BISNISASIA.CO.ID, JAKARTA – Di dunia digital yang dinamis ini, penipuan terus merajalela. Para pelaku kejahatan siber semakin lihai menipu korbannya, sehingga banyak yang menjadi korban dan mengalami kerugian finansial. Salah satu instansi pemerintah di Indonesia baru-baru ini menjadi sasaran penipuan siber. Para pelaku kejahatan siber menyamar sebagai instansi tersebut dan mengelabui orang melalui email phishing.
Kejadian ini bukanlah yang pertama di Indonesia. Sebelumnya, sejumlah kasus serupa pernah terjadi di Indonesia, seperti phishing berkedok promosi dari platform pembayaran digital, phishing dengan menyebarkan APK melalui platform messenger, dan phishing perbankan yang mengakibatkan kerugian hingga ratusan juta rupiah bagi penggunanya.
Pada tahun 2023, teknologi anti-phishing Kaspersky juga mendeteksi hampir 500.000 upaya mengklik tautan phishing pada perangkat bisnis di Asia Tenggara (SEA) termasuk Indonesia. Dari Januari hingga Desember tahun lalu, solusi Kaspersky mendeteksi dan memblokir total 455.708 upaya phishing finansial yang menargetkan perusahaan dengan berbagai skala di kawasan tersebut.
Indonesia mencatat 97.465 insiden phishing finansial pada tahun 2023, menempatkannya di posisi ke-3 di Asia Tenggara. Statistik tersebut adalah jumlah klik pada tautan phishing yang disematkan di berbagai saluran komunikasi, termasuk email, situs web penipuan, aplikasi pengiriman pesan, dan platform media sosial.
Salah satu saluran yang paling umum digunakan phishing adalah email. Email atau pesan phishing adalah pesan tipuan yang dirancang untuk mengelabui penerima agar mengungkapkan informasi sensitif dengan menyamar sebagai entitas yang sah. Penipuan penipuan sering kali mencoba mencuri kredensial pribadi untuk mendapatkan uang atau mencuri identitas, menguasai akun online, dan/atau meyakinkan penerima untuk secara sukarela mentransfer/mengirim sejumlah uang atau barang berharga lainnya.
Skenario email phishing yang paling umum adalah sebagai berikut:
• Anda masuk ke email dan menemukan peringatan dari lembaga yang sah di kotak masuk. Saat mengeklik tautan di email, Anda akan dibawa ke halaman web yang tampak seperti halaman web asli di situs web lembaga tersebut.
• Ini adalah isunya: situs ini sebenarnya dirancang untuk mencuri informasi Anda. Peringatan akan memberi tahu bahwa ada masalah dengan akun dan kemudian meminta Anda untuk mengonfirmasi nama pengguna dan kata sandi.
• Setelah memasukkan kredensial di halaman yang tampak asli, Anda kemudian diarahkan ke situs web lembaga yang sebenarnya untuk memasukkan informasi yang kedua kalinya. Dengan mengarahkan ke lembaga yang sah, Anda tidak segera menyadari bahwa informasi Anda telah dicuri.
Salah satu alasan mengapa email phishing begitu berbahaya— dan sayangnya sering berhasil — adalah karena email tersebut dibuat agar tampak sah. Secara umum, fitur-fitur berikut ini paling sering ditemukan pada email phishing dan harus menjadi tanda peringatan:
• Lampiran atau tautan
• Kesalahan ejaan
• Tata bahasa yang buruk
• Grafik yang tidak profesional
• Urgensi yang tidak perlu untuk segera memverifikasi alamat email atau informasi pribadi lainnya
• Sapaan umum seperti “Pelanggan yang Terhormat” alih-alih nama Anda.
“Perilisan yang sangat terkenal dan dinanti, lembaga resmi yang populer, acara perayaan, dan pemutaran perdana akan tetap menjadi topik menarik bagi para phisher, yang situs palsunya akan menipu pengguna yang ingin mendapatkan informasi terbaru secara cepat. Seiring upaya phishing meningkat secara signifikan di dalam negeri, kami menghimbau masyarakat Indonesia untuk waspada terutama terhadap pengumuman penting yang disampaikan melalui email, pesan teks, posting media sosial, atau bahkan panggilan telepon. Ancaman dapat datang dari mana saja, tetapi kita dapat melindungi diri kita sendiri dengan kewaspadaan dan solusi keamanan yang andal yang terpasang di perangkat kita,” komentar Yeo Siang Tiong, General Manager untuk Asia Tenggara dan Negara-negara Berkembang Asia (Asia Emerging Countries) di Kaspersky.
Agar tetap aman dari upaya phishing, para ahli Kaspersky menyarankan pengguna daring menerapkan hal berikut:
Untuk Perusahaan:
1. Selalu perbarui perangkat lunak di semua perangkat untuk mencegah penyerang mengeksploitasi kerentanan dan menyusup ke jaringan organisasi.
2. Segera instal patch yang tersedia untuk solusi VPN komersial yang menyediakan akses bagi karyawan jarak jauh dan bertindak sebagai gateway di jaringan Anda.
3. Cadangkan data secara teratur dan pastikan data dapat diakses dengan cepat saat dibutuhkan atau dalam keadaan darurat.
4. Pantau akses dan aktivitas dengan memiliki visibilitas di jaringan untuk menemukan aktivitas yang tidak biasa, dan kendalikan akses pengguna sesuai kebutuhan dan yang diwajibkan untuk meminimalkan risiko akses tidak sah dan kebocoran data.
5. Siapkan pusat operasi keamanan (SOC) menggunakan alat SIEM (manajemen informasi dan peristiwa keamanan) seperti Kaspersky Unified Monitoring and Analysis Platform (KUMA), konsol terpadu untuk memantau dan menganalisis insiden keamanan informasi, dan solusi seperti Kaspersky Next XDR, solusi keamanan siber tangguh yang melindungi dari ancaman siber canggih.
6. Gunakan informasi Threat Intelligence terbaru untuk tetap waspada terhadap TTP aktual yang digunakan oleh pelaku ancaman.
7. Berikan edukasi kepada karyawan dan tingkatkan literasi keamanan siber mereka melalui alat seperti Kaspersky Automated Security Awareness Platform. Karyawan harus menyadari risiko ancaman keamanan siber dan cara melindungi diri dan organisasi dari ancaman tersebut.
8. Jika perusahaan Anda tidak memiliki fungsi keamanan TI khusus dan hanya memiliki admin TI umum yang mungkin tidak memiliki keterampilan spesialis yang diperlukan untuk solusi deteksi dan respons tingkat ahli, pertimbangkan untuk berlangganan layanan terkelola seperti Kaspersky MDR. Ini akan langsung meningkatkan kemampuan keamanan Anda secara signifikan, sekaligus memungkinkan Anda untuk fokus membangun keahlian internal.
9. Untuk perlindungan bisnis dengan skala kecil, gunakan solusi yang ditujukan untuk membantu Anda mengelola keamanan siber bahkan tanpa melibatkan administrator TI. Kaspersky Small Office Security memberi Anda keamanan tanpa campur tangan karena perlindungan ‘install and forget’ dan menghemat anggaran yang sangat penting, terutama pada tahap awal pengembangan bisnis.
Untuk Konsumen:
1. Selalu mengandalkan common sense sebelum menyerahkan informasi sensitif. Saat Anda mendapat peringatan dari bank atau lembaga besar lainnya, jangan pernah mengeklik tautan di email. Sebaliknya, buka jendela browser dan ketik alamat langsung ke kolom URL sehingga Anda dapat memastikan situs tersebut asli.
2. Jangan pernah percaya pesan yang bersifat mendesak. Sebagian besar perusahaan terkemuka tidak akan meminta informasi identitas pribadi atau detail akun melalui email. Jika Anda pernah menerima email yang meminta informasi akun apa pun, segera hapus email tersebut lalu hubungi perusahaan untuk mengonfirmasi bahwa akun Anda aman.
3. Jika Anda memberikan informasi sensitif, jangan panik — atur ulang kredensial Anda di situs tempat Anda menggunakannya. Ubah kata sandi dan segera hubungi bank yang terlibat.
4. Jangan membuka lampiran dalam email yang mencurigakan atau aneh — terutama lampiran Word, Excel, PowerPoint, atau PDF.
5. Hindari mengeklik tautan yang disematkan di email setiap saat, karena tautan tersebut dapat berisi malware. Berhati-hatilah saat menerima pesan dari vendor atau pihak ketiga; jangan pernah mengeklik URL yang disematkan di pesan asli. Sebaliknya, kunjungi situs tersebut secara langsung dengan mengetikkan alamat URL yang benar untuk memverifikasi permintaan, dan tinjau kebijakan dan prosedur kontak vendor untuk meminta informasi.
6. Selalu perbarui perangkat lunak dan sistem operasi Anda. Produk OS Windows sering menjadi sasaran phishing dan serangan berbahaya lainnya, jadi pastikan Anda aman dan perbarui perangkat lunak Anda.
7. Selalu jalankan sistem dengan program anti-malware terbaru dan andal seperti Kaspersky Premium. Solusi canggih Kaspersky akan membantu menyelesaikan sebagian besar masalah secara otomatis dan memberi tahu Anda saat ada ancaman.
8. Edukasi diri Anda dengan tetap mendapatkan informasi tentang penipuan umum, taktik penipuan, dan cara mengenalinya. Ikuti pembaruan dari pakar keamanan siber dan sumber resmi.