Skema phishing terus dikembangkan oleh para penjahat siber. Laporan terbaru Kaspersky mengungkap terkait adanya skema phishing yang menimbulkan ancaman terhadap sistem perusahaan dengan menargetkan karyawan. Skema penipuan ini menampilkan dirinya sebagai bentuk evaluasi kinerja karyawan yang berasal dari departemen SDM namun memiliki agenda berbahaya yaitu mencuri informasi sensitif.
Merupakan praktik umum dalam organisasi besar dimana karyawan berbagi pemikiran mengenai aspirasi karir, bidang minat, atau pencapaian di luar deskripsi pekerjaan mereka. Biasanya, diskusi semacam ini hanya dilakukan setahun sekali pada saat evaluasi kinerja.
Namun, banyak karyawan yang ingin memiliki lebih banyak kesempatan untuk berkomunikasi dengan manajemen. Ketika email yang mengundang untuk berpartisipasi dalam evaluasi diri tiba, terutama jika itu dituliskan bersifat “wajib”, para penjahat siber sering kali memanfaatkan kesempatan tersebut tanpa ragu-ragu. Inilah celah yang dieksploitasi oleh penjahat siber dalam kampanye spear-phishing terbaru mereka.
Dalam skema penipuan ini, penjahat siber mengirimkan email yang dibuat secara meyakinkan agar tampak seolah-olah berasal dari departemen SDM. Email ini menawarkan formulir evaluasi diri sebagai cara bagi karyawan untuk berinteraksi dengan manajer mereka. Namun, email-email yang menipu ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas.
Pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal. Kedua, email tersebut memberikan tekanan dengan menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja, sebuah taktik umum yang digunakan oleh penipu untuk menciptakan rasa urgensi.
Selain itu, ketika penerima mengklik link yang disediakan, mereka akan menghadapi pertanyaan yang, pada pandangan pertama, tampak tidak berbahaya. Namun, sifat sebenarnya dari skema tersebut menjadi jelas dalam tiga pertanyaan terakhir, yang meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.
Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata “kata sandi/password” disembunyikan, sehingga menambah kecanggihan penipuan.
“Kami menghimbau karyawan perusahaan untuk berhati-hati saat menerima email seperti itu, terutama yang menyerupai komunikasi HR. Untuk melindungi data mereka, sangat penting untuk memverifikasi keaslian permintaan evaluasi diri yang tidak diminta secara langsung dengan departemen SDM mereka,” komentar Roman Dedenok, pakar keamanan di Kaspersky.
Untuk menjaga data agar terlindungi dari serangan dan kebocoran phishing, para ahli Kaspersky merekomendasikan:
- Berhati-hatilah terhadap pesan dari pengirim yang tidak dikenal: Serangan phishing sering kali datang dari pengirim yang tidak dikenal atau tampak mencurigakan. Jika Anda menerima pesan dari pengguna atau nomor yang tidak dikenal, jangan klik tautan maupun berikan informasi pribadi apa pun.
- Gunakan kata sandi yang kuat: Gunakan kata sandi unik untuk semua akun aplikasi perpesanan Anda. Hindari penggunaan kata sandi yang sama di beberapa akun, dan pertimbangkan untuk menggunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi yang kuat.
- Verifikasi keaslian tautan: Sebelum mengeklik tautan apa pun, periksa apakah tautan tersebut sah. Penipu sering kali membuat situs web palsu yang terlihat mirip dengan situs asli, jadi penting untuk memeriksa ulang URL-nya sebelum memasukkan kredensial login atau informasi sensitif lainnya.
- Gunakan autentikasi dua faktor: Menambahkan lapisan keamanan ekstra ke akun Anda dapat membantu mencegah akses tidak sah. Aktifkan autentikasi dua faktor pada aplikasi perpesanan untuk memastikan bahwa hanya Anda yang dapat mengakses akun Anda.
- Gunakan solusi keamanan: solusi keamanan yang andal akan melindungi perangkat Anda dari berbagai jenis ancaman.
