KALTENG.CO-Pencurian data pribadi atau perusahaan melalui phising sangat rentan terjadi terhadap karyawan yang akrab dengan teknologi informasi.
Berdasarkan data bahwa sebanyak 16 hingga 18 persen, dari karyawan tersebut menjadi sasaran pencurian data.
Berdasarkan simulasi phishing dari Kaspersky Security Awareness Platform, menunjukkan bahwa karyawan cenderung tidak menyadari bahaya laten dari email dengan subjek terkait masalah perusahaan dan pemberitahuan masalah pengiriman email. Satu dari lima karyawan (16-18 persen) masih mengklik template email yang meniru serangan phising.
Berdasarkan perkiraan, dari seluruh serangan siber yang ada, 91 persen dimulai dengan email phishing, dan dari seluruh kebocoran data 32 persen disebabkan oleh penggunaan teknik phising yang tepat.
Untuk memberikan insight yang lebih dalam dari ancaman ini, Kaspersky menganalisis data yang dikumpulkan dari simulator phishing, yang diberikan secara sukarela oleh pengguna. Terintegrasi dalam Kaspersky Security Awareness Platform, tool ini membantu perusahaan mengecek apakah karyawan mereka bisa membedakan email asli dengan email phishing tanpa membahayakan data perusahaan.
Administrator perusahaan memilih dari daftar template yang ada, meniru skenario umum phishing, atau membuat template baru, lalu mengirim email itu ke sekelompok karyawan tanpa peringatan simulasi lalu melihat hasilnya. Sejumlah besar karyawan ternyata mengklik email phishing dan ini menjadi indikasi bahwa perusahaan memerlukan pelatihan keamanan siber tambahan untuk karyawan.
Berdasarkan kegiatan simulasi phishing di atas, lima jenis email phishing paling efektif adalah:
– Subject: Failed delivery attempt – Unfortunately, our courier was unable to deliver your item. Sender: Mail delivery service. Jumlah klik (membuka email) mencapai 18,5 persen.
– Subject: Emails not delivered due to overloaded mail servers. Sender: The Google support team. Jumlah klik mencapai 18 persen.
– Subject: Online employee survey: What would you improve about working at the company. Sender: HR Department. Jumlah klik mencapai 18 persen.
– Subject: Reminder: New company-wide dress code. Sender: Human Resources. Jumlah klik mencapai 17,5 persen.
– Subject: Attention all employees: new building evacuation plan. Sender: Safety Department. Jumlah klik mencapai 16 persen.
Email phishing lain yang banyak diklik karyawan adalah konfirmasi pemesanan layanan (11 persen), pemberitahuan tentang masuknya pesanan (11 persen), dan pengumuman kontes IKEA (10 persen).
Di sisi lain, email yang membahayakan penerimanya, atau menawarkan keuntungan tertentu, sepertinya tidak begitu menarik karyawan. Template email dengan subyek “I hacked your computer and know your search history” hanya diklik oleh dua persen karyawan, dan penawaran Netflix gratis dan uang tunai hanya mendapatkan perhatian satu persen karyawan.
“Simulasi phishing adalah salah satu cara termudah untuk mengetahui ketahanan siber karyawan dan mengevaluasi efisiensi dari pelatihan keamanan siber mereka. Namun, ada aspek penting yang harus dipertimbangkan saat memutuskan untuk melakukan kegiatan ini agar hasilnya betul-betul terasa,” ujar Elena Molchanova, Head of Security Awareness Business Development, Kaspersky.
Untuk mencegah kebocoran data, serta kerugian lain terkait finansial dan reputasi perusahaan akibat serangan phishing, Kaspersky merekomendasikan hal-hal berikut:
Pertama, ingatkan karyawan akan tanda-tanda email phising. Subyek yang dramatis, kesalahan tulis atau typo, alamat pengirim yang tidak konsisten, dan link yang mencurigakan.
Kedua, jika email yang diterima meragukan, periksa format lampiran sebelum membukanya dan periksa keakuratan link sebelum diklik. Hal ini bisa dilakukan dengan menempatkan kursor di bagian lampiran, pastikan alamat pengirim jelas dan asli, dan file yang dilampirkan bukan dalam format executable (.exe)
Ketiga, selalu laporkan bila ada serangan phishing. Jika Anda mengetahui serangan phising, beritahu bagian keamanan TI dan, jika mungkin, jangan buka emailnya. Hal ini bisa membantu tim keamanan siber perusahaan memperbarui kebijakan anti-spam dan mencegah kejadian serangan.
Keempat, berikan pengetahuan dasar keamanan siber kepada karyawan. Edukasi diarahkan untuk mengubah perilaku karyawan dan mengajarkan mereka bagaimana menghadapi serangan.
Karena serangan phishing bisa membingungkan, dan tidak ada jaminan menghindari semua klik yang tidak disengaja, lindungi perangkat kerja Anda dengan keamanan yang andal. Pilih solusi yang memiliki kemampuan anti-spam, melacak perilaku mencurigakan, dan buat cadangan file kalau-kalau terjadi serangan ransomware. (Dikutip dari JawaPos.com/tur)