Apa itu spear phishing? Definisi dan risiko

Serangan phishing merupakan ancaman yang terus-menerus terjadi di dunia yang sangat digital, yang menjadi perhatian terus-menerus bagi individu dan organisasi. Serangan spear phishing merupakan bagian dari jenis kejahatan dunia maya yang menjadi perhatian khusus. Namun, apa sebenarnya spear phishing itu dan apakah mungkin untuk mencegah serangan ini?

Spear phishing: Definisi

Meskipun phishing adalah istilah umum untuk serangan siber yang dilakukan melalui email, SMS, atau panggilan telepon, beberapa orang mungkin bertanya-tanya apa nama serangan phishing yang ditargetkan. Jawabannya adalah spear phishing. Dalam istilah yang paling sederhana, ini adalah serangan siber yang sangat personal yang menargetkan individu atau perusahaan tertentu. Biasanya, serangan ini dilakukan melalui email spear phishing yang tampak sah bagi penerima dan mendorong mereka untuk berbagi detail sensitif dengan penyerang. Meskipun tujuan serangan spear phishing biasanya untuk mencuri informasi seperti kredensial login atau informasi kartu kredit, beberapa di antaranya direkayasa untuk menginfeksi perangkat dengan malware. Sering kali, peretas dan hacktivist yang disponsori pemerintah adalah pelaku penipuan spear phishing. Namun, penjahat siber individu juga melakukan serangan ini dengan tujuan melakukan pencurian identitas atau penipuan keuangan, memanipulasi harga saham, melakukan spionase, atau mencuri data rahasia untuk dijual kembali kepada pemerintah, perusahaan swasta, atau individu lain yang berkepentingan.

Yang membuat penipuan spear phishing begitu sukses—lebih dari serangan phishing standar—adalah karena penyerang melakukan penelitian ekstensif pada target yang dituju. Dengan menggunakan informasi yang mereka temukan, mereka dapat menggunakan teknik rekayasa sosial untuk membuat serangan yang sangat khusus yang menipu target agar mengira mereka menerima email dan permintaan yang sah. Akibatnya, bahkan target dengan peringkat tinggi dalam organisasi, seperti eksekutif C-suite, dapat mendapati diri mereka membuka email yang mereka pikir aman. Jenis kesalahan yang tidak disengaja ini memungkinkan penjahat dunia maya mencuri data yang mereka butuhkan untuk menyerang jaringan yang menjadi target.

Bagaimana cara kerja serangan spear phishing?

Pada dasarnya ada lima langkah untuk melakukan penipuan spear phishing yang berhasil. Langkah-langkah tersebut adalah:

1. Menentukan tujuan serangan
2. Memilih target melalui penelitian awal
3. Mengidentifikasi daftar pendek target dan menelitinya secara menyeluruh
4. Membuat email spear phishing menggunakan informasi yang dikumpulkan dan teknik rekayasa sosial.

Serangan tertarget ini berhasil karena email spear phishing menciptakan rasa keakraban dengan kehidupan penerima. Penyerang menghabiskan banyak waktu dan upaya untuk melacak sebanyak mungkin detail pekerjaan, kehidupan, teman, dan keluarga penerima. Dengan menjelajahi internet dan profil media sosial di platform seperti Facebook dan LinkedIn, phisher dapat menemukan informasi seperti alamat email dan nomor telepon, jaringan teman, keluarga, dan kontak bisnis, lokasi yang sering dikunjungi, serta hal-hal seperti perusahaan tempat mereka bekerja dan posisi mereka, tempat mereka berbelanja online, layanan perbankan yang mereka gunakan, dan banyak lagi. Dengan menggunakan semua informasi ini, penyerang dapat membangun profil ekstensif dari target potensial mereka dan membuat email spear phishing menggunakan teknik rekayasa sosial yang dipersonalisasi dan tampak sah karena berasal dari individu atau perusahaan yang secara teratur mereka ajak berinteraksi dan berisi informasi yang dapat menjadi asli.

Email tersebut biasanya meminta penerima untuk segera menanggapi dengan rincian tertentu atau berisi tautan tempat mereka harus memasukkan rincian ini di situs web yang memalsukan situs yang sah. Misalnya, tautan email tersebut dapat mengarahkan mereka ke situs web palsu untuk bank mereka atau situs e-commerce pilihan tempat mereka harus masuk ke akun mereka. Pada titik ini, penyerang akan dapat mencuri rincian login dan kata sandi untuk tujuan jahat mereka sendiri. Namun, terkadang, email tersebut berisi lampiran atau tautan yang, ketika penerima mengunduh atau mengklik, menginstal malware di perangkat mereka. Penyerang kemudian dapat menggunakan ini untuk mencuri informasi yang mereka butuhkan atau membajak komputer untuk mengaturnya menjadi jaringan besar—disebut botnet —yang dapat digunakan untuk melakukan serangan penolakan layanan (DoS).

Namun, penting untuk diingat bahwa tidak semua pengguna internet atau profil media sosial merupakan target yang baik untuk spear phishing. Karena memerlukan upaya yang lebih besar daripada phishing standar, penjahat dunia maya sering mencari target yang bernilai tinggi. Sering kali, penyerang akan menggunakan algoritme otomatis untuk menjelajahi internet dan media sosial guna mencari informasi tertentu—seperti kata sandi atau PIN—dan mengidentifikasi individu bernilai tinggi yang memiliki potensi lebih besar untuk serangan spear phishing yang berhasil.

Penipuan ini telah menjadi sangat canggih sehingga hampir mustahil untuk diserang oleh orang biasa. Inilah sebabnya, meskipun tidak ada langkah-langkah keamanan siber spear phishing yang sangat ampuh, memahami cara kerja serangan ini dan mempelajari tanda-tanda yang harus diwaspadai dapat membantu dalam menghindari serangan ini.

Mengidentifikasi penipuan spear phishing

Salah satu kunci untuk mempelajari cara mencegah spear phishing adalah memahami berbagai teknik yang digunakan para pelaku phishing untuk memastikan keberhasilan serangan mereka. Dengan cara ini, individu dan karyawan perusahaan dapat waspada terhadap penipuan spear phishing. Saat menerima email dengan salah satu tanda bahaya di bawah ini, penting untuk memperlakukan email tersebut dengan hati-hati.

• Email tersebut dirancang untuk menciptakan rasa urgensi atau kepanikan—email tersebut dapat seolah-olah berasal dari manajer perusahaan dan sangat memerlukan detail login untuk menjalankan tindakan yang sensitif terhadap waktu.
• Bahasa tersebut dirancang untuk memicu emosi—seperti ketakutan atau rasa bersalah—yang memotivasi penerimanya untuk mengambil tindakan.
• Alamat emailnya tampaknya salah—mungkin domainnya tidak benar, atau format namanya tidak biasa.
• Kesalahan ejaan dan tata bahasa yang jelas, terutama dalam email dari organisasi besar seperti bank.
• Meminta informasi sensitif dan rincian pribadi.
• Tautan yang salah eja atau tidak diformat dengan benar, tidak cocok dengan alamat tujuan saat mengarahkan kursor ke tautan tersebut.
• Lampiran yang tidak diminta, terutama yang memiliki nama file yang tidak biasa.
• Penggunaan dalih, seperti mengatakan kredensial login Anda akan segera kedaluwarsa dan harus segera diubah menggunakan tautan di email.

Apa perbedaan antara spear phishing dan phishing?

Meskipun keduanya merupakan jenis serangan siber, penting untuk memahami perbedaan serangan spear phishing dengan serangan phishing. Keduanya digunakan oleh penjahat siber untuk memikat pengguna agar membagikan informasi pribadi yang sensitif, tetapi pada dasarnya, spear phishing merupakan serangan terarah yang dipersonalisasi untuk target yang dituju, sedangkan spear phishing merupakan serangan luas yang ditujukan untuk “mencuri” data sensitif apa pun yang dapat mereka tipu agar dibagikan oleh pengguna.

Serangan phishing biasanya melibatkan email generik yang mencoba memaksa penerima untuk membagikan data pribadi seperti kata sandi dan detail kartu kredit. Pelaku phishing kemudian menggunakan informasi ini untuk tujuan jahat, seperti pencurian identitas atau penipuan finansial. Yang terpenting, serangan phishing sama sekali tidak dirancang khusus untuk penerima. Para penjahat dunia maya pada dasarnya mencoba peruntungan mereka dan mengutamakan kuantitas (mengirim banyak email phishing) daripada kualitas (membuat email phishing menggunakan teknik yang lebih canggih yang mungkin memiliki peluang keberhasilan lebih tinggi). Biasanya, email ini menyamar sebagai perusahaan besar—seperti bank atau toko e-commerce—dan berisi tautan jahat yang menipu penerima agar membagikan data mereka atau memasang malware di perangkat mereka.

Sebaliknya, penipuan spear phishing adalah serangan yang sangat tertarget dan sangat personal bagi korban yang dituju. Karena berisi detail yang berkaitan dengan penerima tertentu, email spear phishing tampak lebih sah—terutama karena sering kali berasal dari individu atau organisasi yang dikenal oleh penerima. Dengan demikian, penjahat dunia maya harus menginvestasikan lebih banyak waktu dan upaya untuk meluncurkan serangan spear phishing—dan kemungkinan besar akan berhasil.

Bagi mereka yang bertanya-tanya apa nama serangan phishing tertarget, ada dua sub-jenis spesifik bersama dengan spear phishing: whaling dan Business Email Compromise (BEC).

Serangan whaling merupakan jenis serangan ketiga yang memiliki banyak kesamaan dengan penipuan phishing dan spear phishing. Whaling secara khusus menargetkan individu-individu terkenal seperti eksekutif C-suite, anggota dewan, selebritas, dan politisi. Serangan ini juga menggunakan email yang sangat personal untuk mencoba mencuri informasi keuangan, informasi sensitif, atau informasi rahasia lainnya dari perusahaan atau organisasi dan dapat menyebabkan kerugian finansial atau reputasi yang signifikan bagi lembaga yang terlibat.

Jenis terakhir dari serangan phishing, BEC, menyamar sebagai karyawan perusahaan untuk melakukan penipuan keuangan terhadap organisasi. Dalam beberapa kasus, email tersebut mungkin mengaku berasal dari seorang eksekutif C-suite dan meminta karyawan tingkat bawah untuk membayar faktur palsu atau mentransfer dana ke “eksekutif”. BEC juga dapat berbentuk kompromi email, di mana penyerang membajak email karyawan untuk meminta vendor membayar faktur palsu atau meminta karyawan lain untuk mentransfer uang atau informasi rahasia.

Cara mencegah spear phishing

Keamanan siber spear phishing tradisional sering kali tidak cukup untuk mencegah serangan ini karena serangan ini dilakukan dengan sangat baik. Akibatnya, serangan ini semakin sulit dideteksi. Satu kesalahan sederhana dapat berakibat fatal bagi target, baik individu, pemerintah, bisnis, atau organisasi nirlaba. Meskipun serangan ini marak—dan personalisasinya sangat canggih—ada banyak langkah yang dapat diterapkan individu atau organisasi untuk mencegah spear phishing. Meskipun langkah-langkah ini tidak akan sepenuhnya menghilangkan ancaman serangan ini, langkah-langkah ini menawarkan lapisan keamanan tambahan yang akan memperkecil kemungkinan terjadinya serangan. Berikut ini adalah beberapa kiat ahli tentang cara mencegah spear phishing.

1. Lakukan pemeriksaan rutin terhadap email yang mencurigakan, seperti email yang meminta perubahan kata sandi atau berisi tautan yang mencurigakan.
2. Gunakan jaringan privat virtual (VPN) untuk melindungi dan mengenkripsi semua aktivitas daring.
3. Gunakan perangkat lunak anti-virus untuk memindai semua email untuk mencari lampiran email, tautan, atau unduhan yang berpotensi berbahaya.
4. Pelajari cara memeriksa kebenaran sumber email.
5. Pelajari cara memverifikasi URL dan situs web untuk menghindari membuka tautan berbahaya.
6. Daripada mengklik tautan dalam email, kunjungi situs web organisasi secara mandiri dan cari halaman yang diperlukan.
7. Pastikan semua perangkat lunak sudah diperbarui dan menjalankan patch keamanan terbaru.
8. Berhati-hatilah dalam membagikan terlalu banyak detail pribadi secara daring—jika perlu, periksa profil media sosial dan hapus apa pun yang dapat digunakan oleh pelaku phishing, dan pastikan pengaturan privasi ditetapkan ke tingkat tertinggi.
9. Gunakan pengelola kata sandi dan praktikkan kebiasaan kata sandi yang cerdas, termasuk membuat kata sandi yang rumit untuk berbagai akun dan mengubahnya secara berkala.
10. Jika memungkinkan, aktifkan autentikasi multifaktor atau biometrik.
11. Jika ragu tentang sumber email, hubungi orang atau organisasi tersebut untuk memverifikasi apakah mereka yang mengirimnya dan meminta informasi yang diminta.
12. Perusahaan dapat menerapkan pelatihan kesadaran keamanan untuk memastikan karyawan sadar akan risiko serangan ini dan cara mengatasinya.
13. Organisasi dapat melakukan simulasi phishing secara berkala untuk melatih karyawan tentang cara mengenali dan menangani email yang mencurigakan.

Serangan spear phishing bukanlah hal yang tak terelakkan

Sebagian besar pengguna internet memiliki pemahaman dasar tentang phishing, tetapi penting untuk memahami apa perbedaan antara spear phishing dan phishing standar. Karena email spear phishing menggunakan teknik rekayasa sosial yang memerlukan banyak penelitian, serangan ini sangat disesuaikan dengan target yang dituju dan, oleh karena itu, memiliki peluang keberhasilan yang jauh lebih tinggi daripada serangan phishing standar. Meskipun serangan ini akan selalu menimbulkan risiko, ada kemungkinan untuk mencoba dan mengurangi risiko tersebut. Mengambil langkah-langkah untuk mengetahui jenis tanda peringatan yang harus diwaspadai dalam email yang mencurigakan, secara teratur menggunakan VPN dan perangkat lunak anti-virus, dan waspada terhadap tautan dan lampiran yang mencurigakan dapat membantu dalam menghindari serangan spear phishing.

Dapatkan Kaspersky Premium + Kaspersky Safe Kids GRATIS 1 TAHUN . Kaspersky Premium menerima lima penghargaan AV-TEST untuk perlindungan terbaik, performa terbaik, VPN tercepat, kontrol orangtua yang disetujui untuk Windows dan peringkat terbaik untuk kontrol orangtua Android.