ItWorks- Proofpoint, perusahaan keamanan siber, mengungkapkan melalui data temuannya bahwa 87% perusahaan di daftar Fortune Southeast Asia 500 belum melakukan perlindungan email mereka dengan baik, membuat pelanggan rentan terhadap penipuan. Hanya 10% perusahaan di Indonesia yang menggunakan protokol keamanan email DMARC.
DMARC atau kepanjangan dari Domain-based Message Authentication, Reporting, and Conformance adalah salah satu metode autentikasi pada email yang dirancang untuk melindungi email domain dari alamat email yang tidak sah atau yang biasa kita sebut sebagai email spoofing.Spoofing adalah jenis serangan email dengan cara memalsukan header email, agar seolah-olah alamat email dikirim dari sebuah email yang valid atau sah. Email spoofing umumnya digunakan untuk aktivitas spamming atau phishing.
Berdasarkan hasil temuan dari riset ini, dari seluruh negara di Asia Tenggara, perusahaan di Singapura adalah perusahaan yang paling banyak menggunakan autentikasi email, dimana satu dari empat perusahaan telah melindungi email perusahaan mereka. Sementara Vietnam dan Indonesia, termasuk yang terendah dari seluruh negara di Asia Tenggara, dimana hanya satu dari sepuluh perusahaan aktif melindungi karyawan mereka dari penipuan menggunakan email.
Analisis ini dilakukan di bulan Agustus 2024 dengan menggunakan data dari Fortune Southeast Asia 500. Riset Proofpoint terbaru ini mengungkapkan bahwa sebagian besar perusahaan terkemuka di Indonesia membiarkan pelanggan, karyawan, dan stakeholder mereka terkena penipuan email dan serangan berbasis email. Hanya 10% dari perusahaan Indonesia yang tergabung dalam Fortune Southeast Asia 500 sudah mengimplementasikan tingkat autentikasi email yang direkomendasikan, yang dapat mencegah penjahat cyber memalsukan identitas organisasi sehingga mengurangi risiko penipuan email.
Temuan-temuan ini didasarkan pada analisa terhadap daftar perusahaan Fortune 500 dan penerapan kebijakan mereka di Asia Tenggara terhadap Domain-based Message Authentication, Reporting and Conformance (DMARC), sebuah protokol validasi email yang secara luas digunakan.
DMARC melindungi nama domain agar tidak disalahgunakan oleh penjahat cyber, dengan mengautentikasi identitas pengirim sebelum mengizinkan email. Sistem autentikasi ini mendeteksi dan mencegah spoofing domain – teknik phishing email yang digunakan untuk business email compromise (BEC), dan serangan berbasis email lainnya. DMARC memiliki tiga tingkat perlindungan yaitu memonitor, mengarantina, dan menolak – dengan menolak adalah cara yang paling aman untuk mencegah email mencurigakan masuk ke kotak email pengguna.
“Email masih terus menjadi vektor nomor satu bagi penjahat cyber. Saat kita mendekati musim belanja dan perencanaan liburan akhir tahun, perusahaan-perusahaan terkemuka di Asia Tenggara membiarkan pelanggan mereka rentan terhadap penipuan email dan serangan berbasis email.” ujar Philip Sow, Head of System Engineering, Asia Tenggara dan Korea Selatan di Proofpoint dalam rilis pers (03/10/2024), di Jakarta.
Ditambahkan, kurangnya perlindungan terhadap phishing di Asia Tenggara sangat mengkhawatirkan dan telah tertinggal jauh dibandingkan dengan kawasan lain. Sangat penting bagi merek-merek terkemuka untuk menerapkan protokol autentikasi email yang paling ketat dan telah luas digunakan seperti DMARC untuk melindungi diri dari peniruan identitas domain dan memastikan email spoofing tidak mencapai target mereka.
Riset Proofpoint menunjukkan bahwa hampir satu dari tiga (29%) perusahaan Indonesia yang masuk dalam daftar Fortune Southeast Asia 500 sama sekali belum menerapkan DMARC dalam bentuk apa pun. Organisasi tanpa autentikasi DMARC dapat menyebabkan email yang mereka kirimkan akan diarahkan ke folder spam pelanggan atau bahkan ditolak oleh sistem.
Berikut beberapa temuan utama analisis DMARC Proofpoint terhadap perusahaan-perusahaan Indonesia yang masuk dalam daftar Fortune Southeast Asia 500:
• 90% perusahaan saat ini tidak menerapkan tingkat penerapan DMARC paling ketat yang direkomendasikan. Singapura (85%) dan Malaysia (83%) menunjukkan tingkat penerapan yang relatif lebih baik secara keseluruhan dengan tingkat autentikasi email tertentu.
• 29% perusahaan tidak memiliki data DMARC sama sekali dan rentan terhadap penipuan email dan serangan spoofing domain. Thailand (45%) dan Vietnam (37%) tertinggal dibandingkan negara-negara lain di kawasan yang tidak memiliki rekor DMARC sama sekali.
• 71% Perusahaan memiliki beberapa bentuk adopsi DMARC, meskipun hanya 10% yang memiliki kebijakan DMARC “Reject”, yaitu tingkat rekomendasi paling ketat yang memblokir email yang tidak memenuhi syarat agar tidak sampai ke penerima.
o Singapura (28%) memiliki tingkat adopsi tertinggi untuk tingkat autentikasi email yang paling ketat, diikuti oleh Malaysia (11%), Filipina (11%), Thailand (10%) dan Indonesia (10%).
o Hanya 4% perusahaan di Vietnam yang menerapkan tingkat rekomendasi autentikasi email yang paling ketat.
• Dari organisasi yang mempunyai kebijakan DMARC, 75% memilih untuk menerapkan DMARC sendiri tanpa bantuan ahli. Kurangnya kesesuaian dalam implementasi DMRAC secara benar dapat meningkatkan resiko dari:
o Memblokir email yang tidak beresiko, mengingat tidak ada visibilitas otentikasi ke semua email yang masuk dan dikirim dari organisasi mereka.
o Ketidakmampuan untuk menyimpan, mengelola sejumlah besar data DMARC yang dihasilkan, dan meninjau hal-hal yang dapat ditindaklanjuti dan dihasilkan dari laporan ini.
Beberapa praktik terbaik yang direkomendasikan Proofpoint:
• Periksa validitas semua komunikasi email dan waspadai potensi email penipuan yang meniru identitas kolega, mitra bisnis, dan pemangku kepentingan.
• Berhati-hatilah terhadap segala upaya komunikasi yang meminta kredensial atau mengancam untuk menangguhkan layanan atau akun jika link tidak diklik.
• Ikuti praktik terbaik terkait keamanan kata sandi, termasuk menggunakan kata sandi yang kuat, sering mengubahnya, dan jangan pernah menggunakannya kembali di beberapa akun. (AC)














