Kredit Foto: MicroStockHub/iStock/Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Poin Penting ZDNET:
- Phising merupakan ancaman utama dan terus berkembang bagi bisnis.
- Pelatihan kesadaran phising memiliki tingkat keberhasilan yang minimal.
- Para peneliti mendesak organisasi untuk berinvestasi dalam langkah-langkah penangkal.
—
Sebuah penelitian baru mengkonfirmasi apa yang telah diduga banyak orang — pelatihan phising bagi karyawan ternyata tidak sebanding dengan usaha yang dikeluarkan.
Studi yang dilakukan oleh peneliti dari UC San Diego Health dan Censys menemukan bahwa program pelatihan keamanan siber terkait phising tidak berdampak pada apakah karyawan tertipu oleh email phising atau tidak.
Setelah menganalisis hasil dari 10 kampanye email phising berbeda yang dikirim ke lebih dari 19.500 karyawan di UC San Diego Health selama delapan bulan, para peneliti tidak menemukan "hubungan signifikan antara apakah pengguna baru saja menyelesaikan pelatihan keamanan siber tahunan yang diwajibkan dengan kemungkinan jatuh ke dalam perangkap email phising."
Tim juga menyelidiki apakah pelatihan phising tertanam — saat organisasi mengirimkan email phising simulasi untuk menguji karyawannya — efektif. Singkatnya, tidak efektif, dan hampir tidak ada perbedaan tingkat kegagalan antara mereka yang menyelesaikan pelatihan dengan yang tidak. Kelompok yang dilatih hanya memiliki kemungkinan 2% lebih rendah untuk tertipu.
Hal ini sangat mengkhawatirkan, mengingat phising ditemukan sebagai penyebab utama ransomware tahun ini, didorong oleh infostealer dan penyalahgunaan alat AI, menurut laporan terbaru SpyCloud Identity Threat. Phising juga merupakan vektor serangan yang paling banyak dilaporkan oleh bisnis dalam penelitian tersebut, disebut oleh 35% organisasi yang terdampak — meningkat dari 25% pada tahun 2024.
Apa itu Phising?
Phising adalah momok yang terus menerus terjadi dan mengancam individu, UMKM, hingga perusahaan besar. Kampanye phising seringkali berupa email penipuan yang disebar secara acak atau pesan target yang dirancang untuk membangkitkan rasa ingin tahu, panik, atau takut pada penerimanya.
Dengan membuat pesan yang menimbulkan ketakutan atau urgensi, pelaku kejahatan siber berharap korbannya tidak akan berpikir rasional, tetapi akan panik dan mengklik tautan atau memberikan informasi sensitif yang dapat digunakan untuk pencurian identitas, transaksi penipuan, atau kejahatan siber yang lebih luas.
Mengingat ancamannya sangat serius, dan pelanggaran data akibat phising dapat mengakibatkan konsekuensi parah bagi organisasi — termasuk pencurian data, kerusakan, dampak keuangan, penyebaran ransomware, dan kerugian reputasi — perusahaan tentu akan mencari solusi.
Program pelatihan phising adalah taktik populer yang bertujuan mengurangi risiko serangan phising yang berhasil. Pelatihan ini mungkin dilakukan setahun sekali atau secara berkala, dan biasanya karyawan diminta untuk mempelajari materi instruksional. Mereka juga mungkin menerima email phising palsu yang dikirim oleh mitra pelatihan; jika mereka mengklik tautan mencurigakan di dalamnya, kegagalan mengenali email phising ini dicatat.
Mengapa Pelatihan Phising Tidak Efektif
Para peneliti UC San Diego Health dan Censys menyatakan bahwa subjek matter sangat penting bagi keberhasilan email phising dalam penelitian mereka. Misalnya, hampir tidak ada yang mengklik tautan untuk memperbarui kata sandi Outlook, sementara lebih dari 30% peserta mengklik tautan dalam email yang berpura-pura sebagai pembaruan kebijakan cuti dari perusahaan.
Semakin lama skema phising berlangsung, semakin besar kemungkinan karyawan mengklik tautan penipuan, meningkat dari 10% peserta pada bulan pertama menjadi lebih dari 50% pada bulan kedelapan.
"Secara keseluruhan, hasil kami menunjukkan bahwa program pelatihan anti-phising, dalam bentuknya yang saat ini dan umum digunakan, kecil kemungkinannya memberikan nilai praktis yang signifikan dalam mengurangi risiko phising," ujar para peneliti.
Menurut mereka, penyebabnya adalah kurangnya keterlibatan dalam program pelatihan keamanan siber modern, dengan tingkat keterlibatan seringkali tercatat kurang dari satu menit atau bahkan nihil. Ketika tidak ada keterlibatan dengan materi pembelajaran, wajar saja jika tidak ada dampaknya.
Solusi Potensial
Untuk mengatasi masalah ini, tim menyarankan agar, untuk pengembalian investasi yang lebih baik dalam perlindungan phising, beralih ke bantuan yang lebih teknis mungkin berhasil. Contohnya, menerapkan autentikasi dua faktor atau multi-faktor (2FA/MFA) pada perangkat, serta memberlakukan pembagian dan penggunaan kredensial hanya pada domain tepercaya.
Ini bukan berarti program phising tidak ada tempatnya di dunia korporat. Kita juga harus kembali ke dasar-dasar untuk melibatkan pelajar. Sebagai mantan pengajar, saya menyarankan bahwa diskusi tabletop, seminar tatap muka, dan bahkan gamifikasi dapat memberikan penghubung yang hilang antara pelatihan dan hasil yang positif.