim dengan spyware yang memungkinkan scammer untuk melihat konten file untuk penelitian tambahan. Penipu yang lebih ambisius akan meretas jaringan pengirim dan mendapatkan akses ke akun email atau pesan teks pengirim, di mana mereka dapat mengamati dan menyisipkan diri mereka ke dalam percakapan yang sebenarnya.

Ketika tiba waktunya untuk menyerang, penipu akan mengirimkan pesan serangan. Pesan whale phishing yang paling efektif tampaknya sesuai dengan konteks percakapan yang sedang berlangsung, termasuk referensi terperinci tentang proyek atau kesepakatan tertentu, menyajikan situasi yang kredibel (taktik rekayasa sosial yang disebut pretexting), dan membuat permintaan yang sama kredibelnya. Sebagai contoh, seorang penyerang yang menyamar sebagai CEO perusahaan dapat mengirimkan pesan ini kepada CFO:

Sesuai dengan percakapan kami kemarin, terlampir adalah faktur dari pengacara yang menangani akuisisi BizCo. Harap bayar sebelum pukul 17:00 ET besok seperti yang ditentukan dalam kontrak. Terima kasih.

Dalam contoh ini, faktur yang dilampirkan bisa jadi merupakan salinan faktur dari firma hukum, yang dimodifikasi untuk pembayaran langsung ke rekening bank penipu.

Agar terlihat otentik bagi target, pesan perburuan paus dapat menggunakan beberapa taktik rekayasa sosial, termasuk:

• Domain email palsu. Jika penyerang tidak dapat meretas akun email pengirim, mereka akan membuat domain email yang mirip (misalnya,bill.smith@cornpany.com untuk bill.smith@company.com). Email yang disalin mungkin juga berisi tanda tangan email yang disalin, pernyataan privasi, dan petunjuk visual lainnya yang membuatnya tampak asli secara sekilas.
  
  
• Rasa urgensi. Tekanan waktu, misalnya, referensi tentang tenggat waktu yang kritis atau denda keterlambatan, dapat mendorong target untuk bertindak lebih cepat tanpa pertimbangan yang cermat atas permintaan tersebut.
  
  
• Desakan untuk menjaga kerahasiaan. Pesan whaling sering kali berisi instruksi seperti tolong jangan beri tahu orang lain dulu, agar target tidak memberitahukannya kepada orang lain yang mungkin mempertanyakan permintaan tersebut.
  
  
• Pencadangan phishing suara (vishing). Semakin banyak, pesan phishing menyertakan nomor telepon yang dapat dihubungi target untuk konfirmasi. Beberapa scammer menindaklanjuti email phishing dengan pesan suara yang menggunakan peniruan identitas berbasis kecerdasan buatan dari suara pengirim yang diduga.

Serangan whale phishing, seperti semua serangan phishing, adalah salah satu serangan siber yang paling sulit untuk dilawan, karena tidak selalu dapat diidentifikasi oleh alat keamanan siber tradisional (berbasis tanda tangan). Dalam banyak kasus, penyerang hanya perlu melewati pertahanan keamanan “manusia”. Serangan whale phishing sangat menantang karena sifatnya yang ditargetkan dan konten yang dipersonalisasi membuatnya lebih meyakinkan kepada target atau pengamat.

Namun, ada beberapa langkah yang bisa diambil organisasi untuk membantu mengurangi dampak whale phishing, atau bahkan mencegah jenis serangan ini sama sekali.

Pelatihan kesadaran keamanan.Karena whale phishing mengeksploitasi kerentanan manusia, pelatihan karyawan merupakan garis pertahanan yang penting untuk melawan serangan ini. Pelatihan anti-phishing mungkin termasuk:

• Mengajari karyawan teknik untuk mengenali email yang mencurigakan (misalnya, memeriksa nama pengirim email untuk mengetahui nama domain palsu)
  
  
• Tips menghindari “berbagi berlebihan” di situs jejaring sosial
  
  
• Menekankan kebiasaan kerja yang aman, misalnya, tidak pernah membuka lampiran yang tidak diminta, mengonfirmasi permintaan pembayaran yang tidak biasa melalui saluran kedua, menelepon vendor untuk mengonfirmasi faktur, menavigasi langsung ke situs web alih-alih mengklik tautan dalam email
  
  
• Simulasi whale phishing di mana para eksekutif dapat menerapkan apa yang mereka pelajari

Autentikasi multi-faktor dan adaptif. Menerapkan autentikasi multi-faktor (membutuhkan satu atau lebih kredensial selain nama pengguna dan kata sandi) dan/atau autentikasi adaptif (membutuhkan kredensial tambahan saat pengguna masuk dari perangkat atau lokasi yang berbeda) dapat mencegah peretas untuk mendapatkan akses ke akun email pengguna, bahkan jika mereka dapat mencuri kata sandi email pengguna.

Perangkat lunak keamanan. Tidak ada satu pun perangkat keamanan yang dapat mencegah whale phishing secara keseluruhan, tetapi beberapa perangkat dapat berperan dalam mencegah serangan whale phishing atau meminimalkan kerusakan yang ditimbulkannya:

• Beberapa alat keamanan email, termasuk perangkat lunak anti-phishing berbasis AI, filter spam, dan gateway email aman, dapat membantu mendeteksi dan mengalihkan email perburuan paus.
  
  
• Perangkat lunak antivirus dapat membantu menetralisir spyware atau malware yang mungkin digunakan penyerang untuk meretas jaringan target untuk melakukan penelitian, menguping percakapan, atau mengendalikan akun email. Ini juga dapat membantu menetralisir infeksi ransomware atau malware yang disebabkan oleh whale phishing.
  
  
• Patch sistem dan perangkat lunak dapat menutup kerentanan teknis yang biasanya dieksploitasi oleh pelaku spear phishing.
  
  
• Gerbang web yang aman dan alat penyaringan web lainnya dapat memblokir situs web berbahaya yang ditautkan dalam email whale phishing.
  
  
• Solusi keamanan perusahaan dapat membantu tim keamanan dan pusat operasi keamanan (SOC) mendeteksi dan mencegat lalu lintas berbahaya dan aktivitas jaringan yang terkait dengan serangan whale phishing. Solusi ini mencakup (namun tidak terbatas pada) orkestrasi keamanan, otomatisasi dan respons (SOAR), manajemen insiden dan peristiwa keamanan (SIEM), deteksi dan respons titik akhir (EDR), deteksi dan respons jaringan (NDR), dan deteksi dan respons yang diperluas (XDR).