Sebuah laporan dikeluarkan Kaspersky terkait serangan siber yang menyasar perusahaan, khususnya di departemen pemasaran.
Ketika menyerang bisnis, fokus biasanya terletak pada empat aspek: keuangan, kekayaan intelektual, data pribadi, dan infrastruktur TI. Namun, kita tidak boleh lupa bahwa penjahat siber juga dapat menargetkan aset perusahaan yang dikelola oleh humas dan pemasaran (marketing) — termasuk email, platform periklanan, saluran media sosial, dan situs promosi. Kaspersky akan memaparkan tips bagi perusahaan untuk dapat mengamankan aset mereka.
Malvertising
Hal yang sangat mengejutkan banyak orang (bahkan pakar InfoSec), penjahat dunia maya telah aktif menggunakan iklan berbayar yang sah selama beberapa tahun. Dengan satu atau lain cara, mereka membayar iklan banner dan penempatan pencarian, serta menggunakan alat promosi perusahaan. Ada banyak contoh dari fenomena ini, yang dikenal dengan nama malvertising (iklan berbahaya).
Biasanya, penjahat dunia maya mengiklankan halaman palsu dari aplikasi populer, kampanye promo palsu dari merek terkenal, dan skema penipuan lainnya yang ditujukan untuk khalayak luas.
Terkadang pelaku ancaman membuat akun iklannya sendiri dan membayar iklannya, namun metode ini meninggalkan terlalu banyak jejak (seperti detail pembayaran). Jadi metode lain lebih menarik bagi mereka: mencuri kredensial login dan meretas akun iklan perusahaan, lalu mempromosikan situs mereka melalui akun tersebut. Hal ini memberikan keuntungan ganda bagi para penjahat dunia maya: mereka dapat membelanjakan uang orang lain tanpa meninggalkan jejak berlebih. Namun perusahaan korban, selain akun iklannya yang rusak, juga mengalami masalah berulang kali — termasuk kemungkinan diblokir oleh platform periklanan karena mendistribusikan konten berbahaya.
Downvoted and unfollowed
Variasi dari skema di atas adalah pengambilalihan akun iklan berbayar di jejaring sosial. Kekhususan platform media sosial menciptakan masalah tambahan bagi perusahaan yang ditargetkan.
Pertama, akses terhadap akun media sosial perusahaan biasanya ditautkan dengan akun pribadi karyawan. Seringkali penyerang cukup membobol komputer pribadi karyawan atau mencuri kata sandi jejaring sosial mereka untuk mendapatkan akses hingga cakupan tindakan yang diberikan oleh perusahaan tempat mereka bekerja. Itu termasuk memposting di halaman jejaring sosial perusahaan, mengirim email ke pelanggan melalui mekanisme komunikasi bawaan, dan memasang iklan berbayar. Mencabut fungsi-fungsi ini dari karyawan yang disusupi sangatlah mudah selama mereka bukan administrator utama halaman perusahaan — dalam hal ini, memulihkan akses akan sangat memakan banyak tenaga.
Kedua, sebagian besar iklan di jejaring sosial berbentuk “postingan promosi” yang dibuat atas nama perusahaan tertentu. Jika penyerang memposting dan mempromosikan penawaran palsu, audiens akan segera melihat siapa yang mempublikasikannya dan dapat menyuarakan keluhan mereka langsung di bawah postingan tersebut. Dalam hal ini, perusahaan tidak hanya akan menderita kerugian finansial namun juga reputasi nyata.
Ketiga, di jejaring sosial, banyak perusahaan menyimpan “audiens khusus” — kumpulan pelanggan khusus yang tertarik dengan berbagai produk dan layanan atau yang sebelumnya pernah mengunjungi situs web perusahaan. Meskipun hal ini biasanya tidak dapat dicuri dari jaringan sosial, sayangnya ada kemungkinan untuk membuat malvertising yang disesuaikan dengan khalayak tertentu sehingga lebih efektif.
Lingkaran tidak terjadwal
Cara lain yang efektif bagi penjahat dunia maya untuk mendapatkan iklan gratis adalah dengan membajak akun di penyedia layanan email. Jika perusahaan yang diserang cukup besar, perusahaan tersebut mungkin mempunyai jutaan pelanggan di milisnya.
Akses ini dapat dieksploitasi dalam beberapa cara: dengan mengirimkan penawaran palsu menarik ke alamat email di database pelanggan; kemudian secara diam-diam mengganti tautan dalam email iklan yang direncanakan; atau hanya dengan mengunduh basis data pelanggan untuk kemudian mengirimi mereka email phishing dengan cara lain.
Sekali lagi, kerugian yang diderita bersifat finansial, reputasi, dan teknis. Yang Kaspersky maksud dengan “teknis” adalah pemblokiran pesan masuk di masa mendatang oleh server email. Dengan kata lain, setelah pengiriman surat berbahaya, perusahaan korban harus menyelesaikan masalah tidak hanya dengan platform pengiriman surat tetapi juga kemungkinan dengan penyedia email tertentu yang telah memblokir Anda karena dianggap sebagai sumber koresponden palsu.
Efek samping yang sangat buruk dari serangan semacam itu adalah kebocoran data pribadi pelanggan. Ini merupakan insiden tersendiri — tidak hanya dapat menimbulkan kerusakan reputasi tetapi juga membuat Anda dikenakan denda dari regulator perlindungan data.
Fifty shades of website
Peretasan situs web bisa saja luput dari perhatian dalam jangka waktu lama — terutama bagi perusahaan kecil yang melakukan bisnis terutama melalui jejaring sosial atau offline. Dari sudut pandang penjahat dunia maya, tujuan peretasan situs web bervariasi tergantung pada jenis situs dan sifat bisnis perusahaan. Terlepas dari kasus-kasus ketika penyusupan situs web merupakan bagian dari serangan siber yang lebih canggih, secara umum Kaspersky dapat membedakannya menjadi beberapa jenis berikut.
Pertama, pelaku ancaman dapat memasang web skimmer di situs e-commerce. Ini adalah bagian kecil JavaScript yang disamarkan dengan baik dan tertanam langsung di kode situs web yang mencuri detail kartu saat pelanggan membayar pembelian. Pelanggan tidak perlu mengunduh atau menjalankan apa pun — mereka cukup membayar barang atau jasa di situs, dan penyerang mengambil uang tersebut.
Kedua, penyerang dapat membuat subbagian tersembunyi di situs dan mengisinya dengan konten berbahaya pilihan mereka. Halaman tersebut dapat digunakan untuk berbagai macam aktivitas kriminal, baik itu hadiah palsu, penjualan palsu, atau mendistribusikan perangkat lunak Trojan. Menggunakan situs web yang sah untuk tujuan ini adalah hal yang ideal, selama pemiliknya tidak menyadari bahwa mereka memiliki “tamu”. Faktanya, ada seluruh industri yang berpusat pada praktik ini. Paling populer adalah situs tanpa pengawasan yang dibuat untuk semacam kampanye pemasaran atau acara satu kali dan kemudian dilupakan.
Kerugian yang dialami perusahaan akibat peretasan situs web sangat luas, dan mencakup: peningkatan biaya terkait situs karena lalu lintas berbahaya; penurunan jumlah pengunjung sebenarnya karena penurunan peringkat situs SEO; potensi perselisihan dengan pelanggan atau penegak hukum mengenai tagihan tak terduga pada kartu pelanggan.
Hotwired web forms
Bahkan tanpa meretas situs web perusahaan, penjahat dunia maya dapat menggunakannya untuk tujuan mereka sendiri. Hal yang mereka butuhkan hanyalah fungsi situs web yang menghasilkan email konfirmasi: formulir umpan balik, formulir janji temu, dan sebagainya. Penjahat dunia maya menggunakan sistem otomatis untuk mengeksploitasi formulir tersebut untuk mengirim spam atau phishing.
Mekanismenya mudah: alamat target dimasukkan ke dalam formulir sebagai email kontak, sedangkan teks email penipuan itu sendiri ada di kolom Nama atau Subjek, misalnya, “Transfer uang Anda siap diterbitkan (tautan)”. Akibatnya, korban menerima email berbahaya yang berbunyi seperti ini: “XXX yang terhormat, transfer uang Anda siap untuk diterbitkan (tautan). Terima kasih sudah menghubungi kami. Kami akan segera menghubungi Anda”. Tentu saja, platform anti-spam pada akhirnya tidak lagi mengizinkan email tersebut masuk, dan formulir perusahaan korban kehilangan sebagian fungsinya. Selain itu, semua penerima pesan semacam itu tidak terlalu memikirkan perusahaan, dan menyamakannya dengan pelaku spam.
Bagaimana melindungi aset PR dan pemasaran dari serangan siber. Karena serangan yang dijelaskan cukup beragam, diperlukan perlindungan mendalam. Berikut langkah-langkah yang harus diambil:
- Menyelenggarakan pelatihan kesadaran keamanan siber di seluruh departemen pemasaran. Ulangi secara teratur;
- Memastikan seluruh karyawan mematuhi praktik terbaik kata sandi: kata sandi yang panjang dan unik untuk setiap platform dan penggunaan wajib autentikasi dua faktor — terutama untuk jejaring sosial, alat pengiriman surat, dan platform manajemen iklan;
- Menghilangkan praktik penggunaan satu kata sandi untuk semua karyawan yang memerlukan akses ke jaringan sosial perusahaan atau tools online lainnya;
- Menginstruksikan karyawan untuk mengakses alat surat/periklanan dan panel admin situs web hanya dari perangkat kerja yang dilengkapi perlindungan penuh sesuai standar perusahaan (EDR atau keamanan internet, EMM/UEM, VPN);
- Mendesak karyawan untuk memasang perlindungan komprehensif pada komputer pribadi dan telepon pintar mereka;
- Memperkenalkan praktik wajib keluar dari platform surat/iklan dan akun serupa lainnya bila tidak digunakan;
- Ingatlah untuk mencabut akses ke jejaring sosial, platform surat/iklan, dan admin situs web segera setelah karyawan meninggalkan perusahaan;
- Secara teratur meninjau daftar email yang dikirim dan iklan yang sedang berjalan, bersama dengan analisis lalu lintas situs web yang terperinci untuk menemukan anomali pada waktu yang tepat;
- Pastikan semua perangkat lunak yang digunakan di situs web Anda (sistem manajemen konten, ekstensinya) dan di komputer kerja (seperti OS, browser, dan Office), diperbarui secara berkala dan sistematis ke versi terbaru;
- Bekerja samalah dengan kontraktor pendukung situs web Anda untuk menerapkan validasi dan sanitasi formulir; khususnya, untuk memastikan bahwa tautan tidak dapat dimasukkan ke dalam bidang yang tidak dimaksudkan untuk tujuan tersebut. Tetapkan juga “batas kecepatan” untuk mencegah aktor yang sama membuat ratusan permintaan setiap hari, ditambah captcha cerdas untuk melindungi dari bot.
