Gambar: Just_Super/iStock/Getty Images Plus via Getty Images
Ikuti ZDNET: [Tambahkan kami sebagai sumber pilihan] di Google.
—
Poin Penting ZDNET:
- Program pelatihan anti-phishing saat ini dampaknya sangat minim atau bahkan tidak ada.
- Metode pelatihan kekurangan elemen yang dibutuhkan pembelajar: keterlibatan.
- Program ini harus diperbarui dan dikombinasikan dengan teknologi pendukung.
—
Ancaman bernama phishing merupakan salah satu tantangan keamanan siber yang paling umum dan merugikan bagi bisnis saat ini.
Kita telah jauh melampaui masa-masa penipuan sembarangan dan email phishing yang mengklaim Anda memenangkan undian. Phishing kini bisa jauh lebih maju dan canggih, dengan email yang ditargetkan dan dirancang khusus untuk pencurian data serta tujuan jahat lainnya.
Banyak organisasi mengandalkan program pelatihan phishing yang menurut penelitian tidak efektif, dan mungkin memang tidak pernah efektif. Panduan ini akan menjelaskan apa itu phishing, mengapa program phishing saat ini gagal, dan alternatif yang dapat dipertimbangkan oleh bisnis.
Apa itu Phishing?
Phishing serupa dengan "memancing" informasi. Email dan pesan penipuan dirancang untuk memancing Anda dan mendorong Anda untuk membagikan informasi sensitif, yang mungkin termasuk informasi pribadi (PII) atau data finansial Anda.
Diperkirakan 3,4 miliar email spam dikirim setiap harinya, dan 38% dari semua serangan siber melibatkan semacam bentuk phishing. Angka-angka ini belum mengungkap sepenuhnya cakupan masalahnya; belum lagi bentuk phishing yang lebih canggih — di luar email spam massal — yang dikenal sebagai spear phishing.
Sementara banyak email phishing bersifat generik, penuh dengan kesalahan ejaan dan tata bahasa, serta mudah dikenali, email spear phishing yang dibuat dengan hati-hati menghadirkan ancaman yang jauh lebih serius bagi organisasi masa kini. Penjahat siber dapat menggunakan taktik berikut untuk mendapatkan pijakan dalam bisnis, atau untuk mencuri informasi yang dapat digunakan dalam penipuan business email compromise (BEC), transaksi palsu, dan lain-lain:
- Profil Palsu: Penjahat siber melakukan pengintaian terhadap bisnis target, membuat profil profesional palsu, dan menjalin hubungan dengan karyawan di berbagai platform untuk mendapatkan kepercayaan mereka. Penipuan semacam ini bisa memakan waktu berhari-hari, minggu, atau bulan sebelum permintaan informasi diajukan.
- Peniruan Identitas: Email dari pengirim yang menyamar sebagai figur penting atau pimpinan di perusahaan target akan meminta persetujuan atas faktur palsu. Alamat email mungkin dipalsukan — artinya mirip dengan alamat email asli yang seharusnya digunakan — sehingga membuat permintaan semacam itu lebih sulit dikenali. Yang lebih parah, para ancaman mungkin menggunakan informasi yang bocor dari pelanggaran data sebelumnya untuk terlihat dapat dipercaya.
- Email yang Disesuaikan: Di sinilah banyak karyawan terjebak. Email penipuan tidak selalu secara eksplisit menargetkan satu korban, namun berisi konten yang dapat memancing karyawan — yang seringkali lelah, stres, dan sibuk — untuk tidak sengaja mengklik tautan phishing. Ini bisa mencakup email mengenai kebijakan cuti dan permintaan waktu libur, permintaan rapat mendesak, bonus akhir tahun, dan pesan terkait produk perusahaan.
Pelatihan Phishing Tidak Berjalan Efektif, Menurut Penelitian
Sebuah penelitian terbaru mengonfirmasi apa yang banyak dari kita duga — pelatihan phishing untuk karyawan sangat tidak efektif.
Penelitian yang dilakukan oleh akademisi dari UC San Diego Health dan Censys menganalisis hasil dari 10 kampanye email phishing yang dikirim kepada karyawan UC San Diego Health selama periode delapan bulan. Hasilnya? Hampir tidak ada perbedaan antara dua kelompok: mereka yang menerima pelatihan phishing wajib tahunan dan mereka yang tidak, dengan tingkat kegagalan yang rata-rata hampir sama.
Lebih lanjut, para peneliti menyelidiki apakah program anti-phishing yang dijalankan organisasi sendiri berdampak apa pun. Dalam latihan pelatihan berkelanjutan ini, email phishing palsu dikirim, dan jika seorang karyawan mengklik tautan di dalamnya, mereka akan diberi tahu bahwa itu adalah email phishing yang dirancang.
Sekali lagi, hampir tidak ada perbedaan, dengan penurunan kemungkinan terjebak email phishing hanya sebesar 2%.
Ingat saya menyebutkan kebijakan cuti sebagai umpan potensial untuk kampanye phishing? Lebih dari 30% karyawan mengkliknya selama penelitian.
Semakin lama sebuah kampanye berlanjut, semakin besar kemungkinan mereka gagal dalam ujian, dengan tingkat kegagalan meningkat dari 10% pada bulan pertama menjadi lebih dari 50% pada bulan kedelapan.
Mengambil Arah Baru
Para peneliti menyebutkan kurangnya keterlibatan dalam program pelatihan phishing modern sebagai titik kegagalan yang signifikan, dengan tingkat keterlibatan program pelatihan anti-phishing tercatat kurang dari satu menit, jika ada.
Dengan kata lain, kita mematikan suara video pelatihan dan melanjutkan pekerjaan, atau mengklik cepat materi online dan berharap jawaban yang kita kirimkan dalam kuis ringkasan sudah benar — atau mengulanginya sampai kita mendapatkan jawaban yang benar.
Ini adalah masalah nyata, dan kita semua mungkin bersalah bereaksi seperti ini terhadap pelatihan. Namun keamanan tidak bisa dijadikan sekadar latihan centang-box agar efektif; bisnis harus mempertimbangkan metode alternatif.
1. Menerapkan Aturan Keterlibatan
Sebagai mantan guru, saya percaya pelatihan keamanan harus menggabungkan pelajaran mendasar dalam menyampaikan pengetahuan dan mempromosikan keterlibatan yang dipelajari semua pendidik.
Guru dilatih dalam teknik yang menarik minat dan perhatian pembelajar. Ini termasuk mengurangi ceramah dan "waktu bicara guru" sambil meningkatkan "waktu bicara siswa," mendorong kolaborasi dan percakapan seputar materi pelajaran.
Anda kehilangan ini ketika hanya mengandalkan materi online yang mengharuskan seseorang menonton video singkat, menjawab kuis cepat, lalu beralih ke topik berikutnya. Meskipun program pelatihan anti-phishing dapat menggunakan opsi ini untuk melengkapi pelatihan, sayangnya, terkadang hanya itulah yang ada. Ketika seseorang di tengah hari kerja yang sibuk harus menyelesaikan pelatihan ini, mereka kemungkinan besar akan melewatkannya secepat mungkin untuk kembali ke tugas pekerjaan mereka.
Sebagai gantinya, pertimbangkan program yang mencakup diskusi on-site dan/atau pertemuan virtual dengan pelatih yang dapat mempertahankan perhatian peserta, menjalankan contoh, dan menyesuaikan kelasnya dengan jenis kampanye phishing yang paling mungkin dihadapi karyawan.
Dan beri karyawan waktu untuk hadir — alih-alih mengharapkan mereka mencentang box pelatihan phishing online ketika mereka ada waktu luang lima menit.
2. Gamifikasi
Saya telah melihat beberapa contoh program anti-phishing yang mencoba menggunakan gamification untuk meningkatkan keterlibatan pengguna; sayangnya, apa yang saya lihat sejauh ini mengerikan.
Membuat video animasi 20 menit yang menampilkan Sheriff GDPR dan penjahat siber Tuan Phish bukanlah jawabannya. Kompetisi keamanan internal dan modul pembelajaran interaktif bisa bermanfaat, terutama jika disertai insentif. Namun, ini ada peringatannya: Menurut pengalaman saya, gamification hanya berharga jika peserta memiliki jiwa kompetitif atau benar-benar peduli dengan materi pembelajaran.
3. Pendekatan Keamanan Berlapis
Melengkapi pelatihan karyawan dengan pertahanan teknologi sangatlah penting. Seiring phishing menjadi semakin kompleks dan canggih, teknologi yang mengurangi kemungkinan keberhasilan kampanye phishing juga menurunkan pentingnya deteksi manusia.
Penyaringan email tingkat lanjut, misalnya, dapat membantu mencegah email phishing mendarat di kotak masuk karyawan sejak awal. Bisnis juga harus mempertimbangkan untuk mengadopsi teknologi pemantauan endpoint dan jaringan yang, bila dikombinasikan dengan analitik perilaku yang dapat mengidentifikasi aktivitas mencurigakan, dapat membantu mencegah intrusi jika sebuah kampanye phishing berhasil.
Selain itu, kontrol autentikasi yang robust dan multi-factor authentication (MFA) harus diadopsi untuk menambahkan lapisan keamanan bagi akun perusahaan. Bahkan jika serangan phishing berhasil dan kredensial karyawan dicuri, pelaku serangan kecil kemungkinannya untuk memanfaatkannya, karena mereka tidak akan memiliki akses ke perangkat atau aplikasi autentikasi sekunder.
Kampanye phishing yang diluncurkan terhadap bisnis seringkali memiliki sudut finansial dan merupakan langkah pertama dalam penipuan BEC atau penipuan finansial. Menerapkan kontrol persetujuan tambahan untuk transaksi keuangan dapat mencegah hal ini, sehingga menghilangkan single point of failure dalam rantai keuangan. Misalnya, permintaan faktur yang dikirim melalui email ke departemen keuangan juga harus ditinjau dan disetujui oleh seorang manajer, yang memberikan kesempatan kedua bagi karyawan untuk mengidentifikasi phishing dan aktivitas berpotensi penipuan.
Karyawan juga harus memiliki akses ke alat pelaporan email phishing. Alat ini dapat memberi organisasi wawasan tentang ancaman saat ini dan vektor serangan phishing potensial yang digunakan penjahat siber, yang dapat membantu menyempurnakan kebijakan keamanan yang ada.
4. Kurangi Tekanan
Pada akhirnya, terserah pada pimpinan organisasi untuk menanggapi keamanan dengan serius, dan ini berarti memperlakukan pelatihan sebagai lebih dari sekadar ukuran kepatuhan untuk lulus audit.
Hanya dibutuhkan satu insiden keamanan siber yang berhasil untuk membuat sebuah perusahaan jatuh. Meskipun bukan lagi soal jika, melainkan kapan sebuah insiden terjadi, risikonya dapat dikurangi jika karyawan mampu terlibat dengan baik dalam inisiatif pelatihan keamanan siber.
Mereka tidak bisa diharapkan untuk sepenuhnya terlibat dengan pelatihan anti-phishing ketika itu dipaksakan ke dalam hari kerja yang sudah bertekanan tinggi dan penuh stres. Seperti halnya segala bentuk pembelajaran dan retensi informasi, kita membutuhkan waktu untuk memproses apa yang telah kita pelajari.
Selain itu, saya berpendapat bahwa pelatihan phishing dan email jebakan saat ini hanya mengisolasi individu, menunjukkan kegagalan mereka, dan menyebabkan frustasi atau kejengkelan yang mungkin membuat mereka kurang bersedia untuk belajar sejak awal. Sebaliknya, organisasi harus menciptakan lingkungan di mana pelatihan menarik dan karyawan merasa nyaman melaporkan ketika mereka mungkin tidak sengaja mengklik email phishing.
Apa yang Harus Saya Lakukan Jika Mengklik Email Phishing?
Mengingat betapa canggihnya kampanye phishing saat ini — belum lagi dampak AI generatif dalam dunia kriminal untuk mengurangi biayanya — siapa pun bisa terjebak email phishing.
Tidak ada rasa malu dalam memberi tahu organisasi Anda jika Anda percaya Anda telah jatuh pada penipuan phishing. Bahkan, semakin cepat Anda melakukannya, semakin cepat insiden keamanan potensial dapat diatasi.
Manusia membuat kesalahan, dan terlepas dari apakah Anda telah mengikuti pelatihan anti-phishing atau tidak, adalah permintaan yang sulit untuk mengharapkan karyawan menjadi sempurna. Tetapi berdiam diri dapat membuat situasi menjadi jauh lebih buruk.