Apa itu pengelabuan?
Serangan pengelabuan bertujuan untuk mencuri atau merusak data sensitif dengan menipu orang agar mengungkapkan informasi pribadi seperti kata sandi dan nomor kartu kredit.
Berbagai jenis serangan pengelabuan
Serangan pengelabuan berasal dari penipu yang menyamar sebagai sumber tepercaya dan dapat memfasilitasi akses ke semua jenis data sensitif. Seiring berkembangnya teknologi, begitu juga dengan serangan cyber. Pelajari tentang jenis-jenis pengelabuan yang paling berjangkit.
Pengelabuan lewat email
Bentuk pengelabuan yang paling umum, jenis serangan ini menggunakan taktik seperti hyperlink palsu untuk memikat penerima email agar berbagi informasi pribadi mereka. Penyerang sering menyamar sebagai penyedia akun besar seperti Microsoft atau Google, atau bahkan rekan kerja.
Pengelabuan lewat program jahat
Pendekatan pengelabuan lain yang lazim, jenis serangan ini termasuk menyusupkan program jahat yang disamarkan sebagai lampiran tepercaya (seperti CV atau pernyataan bank) dalam email. Dalam beberapa kasus, membuka lampiran program jahat dapat melumpuhkan seluruh sistem TI.
Spear phishing
Tidak seperti banyak serangan pengelabuan yang bertransmisi secara luas, spear phishing menargetkan individu tertentu dengan mengeksploitasi informasi yang dikumpulkan melalui riset tentang pekerjaan dan kehidupan sosialnya. Serangan ini sangat disesuaikan, membuatnya sangat efektif untuk melewati keamanan cyber dasar.
Whaling
Ketika penjahat memiliki target besar seperti eksekutif bisnis atau selebritas, itu disebut whaling. Penipu ini sering melakukan riset yang cukup besar terhadap target mereka untuk menemukan momen yang tepat untuk mencuri kredensial masuk atau informasi sensitif lainnya. Jika Anda mengalami banyak kerugian, penyerang whaling mendapatkan banyak keuntungan.
Smishing
Kombinasi kata “SMS” dan “pengelabuan,” smishing melibatkan pengiriman pesan teks yang menyamar sebagai komunikasi tepercaya dari bisnis seperti Amazon atau FedEx. Orang sangat rentan terhadap pesan teks penipuan, karena dikirimkan dalam teks biasa dan terlihat lebih pribadi.
Vishing
Dalam kampanye vishing, penyerang di pusat panggilan penipuan mencoba menipu orang agar memberikan informasi sensitif melalui telepon. Biasanya, penipuan ini menggunakan rekayasa sosial untuk menipu korban agar dapat menginstal program jahat ke perangkat mereka dalam bentuk aplikasi.
Taktik pengelabuan umum
Komunikasi licik
Penyerang mampu memanipulasi korbannya untuk menyerahkan data sensitif dengan menyamarkan pesan dan lampiran berbahaya di tempat ketika orang-orang merasa aman (misalnya, dalam kotak masuk email mereka). Sangat mudah untuk mengasumsikan pesan yang tiba di kotak masuk Anda sah, tetapi berhati-hatilah—email phising sering terlihat aman dan sederhana. Agar tidak tertipu, jangan terburu-buru dan periksa hyperlink dan alamat email pengirim sebelum mengeklik.
Persepsi kebutuhan
Orang teperdaya pada pengelabuan karena mereka merasa perlu bertindak. Misalnya, korban dapat mengunduh program jahat yang disamarkan sebagai CV karena mereka’ segera merekrut atau memasukkan kredensial bank mereka di situs web yang mencurigakan untuk menyimpan akun yang diberi tahu akan segera kedaluwarsa. Membuat persepsi palsu tentang kebutuhan adalah trik umum karena berhasil. Untuk menjaga data Anda tetap aman, operasikan dengan pengawasan intens atau instal teknologi perlindungan email yang akan bekerja keras untuk Anda.
Kepercayaan palsu
Penjahat memperdaya orang lain dengan menciptakan rasa percaya yang palsu, dan orang yang paling tanggap pun bisa tertipu. Dengan meniru sumber tepercaya seperti Google, Wells Fargo, atau UPS, pengelabu dapat menipu Anda agar mengambil tindakan sebelum Anda menyadari bahwa Anda’ telah ditipu. Banyak pesan pengelabuan yang tidak terdeteksi tanpa langkah-langkah keamanan cyber tingkat lanjut. Lindungi informasi pribadi Anda dengan teknologi keamanan email yang dirancang untuk mengenali konten mencurigakan serta membuangnya sebelum masuk ke kotak masuk Anda.
Manipulasi emosi
Penjahat menggunakan taktik psikologis untuk meyakinkan target mereka agar bertindak sebelum mereka berpikir. Setelah membangun kepercayaan dengan meniru sumber yang tidak asing, lalu menciptakan rasa urgensi palsu, penyerang mengeksploitasi emosi seperti ketakutan dan kecemasan untuk mendapatkan apa yang mereka inginkan. Orang-orang cenderung mengambil keputusan yang terburu-buru ketika diberitahu bahwa mereka akan kehilangan uang, akan terlibat masalah hukum, atau kehilangan akses ke sumber daya yang sangat dibutuhkan. Hati-hati dengan pesan apa pun yang mengharuskan Anda untuk segera bertindak, karena itu mungkin penipuan.
Bahaya email pengelabuan
Serangan pengelabuan yang berhasil dapat berakibat serius. Hal ini mungkin terlihat seperti uang curian, biaya penipuan pada kartu kredit, akses yang hilang ke foto, video, dan file— bahkan penjahat cyber yang meniru Anda dan membuat orang lain berisiko.
Di tempat kerja, risiko pada perusahaan Anda dapat mencakup hilangnya dana perusahaan, paparan informasi pribadi pelanggan dan rekan kerja, file sensitif yang dicuri atau dibuat tidak dapat diakses, belum lagi kerusakan pada reputasi perusahaan Anda. Dalam banyak kasus, kerusakan bisa tidak dapat diperbaiki.
Untungnya, ada banyak solusi untuk melindungi dari pengelabuan di rumah dan di tempat kerja.
Tip cepat untuk menghindari pengelabuan
Jangan percayai nama tampilan
Periksa alamat email pengirim sebelum membuka pesan—nama tampilan mungkin palsu.
Periksa kesalahan ketik
Kesalahan ejaan dan tata bahasa yang buruk biasanya dilakukan dalam email pengelabuan. Jika terlihat ada yang salah, tandai.
Lihat sebelum mengeklik
Arahkan mouse ke hyperlink dalam konten yang terdengar asli untuk memeriksa alamat tautan.
Baca salam
Jika email ditujukan kepada “Pelanggan Terhormat”, bukan kepada Anda, berhati-hatilah. Itu kemungkinan penipuan.
Tinjau tanda tangan
Periksa informasi kontak di catatan kaki email. Pengirim yang sah selalu menyertakannya.
Waspada terhadap ancaman
Kata-kata yang membuat kita takut, seperti “akun Anda telah ditangguhkan”, sudah lazim dalam email pengelabuan.
Lindungi dari ancaman cyber
Ada banyak tindakan yang dapat Anda lakukan untuk melindungi diri seiring dengan perkembangan berkelanjutan penipuan pengelabuan dan ancaman cyber lainnya.
Tegakkan prinsip Zero Trust
Prinsip Zero Trust seperti autentikasi multifaktor, just-enough-access, dan enkripsi menyeluruh melindungi Anda dari ancaman cyber yang berkembang.
Melindungi aplikasi dan perangkat Anda
Cegah, deteksi, dan respons pengelabuan dan serangan cyber lainnya dengan Microsoft Defender untuk Office 365.
Mengamankan akses
Lindungi pengguna dari serangan canggih selagi mengamankan organisasi dari ancaman yang didasari pada identitas.
Tanya jawab umum
-
Tujuan utama penipuan pengelabuan adalah mencuri informasi dan kredensial sensitif. Waspadalah terhadap pesan apa pun (melalui telepon, email, atau teks) yang meminta data sensitif atau meminta bukti identitas Anda.
Penyerang bekerja keras untuk meniru entitas tak asing dan akan memanfaatkan logo, desain, dan antarmuka yang sama seperti merek atau individu yang sudah Anda kenal. Tetap waspada dan jangan klik tautan atau buka lampiran kecuali Anda yakin pesan tersebut sah.
Berikut adalah beberapa tip untuk mengenali email pengelabuan:
- Ancaman mendesak atau ajakan bertindak (misalnya: “Buka segera”).
- Pengirim baru atau jarang mengirim email kepada Anda untuk pertama kalinya.
- Ejaan dan tata bahasa yang buruk (sering kali karena terjemahan asing yang kaku).
- Tautan atau teks lampiran yang mencurigakan—hyperlink mengungkapkan tautan dari alamat IP atau domain yang berbeda.
Kesalahan ejaan kurang terlihat (misalnya, “micros0ft.com” atau “rnicrosoft.com”)
-
- Tulis detail serangan sebanyak yang dapat Anda ingat. Catat informasi apa pun yang mungkin telah Anda bagikan, seperti nama pengguna, nomor akun, atau kata sandi.
- Segera ubah kata sandi pada akun yang terpengaruh dan di mana pun Anda mungkin menggunakan kata sandi yang sama.
- Konfirmasikan bahwa Anda’ menggunakan autentikasi multifaktor (atau dua langkah) untuk setiap akun yang Anda gunakan.
- Beri tahu semua pihak terkait bahwa informasi Anda telah disusupi.
- Jika Anda kehilangan uang atau menjadi korban pencurian identitas, laporkan ke penegak hukum setempat dan ke Federal Trade Commission. Serahkan detail yang Anda ambil di langkah 1.
Jika Anda yakin telah teperdaya serangan pengelabuan, ada beberapa hal yang perlu Anda lakukan:
Perlu diingat bahwa setelah informasi Anda dikirim ke penyerang, kemungkinan besar informasi Anda akan cepat terekspos kepada penjahat lainnya. Tunggu email, pesan teks, dan panggilan telepon pengelabuan baru yang akan Anda terima.
-
Jika menerima pesan mencurigakan di kotak masuk Microsoft Outlook Anda, pilih Laporkan pesan dari menu ribbon, lalu pilih Pengelabuan. Ini adalah cara tercepat untuk menghapus pesan dari kotak masuk Anda. Di Outlook.com, centang kotak di samping pesan mencurigakan di kotak masuk Anda, pilih panah di samping Buang ke sampah, lalu pilih Pengelabuan.
Jika Anda kehilangan uang atau menjadi korban pencurian identitas, laporkan ke penegak hukum setempat dan hubungi Federal Trade Commission. Mereka memiliki satu situs web khusus untuk mengatasi masalah semacam ini.
-
Tidak. Meskipun pengelabuan paling sering terjadi melalui email, pengelabu juga melakukannya dengan panggilan telepon, pesan teks, dan bahkan pencarian web untuk memperoleh informasi sensitif.
-
Email spam adalah pesan sampah yang tidak diinginkan berisi konten yang tidak relevan atau komersial. Email ini mungkin mengiklankan skema uang cepat, penawaran ilegal, atau diskon palsu.
Pengelabuan adalah upaya yang lebih ditargetkan (dan biasanya lebih disamarkan) untuk mendapatkan data sensitif dengan menipu korban agar secara sukarela memberikan informasi akun dan kredensial.
Ikuti Microsoft Security