Pada tahun 2014, pelanggaran data mengungkap informasi dari tiga miliar pengguna Yahoo. Pada tahun 2016, karyawan Sony Pictures melihat informasi pribadi yang sensitif bocor bersama dengan ribuan dokumen perusahaan. Apa kesamaan kedua serangan ini? Keduanya dimulai dengan email phishing.

Ancaman email masih menjadi salah satu cara paling umum yang dimiliki penyerang untuk mengakses informasi sensitif atau menginstal malware. Sementara sebagian besar kasus phishing menargetkan pengguna anonim, penyerang juga dapat menggunakan email yang berisi tautan atau file palsu untuk menargetkan individu tertentu yang memiliki informasi sensitif. Dan, seperti yang ditunjukkan oleh peneliti ESET, pada tahun 2022, ancaman semacam ini mengalami peningkatan dari tahun ke tahun hampir 30%. Dan karena model bahasa AI mempermudah penulisan email, kemungkinan besar angka-angka ini akan semakin meningkat!

Serangan phishing adalah salah satu bentuk rekayasa sosial yang membuat kita bereaksi dengan rasa urgensi dan rasa ingin tahu. Meskipun kita semua bisa menjadi korban serangan jenis ini, kita juga bisa belajar untuk menghindarinya. Mari kita lihat beberapa contoh nyata dari phishing yang paling umum digunakan untuk mengelabui kita.

1. “Sesi Anda telah berakhir. Klik di sini untuk masuk lagi.”

Beberapa jalur dan taktik phishing yang paling umum hanya memberi tahu Anda secara singkat bahwa Anda telah keluar dari akun dan mendorong Anda untuk mengisi kredensial Anda. Mengklik tautan tersebut akan membawa Anda ke situs web yang terlihat sangat mirip dengan yang asli. Perbedaannya, bagaimanapun, adalah memasukkan kredensial Anda akan langsung mengirimkannya ke penyerang, yang kemudian akan menggunakannya untuk mengakses informasi Anda. Dalam beberapa kasus, mereka bahkan mungkin masuk untuk Anda dan mengubah kata sandi untuk menghindari memberi Anda akses.

Teknik ini bergantung pada kebiasaan pengguna untuk menanggapi pesan semacam itu secara otomatis tanpa memikirkan kontennya atau tanpa memeriksa tanda-tanda umum email/pesan phishing. (Pelajari tentang tanda-tanda itu di sini). 

Misalnya, tahun lalu, GitHub Security memperingatkan tentang email yang meniru platform CI/CD pengembangan perangkat lunak populer CircleCI. Peniru akan mengirimkan peringatan dengan "sesi kedaluwarsa" dan meminta login baru menggunakan kredensial GitHub. “Kami telah melihat beberapa aktivitas yang tidak biasa di akun Anda. Harap verifikasi.”

Dengan trik ini, penipu mencoba membangkitkan rasa urgensi. Siapa yang tidak ingin menghindari kehilangan akun secara tiba-tiba, bukan? Biasanya, email ini meniru pesan dari layanan resmi seperti Amazon, PayPal, dll.  

Misalnya, pada akhir 2018, Komisi Perdagangan Federal Amerika Serikat (FTC) mengeluarkan peringatan tentang email phishing yang meniru raksasa streaming Netflix. Email-email ini mengklaim bahwa akun ditangguhkan karena ada yang salah dengan detail pembayaran, meminta orang untuk memperbarui informasi penagihan mereka menggunakan tautan tersemat, yang tentu saja berbahaya dan digunakan untuk mendapatkan kredensial masuk.

Demikian pula, Pelanggan Apple menjadi sasaran pada 2016 ketika scammer mencoba mencuri informasi pribadi mereka dengan email phishing yang mengklaim bahwa pengguna perlu mengonfirmasi ulang detail akun mereka karena "virus" telah ditemukan di database iTunes Apple. 

2. “Saya membutuhkan Anda untuk melakukan pembayaran mendesak”

Menyamar sebagai akun email perusahaan telah lama menjadi juara di antara kampanye spearphishing yang tidak menargetkan orang anonim, melainkan mengejar satu orang tertentu atau sekelompok karyawan di perusahaan tertentu. 

Sebelum mengirim email penipuan ini, scammer mempelajari sebanyak mungkin tentang struktur perusahaan, visual, bahasa, dll. bisnis, untuk membuat email phishing hampir tidak dapat dibedakan dari email asli. 

Beberapa dari email ini secara khusus menargetkan karyawan yang bertanggung jawab atas penanganan uang tunai dan masalah keuangan. Mereka berpura-pura menjadi CEO atau atasan lain yang diberi wewenang untuk memerintahkan transfer uang dan meminta korban untuk mengirimkan dana ke rekening tertentu, diduga milik CEO, atau mungkin milik perusahaan. 

Pada tahun 2018, peniruan identitas CEO digunakan untuk mencuri lebih dari CA$100,000 dari kota Ottawa di Kanada. Menyamar sebagai permintaan dari pengelola kota, bendahara kota menerima email palsu untuk mentransfer jumlah yang masuk ke kantong penipu.

Penipu serakah juga mencoba menipu bendahara untuk kedua kalinya, tetapi ketika menerima email lain, manajer kota ada di sana untuk menyaksikannya secara pribadi. Setelah menanyakan apakah permintaan itu sah, penipuan itu terungkap, dan para penjahat itu ketahuan berbohong.

3. “Pelamar yang terhormat…”

Email atau pesan phishing ini mengandalkan tawaran pekerjaan palsu sebagai iming-imingnya. Mereka mungkin mengelabui calon korban untuk mengklik tautan phishing atau membuka file jahat yang dikirim bersama dengan pesan email, meminta korban, misalnya, untuk membuat akun dan memasukkan detail pribadi mereka sebagai sarana untuk melamar pekerjaan.

Misalnya, kelompok ancaman Lazarus telah menjalankan banyak kampanye semacam itu, seperti Operasi DreamJob, ditemukan oleh peneliti ESET baru-baru ini, yang memikat korbannya dengan tawaran pekerjaan palsu.

Penipuan ini juga ada di papan iklan pekerjaan populer, jadi selalu coba verifikasi apakah headhunter yang menghubungi Anda atau tawaran pekerjaan yang Anda lihat sah.

Kampanye terbaru menargetkan pengguna Linux dengan file ZIP yang mengirimkan tawaran pekerjaan HSBC palsu sebagai umpan. 

4. “Karena situasi saat ini…”

Phishing juga meningkat pada saat peristiwa besar – baik itu acara olahraga atau krisis kemanusiaan.

Misalnya, di awal tahun 2023, kelompok ancaman Fancy Bear menjalankan kampanye email terkait dengan perang di Ukraina. Email tersebut membawa file RTF berbahaya yang disebut "Terorisme Nuklir Ancaman yang Sangat Nyata". Setelah dibuka, itu tidak hanya akan membahayakan komputer itu, tetapi juga sebuah blog oleh lembaga think tank Atlantic Council yang terkemuka yang menyatakan bahwa kemungkinan Putin menggunakan senjata nuklir dalam perang di Ukraina sangat rendah – kebalikan dari klaim di nama dokumen dan yang mendorong korban untuk membukanya.

5. “Selamat Natal!”

Penipuan selama liburan sering menyalahgunakan belanja dengan email yang meniru pesan dari vendor yang sah. Email berisi penawaran "terlalu bagus untuk menjadi kenyataan" atau menciptakan rasa urgensi yang salah untuk mendapatkan penawaran menit terakhir! 

Pendekatan lain untuk scammers adalah mengirim email dengan file berbahaya terkait liburan, termasuk kartu Natal, voucher hadiah, dll. 

6. “Kami tidak dapat memproses SPT Anda”

Hanya beberapa hal di dunia ini yang pasti—kematian, pajak, dan email phishing selama musim pajak. Karena orang mengajukan pajak, tidak mengherankan jika mereka menerima beberapa email dari agen pajak. 

Scammers menyalahgunakan situasi ini dengan mengirimkan email phishing dengan pesan agen pajak palsu. Biasanya, mereka mengklaim itu beberapa informasi hilang dan meminta detail pribadi atau keuangan tambahan.

Email lain menawarkan pengembalian dana sambil meminta informasi kartu kredit. 

7. Tidak perlu tanggapan

Beberapa email phishing memiliki sedikit atau tidak ada konten, memikat Anda untuk membuka file terlampir untuk mempelajari lebih lanjut tentang masalah tersebut. 

Sebagai contoh, ESET Research mengungkap kampanye jahat tersebut menargetkan jaringan perusahaan di negara berbahasa Spanyol menggunakan email singkat dengan lampiran PDF pada tahun 2021. 

Subjek email bisa sesederhana dalam hal ini: “Pernyataan Layanan Dublin”; tidak ada pesan selain tanda tangan dan kontak telepon seluler di Venezuela. 

Sementara itu, lampirannya berupa file PDF sederhana tanpa nilai informasi tambahan, tetapi berisi tautan yang mengarahkan korban ke layanan penyimpanan cloud, tempat malware dapat diunduh.

Bagaimana melindungi dari email phishing 

• Baca email dengan hati-hati. Jangan mengklik apa pun secara otomatis. 
• Periksa apakah alamat email cocok dengan domain sebenarnya. 
• Berhati-hatilah dengan email tiba-tiba yang tidak terduga dari bank, vendor, atau organisasi lainnya.
• Periksa bendera merah, seperti email mendesak atau ancaman yang memerlukan tanggapan segera atau permintaan informasi kredensial, pribadi, dan keuangan. Banyak kesalahan tata bahasa, kesalahan ejaan, dan kesalahan ketik juga merupakan tanda bahaya. 
• Bandingkan URL terlampir dengan domain masing-masing dari perusahaan atau organisasi yang sah. Jika Anda menemukan sesuatu yang mencurigakan, jangan klik.  
• Waspadai tawaran yang terlalu bagus untuk menjadi kenyataan dan hadiah yang tidak terduga. 
• Jangan mengirim uang dengan tergesa-gesa. Jika atasan Anda tiba-tiba meminta pemindahan tersebut, dekati mereka secara langsung.
• Instal produk keamanan siber dengan alat anti-phishing terintegrasi. 

Email phishing adalah ancaman umum, dan bahkan para profesional TI pun dapat tertipu oleh penipuan ini. Untungnya, sebagian besar email tersebut cukup mudah dikenali, jika Anda mengontrol dorongan untuk mengeklik tautan atau membuka lampiran sebelum mengonfirmasi siapa pengirimnya.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.welivesecurity.com/en/scams/dear-all-what-are-some-common-subject-lines-in-phishing-emails/