Sejarah Phising
Apa itu penipuan phishing?
Dalam ancaman phishing , penjahat dunia maya menggunakan peniruan identitas untuk meningkatkan kepercayaan dengan target dalam upaya untuk mendapatkan akses, data sensitif, atau uang dari target mereka. Scammers menyamar sebagai seseorang yang menjadi target kepercayaan, seperti lembaga pemerintah, merek terkenal, atau koneksi pribadi.
Meskipun penipuan phishing sering kali memiliki indikator yang jelas—nada mendesak, pesan yang tidak diminta, atau URL atau lampiran yang disusupi—tidak mudah untuk menentukannya di alam liar.
Peretas data pribadi mungkin mencoba mencuri termasuk informasi keuangan, kredensial login, nomor jaminan sosial, dan detail rekening bank.
Untuk individu, serangan ini dapat mengakibatkan pencurian identitas, kerugian finansial, atau pengambilalihan akun email.
Namun, bagi perusahaan, dampak serangan siber yang berhasil jauh lebih besar. Faktanya, Tren Ancaman Keamanan Siber 2021 CISCO melaporkan bahwa 90% pelanggaran data terjadi karena phishing.
Untuk memahami lebih lanjut tentang bagaimana phishing berubah selama bertahun-tahun, kami akan meninjau bagaimana tren berubah sebagai respons terhadap berbagai faktor, seperti teknologi dan kemampuan Anda dalam mendeteksi penipuan.
Sejarah Phising
Sebagian besar berkat pandemi yang memaksa sebagian besar karyawan untuk bekerja dari rumah, phishing telah berkembang pesat dalam beberapa tahun terakhir.
Namun, phishing sudah ada jauh sebelum itu.
Berikut adalah garis waktu cepat untuk membantu Anda melihat bagaimana teknik phishing berubah dari waktu ke waktu.
1990-an
Pertama kali seseorang menggunakan istilah 'phishing' dapat ditelusuri kembali ke 2 Januari 1996. Selama tahun 1990-an, hacker akan berpura-pura menjadi administrator AOL dan phish untuk kredensial login sehingga mereka dapat mengakses internet secara gratis. Sebuah kelompok yang disebut komunitas Warez, terutama terdiri dari bajak laut dan hacker, akan mencuri kredensial pengguna dan menghasilkan nomor kartu kredit acak untuk mendapatkan akun AOL.
Penipuan ini, meskipun sangat sederhana, efektif karena tidak ada yang benar-benar tahu tentang ancaman phishing. Namun, phishing hanya akan terus menjadi salah satu masalah paling umum yang dihadapi perusahaan saat ini.
2000-an-2010-an
Tahun 2000-an dan 2010-an adalah saat phishing mulai berkembang dengan pesat.
Pada awal 2000-an, orang masih belum tahu banyak tentang phishing. Bukan pengetahuan luas bahwa scammers berpura-pura menjadi otoritas tepercaya untuk mencetak jackpot.
Selama periode ini, phisher mulai mengalihkan perhatian mereka ke gateway pembayaran online, seperti Paypal dan E-gold. Misalnya, scammers mengirim email ke pengguna Paypal—dan pada saat itu sudah ada banyak pengguna—meminta mereka untuk memperbarui detail kartu kredit mereka tetapi malah mencuri detail mereka.
Akhir 2008 menghasilkan cryptocurrency, metode pembayaran yang tidak dapat dilacak yang digunakan peretas untuk berkolaborasi satu sama lain, memeras korbannya, atau menguangkan penipuan terbaru mereka dengan aman.
Ransomware, yang sebagian besar dikirim melalui email phishing, merajalela mulai dari ransomware Cryptolocker pada tahun 2013, hingga berbagai worm lainnya, seperti WannaCry dan Petra.
Kerugian yang ditimbulkan oleh serangan ransomware juga tidak sedikit. Kebanyakan kehilangan jutaan dolar, dan itu hanya dari uang tebusan. Masih ada denda, biaya operasional, dan biaya restorasi yang harus dipertimbangkan.
Pada awal 2010-an, Anda juga melihat pergeseran cara peretas menggunakan serangan phishing, dengan lebih banyak dari mereka menggunakannya untuk tujuan yang lebih besar daripada tujuan keuangan biasa. Misalnya, pada tahun 2016, serangan phishing yang berpotensi bermotif politik diluncurkan ke John Podesta , ketua kampanye Hillary Clinton.
Hari ini
Sementara para ahli keamanan siber mengejar, itu masih jauh dari cukup. Baik peneliti keamanan maupun peretas terjebak dalam pertempuran tanpa akhir di mana mereka terus-menerus mencoba untuk saling melengkapi menggunakan teknologi, skenario, dan metode serangan baru.
Dengan pertumbuhan media sosial seperti LinkedIn atau Facebook, penjahat cyber menemukan harta karun informasi baru, di mana mereka dapat melakukan penelitian dan membuat pesan phishing mereka lebih spesifik dan dengan demikian, meyakinkan. Akses tak terbatas ke informasi sensitif membantu peretas membuat email spear phishing pribadi yang mengandalkan keakraban dan mempersulit pengguna mendeteksi upaya phishing.
Pandemi memaksa banyak perusahaan untuk pergi jauh, meningkatkan tingkat keberhasilan kampanye phishing selama beberapa tahun terakhir. Sementara perusahaan dan karyawan beradaptasi dengan pedoman keamanan kerja jarak jauh yang baru, peretas mengambil ini sebagai peluang untuk menyerang lebih banyak bisnis kecil karena mereka tidak memiliki banyak keamanan seperti perusahaan besar untuk pembayaran yang lebih besar. INTERPOL menyebutkan bahwa pada Maret 2020, ada 589% lebih banyak serangan phishing dibandingkan Februari 2020. Itu meningkat hampir 600% selama sebulan, yang menunjukkan seberapa banyak peretas memanfaatkan kepanikan yang disebabkan oleh pandemi.
Selain itu, sementara email telah mendominasi dalam phishing dalam dekade terakhir, 2020 menandai peningkatan penipuan yang dilakukan melalui panggilan telepon ( vishing ) dan SMS atau pesan teks ( smishing ).
Cara Mencegah Serangan Phishing
Meskipun hampir tiga dekade berurusan dengan serangan phishing, banyak karyawan masih rentan terhadap kejahatan dunia maya ini. Sama seperti bagaimana para peneliti keamanan siber terus mencari cara untuk memerangi peretas, aktor jahat juga mencari teknik yang lebih kreatif untuk menipu pengguna. Untungnya, masih ada cara untuk mendeteksi dan mencegah serangan phishing meskipun metodenya berubah.
Waspadai email phishing
Email phishing adalah titik masuk utama untuk sebagian besar serangan phishing.
Meskipun Anda dapat menggunakan gateway aman email untuk mengurangi jumlah spam dan email phishing yang datang kepada Anda, kunci di balik ini terletak pada pengguna Anda.
Pengguna harus secara konsisten mencari email phishing. Yang mungkin terdengar cukup mudah, tetapi Anda sebenarnya membutuhkan banyak latihan untuk meningkatkan keterampilan Anda dalam mengidentifikasi email yang mencurigakan.
Latih pengguna untuk mengenali tren phishing saat ini, serta penanda yang mencurigakan, seperti:
• Email yang tidak diminta, seperti email yang memverifikasi kredensial masuk meskipun mereka tidak meminta pengaturan ulang kata sandi.
• Permintaan mendadak, seperti verifikasi metode pembayaran atau permintaan dari manajer untuk mengirim data.
• Email palsu , atau jika seseorang yang Anda kenal mengirimi Anda pesan dari saluran yang berbeda dari biasanya.
• Tautan yang berpotensi berbahaya atau lampiran berbahaya dalam bentuk dokumen Microsoft Office yang mungkin terinfeksi kode berbahaya atau mengarah ke situs web phishing.
• Rasa urgensi, seperti email yang mengatakan data mereka akan segera dihapus atau vendor marah dan meminta pembayaran segera.
• Email yang terlalu bagus untuk menjadi kenyataan, seperti memenangkan lotre yang bahkan tidak mereka masuki.
• Menggunakan berbagai teknik rekayasa sosial untuk memikat Anda pada rasa kepercayaan yang salah.
Kiat-kiat ini juga berlaku untuk serangan tingkat lanjut, termasuk berbagai jenis serangan spear phishing.
Instal perangkat lunak antivirus
Selain program anti-phishing, Anda juga perlu menambahkan berbagai perangkat lunak keamanan email untuk membantu Anda mengurangi risiko, seperti firewall, DLP, atau antivirus.
Perangkat lunak antivirus menambahkan lapisan keamanan siber ekstra ke sistem Anda.
Sebagian besar email phishing digunakan untuk mengirimkan malware ke sistem Anda. Menginstal perangkat lunak antivirus membantu Anda mengurangi risiko serangan phishing.
Meskipun ini tidak akan banyak membantu melawan serangan zero-day, antivirus dapat mencegah sebagian besar malware. Beberapa perangkat lunak antivirus bahkan meningkatkan teknologinya dengan kemampuan pembelajaran mesin untuk memungkinkan mereka menangkap malware zero-day di masa depan.
Perkuat login kata sandi
Login dengan kata sandi yang lebih kuat berarti lebih sulit bagi peretas untuk menyusup ke sistem Anda. Kata sandi yang lemah mencakup sesuatu yang dapat dengan mudah ditebak oleh peretas, seperti tanggal lahir atau hewan peliharaan Anda, atau bahkan kode sandi default yang ditetapkan oleh pabrikan Anda.
Berikut adalah beberapa tip dari pedoman kata sandi CISA untuk membantu Anda membuat akun Anda hampir tidak mungkin disusupi:
• Gunakan frasa sandi untuk menggabungkan beberapa kata sebagai gantinya
• Gunakan minimal 8 karakter, dengan campuran alfanumerik dan simbol. Semakin panjang semakin baik.
• Gunakan kata sandi yang berbeda untuk sistem atau akun yang berbeda.
Meskipun, kami menyadari bahwa Anda memiliki hal-hal yang lebih baik untuk dilakukan daripada mengingat 12+ string acak yang berbeda, yang juga harus diubah secara teratur. Kecuali Anda memiliki memori fotografi, pertimbangkan untuk menggunakan pengelola kata sandi seperti LastPass, 1Password, atau Keeper untuk membantu Anda melacak detail login akun Anda.
Pilih otentikasi multi-faktor
Otentikasi multi-faktor, atau MFA, membantu Anda melindungi akun Anda bahkan ketika kata sandi Anda disusupi. MFA mengharuskan Anda untuk memasukkan bukti identitas lain sebelum Anda dapat mengakses akun Anda. Selain kata sandi, Anda mungkin diminta memasukkan kode yang dikirimkan ke nomor telepon, data biometrik, atau tautan verifikasi Anda.
Tanpa MFA, semua peretas yang perlu masuk ke akun Anda adalah kata sandi Anda. Dengan mengonfirmasi identitas Anda melalui cara lain, Anda menambahkan lapisan perlindungan ekstra untuk akun Anda.
MFA sangat penting untuk akun sensitif, terutama jika Anda menggunakan kata sandi yang sama untuk beberapa akun. Meskipun MFA sama pentingnya, pastikan Anda juga mempraktikkan perlindungan kata sandi yang baik untuk akun Anda sejak awal.
Lindungi tim Anda dengan pelatihan kesadaran keamanan
Phishing berkembang sangat cepat. Peretas terus-menerus membuat skenario, malware, dan metode yang lebih baik untuk menipu pengguna agar memberi mereka akses.