Bagaimana melindungi uang dan data pribadi di Internet

2024 Pengarang: Malcolm Clapton | [email protected]. Terakhir diubah: 2023-12-17 04:00

Semakin baik informasi Anda, semakin sulit untuk menipu Anda. Inilah semua yang perlu Anda ketahui tentang phishing dengan Microsoft.

Temukan lebih banyak kiat tentang cara melindungi diri Anda dari ancaman digital.

Apa itu phishing dan seberapa berbahayanya

Phishing adalah jenis penipuan dunia maya yang umum, yang tujuannya adalah untuk berkompromi dan membajak akun, mencuri informasi kartu kredit atau informasi rahasia lainnya.

Paling sering, penjahat dunia maya menggunakan email: misalnya, mereka mengirim surat atas nama perusahaan terkenal, memikat pengguna ke situs web palsunya dengan dalih promosi yang menguntungkan. Korban tidak mengenali yang palsu, memasukkan login dan kata sandi dari akunnya, dan dengan demikian pengguna sendiri yang mentransfer data ke scammers.

Siapapun bisa menderita. Email phishing otomatis paling sering ditargetkan pada khalayak luas (ratusan ribu atau bahkan jutaan alamat), tetapi ada juga serangan yang ditujukan pada target tertentu. Paling sering, sasaran ini adalah manajer puncak atau karyawan lain yang memiliki akses istimewa ke data perusahaan. Strategi phishing yang dipersonalisasi ini disebut whaling, yang diterjemahkan sebagai “menangkap paus”.

Konsekuensi dari serangan phishing bisa sangat menghancurkan. Penipu dapat membaca korespondensi pribadi Anda, mengirim pesan phishing ke lingkaran kontak Anda, menarik uang dari rekening bank, dan umumnya bertindak atas nama Anda dalam arti luas. Jika Anda menjalankan bisnis, risikonya bahkan lebih besar. Phisher mampu mencuri rahasia perusahaan, menghancurkan file sensitif, atau membocorkan data pelanggan Anda, merusak reputasi perusahaan.

Menurut Laporan Tren Aktivitas Phishing dari Kelompok Kerja Anti-Phishing, pada kuartal terakhir tahun 2019 saja, pakar keamanan siber menemukan lebih dari 162.000 situs web penipuan dan 132.000 kampanye email. Selama ini, sekitar seribu perusahaan dari seluruh dunia telah menjadi korban phishing. Masih harus dilihat berapa banyak serangan yang tidak terdeteksi.

Evolusi dan jenis phishing

Istilah "phishing" berasal dari kata bahasa Inggris "fishing". Jenis penipuan ini sangat mirip dengan memancing: penyerang melemparkan umpan berupa pesan atau tautan palsu dan menunggu pengguna untuk menggigit.

Tapi dalam bahasa Inggris phishing dieja sedikit berbeda: phishing. Digraf ph digunakan sebagai pengganti huruf f. Menurut satu versi, ini merujuk pada kata palsu ("penipu", "penipu"). Di sisi lain - untuk subkultur peretas awal, yang disebut phreaker ("phreaker").

Diyakini bahwa istilah phishing pertama kali digunakan secara publik pada pertengahan 1990-an di newsgroup Usenet. Pada saat itu, scammers meluncurkan serangan phishing pertama yang menargetkan pelanggan penyedia Internet Amerika AOL. Para penyerang mengirim pesan yang meminta untuk mengkonfirmasi kredensial mereka, menyamar sebagai karyawan perusahaan.

Dengan perkembangan Internet, jenis serangan phishing baru telah muncul. Penipu mulai memalsukan seluruh situs web dan menguasai berbagai saluran dan layanan komunikasi. Saat ini, jenis phishing seperti itu dapat dibedakan.

• Email phising. Penipu mendaftarkan alamat surat yang mirip dengan alamat perusahaan terkenal atau kenalan korban yang dipilih, dan mengirim surat darinya. Pada saat yang sama, dengan nama pengirim, desain dan isinya, surat palsu bisa hampir identik dengan aslinya. Hanya di dalamnya ada tautan ke situs palsu, lampiran yang terinfeksi, atau permintaan langsung untuk mengirim data rahasia.
• SMS phishing (penghancuran). Skema ini mirip dengan yang sebelumnya, tetapi SMS digunakan sebagai pengganti email. Pelanggan menerima pesan dari nomor yang tidak dikenal (biasanya pendek) dengan permintaan data rahasia atau dengan tautan ke situs palsu. Misalnya, penyerang dapat memperkenalkan dirinya sebagai bank dan meminta kode verifikasi yang Anda terima sebelumnya. Faktanya, scammer membutuhkan kode untuk meretas rekening bank Anda.
• Phising media sosial. Dengan menjamurnya instant messenger dan media sosial, serangan phishing telah membanjiri saluran ini juga. Penyerang dapat menghubungi Anda melalui akun palsu atau yang disusupi dari organisasi terkenal atau teman Anda. Kalau tidak, prinsip serangan tidak berbeda dari yang sebelumnya.
• Phising telepon (vishing). Scammers tidak terbatas pada pesan teks dan dapat menghubungi Anda. Paling sering, telepon Internet (VoIP) digunakan untuk tujuan ini. Penelepon dapat menyamar sebagai, misalnya, seorang karyawan layanan dukungan sistem pembayaran Anda dan meminta data untuk mengakses dompet - seharusnya untuk verifikasi.
• Cari phishing. Anda dapat menemukan phishing tepat di hasil pencarian. Cukup mengklik tautan yang mengarah ke situs palsu dan meninggalkan data pribadi di dalamnya.
• Phising pop-up. Penyerang sering menggunakan pop-up. Mengunjungi sumber yang meragukan, Anda mungkin melihat spanduk yang menjanjikan beberapa manfaat - misalnya, diskon atau produk gratis - atas nama perusahaan terkenal. Dengan mengklik tautan ini, Anda akan dibawa ke situs yang dikendalikan oleh penjahat dunia maya.
• Pertanian. Tidak berhubungan langsung dengan phishing, tapi farming juga merupakan serangan yang sangat umum. Dalam hal ini, penyerang memalsukan data DNS dengan secara otomatis mengarahkan pengguna alih-alih situs asli ke situs palsu. Korban tidak melihat pesan dan spanduk mencurigakan, yang meningkatkan efektivitas serangan.

Phising terus berkembang. Microsoft berbicara tentang teknik baru yang ditemukan layanan anti-phishing Microsoft 365 Advanced Threat Protection pada tahun 2019. Misalnya, scammers telah belajar untuk menyamarkan materi berbahaya dengan lebih baik dalam hasil pencarian: tautan yang sah ditampilkan di bagian atas, yang mengarahkan pengguna ke situs phishing melalui beberapa pengalihan.

Selain itu, penjahat dunia maya mulai secara otomatis membuat tautan phishing dan salinan email yang tepat pada tingkat yang baru secara kualitatif, yang memungkinkan mereka untuk menipu pengguna secara lebih efektif dan melewati langkah-langkah keamanan.

Pada gilirannya, Microsoft telah belajar untuk mengidentifikasi dan memblokir ancaman baru. Perusahaan telah menggunakan semua pengetahuannya tentang keamanan siber untuk membuat paket Microsoft 365. Paket ini memberikan solusi yang Anda butuhkan untuk bisnis Anda, sekaligus memastikan bahwa informasi Anda dilindungi secara efektif, termasuk dari phishing. Perlindungan Ancaman Lanjutan Microsoft 365 memblokir lampiran berbahaya dan tautan yang berpotensi berbahaya dalam email, mendeteksi ransomware, dan ancaman lainnya.

Bagaimana melindungi diri Anda dari phishing

Tingkatkan literasi teknis Anda. Seperti kata pepatah, dia yang diperingatkan dipersenjatai. Pelajari keamanan informasi Anda sendiri atau konsultasikan dengan ahli untuk mendapatkan saran. Bahkan hanya memiliki pengetahuan yang kuat tentang dasar-dasar kebersihan digital dapat menyelamatkan Anda dari banyak masalah.

Hati-hati. Jangan mengikuti tautan atau membuka lampiran dalam surat dari lawan bicara yang tidak dikenal. Harap hati-hati memeriksa detail kontak pengirim dan alamat situs yang Anda kunjungi. Jangan menanggapi permintaan informasi pribadi, meskipun pesannya terlihat dapat dipercaya. Jika perwakilan perusahaan meminta informasi kepada Anda, lebih baik hubungi call center mereka dan laporkan situasinya. Jangan klik pop-up.

Gunakan kata sandi dengan bijak. Gunakan kata sandi yang unik dan kuat untuk setiap akun. Berlangganan ke layanan yang memperingatkan pengguna jika kata sandi untuk akun mereka muncul di Web, dan segera ubah kode akses jika ternyata disusupi.

Siapkan otentikasi multi-faktor. Fungsi ini juga melindungi akun, misalnya, menggunakan kata sandi satu kali. Dalam hal ini, setiap kali Anda masuk ke akun Anda dari perangkat baru, selain kata sandi, Anda harus memasukkan kode empat atau enam karakter yang dikirimkan kepada Anda melalui SMS atau dibuat dalam aplikasi khusus. Ini mungkin tampak tidak terlalu nyaman, tetapi pendekatan ini akan melindungi Anda dari 99% serangan umum. Lagi pula, jika penipu mencuri kata sandi, mereka tetap tidak bisa masuk tanpa kode verifikasi.

Gunakan fasilitas login tanpa kata sandi. Dalam layanan tersebut, jika memungkinkan, Anda harus benar-benar meninggalkan penggunaan kata sandi, menggantinya dengan kunci keamanan perangkat keras atau otentikasi melalui aplikasi pada ponsel cerdas.

Gunakan perangkat lunak antivirus. Antivirus terbaru sebagian akan membantu melindungi komputer Anda dari malware yang mengalihkan ke situs phishing atau mencuri login dan kata sandi. Tetapi ingat bahwa perlindungan utama Anda tetap pada kepatuhan terhadap aturan kebersihan digital dan kepatuhan terhadap rekomendasi keamanan siber.

Jika Anda menjalankan bisnis

Kiat-kiat berikut juga akan bermanfaat bagi pemilik bisnis dan eksekutif perusahaan.

Melatih karyawan. Jelaskan kepada bawahan pesan apa yang harus dihindari dan informasi apa yang tidak boleh dikirim melalui email dan saluran komunikasi lainnya. Melarang karyawan menggunakan surat perusahaan untuk keperluan pribadi. Instruksikan mereka tentang cara bekerja dengan kata sandi. Sebaiknya pertimbangkan juga kebijakan penyimpanan pesan: misalnya, untuk tujuan keamanan, Anda dapat menghapus pesan yang lebih lama dari periode tertentu.

Melakukan pelatihan serangan phishing. Jika Anda ingin menguji reaksi karyawan Anda terhadap phishing, cobalah memalsukan serangan. Misalnya, daftarkan alamat surat yang serupa dengan milik Anda, dan kirimkan surat dari alamat tersebut kepada bawahan yang meminta mereka untuk memberikan data rahasia kepada Anda.

Pilih layanan pos yang dapat diandalkan. Penyedia email gratis terlalu rentan terhadap komunikasi bisnis. Perusahaan harus memilih hanya layanan perusahaan yang aman. Misalnya, pengguna layanan email Microsoft Exchange, yang merupakan bagian dari rangkaian Microsoft 365, memiliki perlindungan komprehensif terhadap phishing dan ancaman lainnya. Untuk melawan penipu, Microsoft menganalisis ratusan miliar email setiap bulan.

Pekerjakan pakar keamanan siber. Jika anggaran Anda memungkinkan, temukan profesional yang memenuhi syarat yang akan memberikan perlindungan berkelanjutan terhadap phishing dan ancaman dunia maya lainnya.

Apa yang harus dilakukan jika Anda adalah korban phishing

Jika ada alasan untuk percaya bahwa data Anda telah jatuh ke tangan yang salah, segera bertindak. Periksa perangkat Anda dari virus dan ubah kata sandi akun. Beri tahu staf bank bahwa detail pembayaran Anda mungkin telah dicuri. Jika perlu, beri tahu pelanggan tentang potensi kebocoran.

Untuk mencegah situasi seperti itu berulang, pilih layanan kolaborasi yang andal dan modern. Produk dengan mekanisme perlindungan internal paling cocok: ini akan bekerja senyaman mungkin dan Anda tidak perlu mengambil risiko keamanan digital.

Misalnya, Microsoft 365 menyertakan berbagai fitur keamanan cerdas, termasuk melindungi akun dan login dari kompromi dengan model penilaian risiko bawaan, otentikasi tanpa kata sandi atau multi-faktor yang tidak memerlukan lisensi tambahan.

Selain itu, layanan ini menyediakan kontrol akses dinamis dengan penilaian risiko dan mempertimbangkan berbagai kondisi. Selain itu, Microsoft 365 berisi otomatisasi bawaan dan analitik data, dan juga memungkinkan Anda untuk mengontrol perangkat dan melindungi informasi dari kebocoran.