Ketika kamu memikirkan email phishing, mungkin kamu memikirkan contoh-contoh yang kasar, penuh dengan kesalahan tata bahasa, dan mudah dikenali yang langsung masuk ke folder sampah kamu.
Saya menyesal harus memberitahumu bahwa kampanye “semprot dan berdoa” yang lemah itu adalah berita kemarin. Penjahat belum menjadi lebih pintar, tetapi alat-alat mereka sudah.
Juga: Saya mengklik empat penipuan online yang licik dengan sengaja – untuk menunjukkan bagaimana mereka bekerja
Dengan bantuan AI generatif, penipu online telah menjadi jauh lebih baik dalam merancang dan mengirimkan email phishing yang terlihat dan terdengar meyakinkan. Tahun lalu, sekelompok peneliti keamanan berkekuatan tinggi menemukan bahwa alat-alat phishing berbasis AI telah mengurangi biaya serangan ini lebih dari 95% – sambil membuatnya sangat efektif. Satu studi menunjukkan bahwa 60% responden menjadi korban serangan otomatis ini.
Alat-alat itu dapat membantu penjahat membuat serangan yang sangat terarah, sangat dipersonalisasi yang bisa cukup sulit untuk dikenali, terutama jika kamu lelah atau terganggu.
Bahkan para ahli keamanan bersertifikat pun bisa tertipu. Tanyakan saja pada Troy Hunt, pencipta situs “Have I Been Pwned”. Dia tertipu oleh penyerang yang sangat canggih yang mencuri daftar email Mailchimp-nya. Dengarkan penjelasannya tentang apa yang terjadi.
Pertama, saya sudah menerima banyak phish serupa sebelumnya yang saya identifikasi sejak awal, jadi apa yang berbeda dari yang ini? Kelelahan adalah faktor utama. Saya tidak cukup waspada, dan saya tidak memikirkan dengan baik apa yang saya lakukan. Penyerang tidak tahu hal itu (saya tidak memiliki alasan untuk menduga ini ditargetkan secara khusus pada saya), tetapi kita semua memiliki momen kelemahan, dan jika phish itu datang pada saat yang tepat dengan itu, nah, kita di sini.
Kedua, membacanya lagi sekarang, itu phish yang sangat baik. Itu memanipulasi saya untuk percaya bahwa saya tidak akan bisa mengirim newsletter saya, jadi itu memicu “ketakutan,” tetapi tidak semua lonceng dan peluit tentang sesuatu yang mengerikan terjadi jika saya tidak segera bertindak. Itu menciptakan jumlah urgensi yang tepat tanpa berlebihan.
Apa yang harus kamu lakukan jika kamu mengklik tautan phising
Jadi, apa yang harus kamu lakukan jika kamu mengklik salah satu tautan itu dan kemudian menemukan, dengan kekecewaanmu, bahwa itu adalah situs palsu yang dirancang untuk menangkap informasi kamu? Mungkin kamu menyadari hampir seketika karena sesuatu terasa tidak begitu benar. Atau mungkin kamu sudah memasukkan beberapa informasi sensitif. Dalam kedua kasus, inilah yang harus dilakukan selanjutnya.
1. Berhenti mengetik!
Jika kamu belum memasukkan informasi apa pun, tutup tab browser atau aplikasi seluler segera dan pertimbangkan untuk menghapus cache kamu untuk menghilangkan kemungkinan bahwa situs tersebut dapat menanamkan beberapa informasi pelacakan.
2. Jika ragu, putuskan sambungan
Jika kamu khawatir bahwa situs tersebut mungkin lebih dari sekadar upaya phishing biasa dan bahwa mungkin mencoba menginstal alat akses jarak jauh atau bentuk malware lainnya, putuskan sambungan dari jaringan. Kamu bisa menyalakan mode pesawat pada perangkat seluler atau laptop; jika kamu memiliki koneksi kabel, cabut adaptor Ethernet.
3. Jika ini adalah perangkat kerja, hubungi departemen TI kamu
Biarlah mereka tahu apa yang terjadi sehingga mereka dapat memeriksa log yang diperlukan dan mulai mencari aktivitas mencurigakan. Jadilah jujur. Semakin banyak informasi yang kamu berikan, semakin mungkin mereka akan dapat mendeteksi intrusi dan mengurangi kerusakan.
4. Atur ulang kata sandi kamu dan aktifkan otentikasi 2 faktor
Jika kamu memberikan penyerang nama pengguna dan kata sandi untuk sebuah akun, kamu perlu mengubah kata sandi tersebut secepat mungkin, sebelum mereka memiliki kesempatan untuk mengunci kamu keluar.
5. Pindai malware
Jika ini adalah perangkat Windows, jalankan pemindaian antivirus penuh pada perangkat yang terkena untuk mengetahui apakah ada perangkat lunak berbahaya yang diinstal. Jika memungkinkan, gunakan pemindai offline seperti Emsisoft Emergency Kit atau Microsoft Safety Scanner. Pertimbangkan untuk memformat ulang perangkat atau mengembalikan dari cadangan yang baik jika kamu curiga telah diretas.
6. Pantau aktivitas yang mencurigakan
Jika kamu memberikan akses penyerang ke akun Microsoft, Google, atau Apple kamu, kamu dapat pergi ke halaman akun mereka masing-masing, masuk dengan kredensial kamu, dan periksa aktivitas yang mencurigakan.
7. Jangan malu
Kamu adalah korban kejahatan. Itu bisa terjadi pada siapa pun. Fokuslah untuk memastikan kamu pulih dari kerusakan apa pun. Dan jangan takut untuk menceritakan pengalaman kamu kepada orang lain. Pengalaman kamu bisa saja menjadi hal yang dibutuhkan orang lain untuk menghindari menjadi korban sendiri.