Laporan DBIR dari Verizon mengungkapkan tren keamanan bisnis teratas. Phishing melalui perangkat seluler kini mengungguli serangan berbasis email. Perusahaan membutuhkan pelatihan phishing yang berfokus pada ponsel.
Vektor serangan seluler telah melampaui ancaman email seiring kemampuan kita untuk mendeteksi percobaan phishing tradisional yang semakin baik, kata Verizon dalam laporan terbaru yang mengeksplorasi lanskap pelanggaran data dan dampaknya terhadap bisnis global.
Dalam Data Breach Investigations Report (DBIR) Verizon tahun 2026, perusahaan tersebut mengatakan bahwa serangan siber yang berpusat pada perangkat seluler semakin populer dan memiliki rasio klik yang lebih tinggi dibandingkan percobaan phishing yang sama yang dikirim melalui email. Hal ini memunculkan pertanyaan apakah perlindungan phishing yang ada saat ini sudah memadai.
Rekayasa sosial pada ponsel menjadi sorotan utama
Berdasarkan data yang dikumpulkan dari lebih dari 31.000 insiden keamanan nyata pada tahun 2025, dengan 22.000 pelanggaran data terkonfirmasi yang berdampak pada organisasi di 145 negara, Verizon menyatakan bahwa "ponsel lebih berbahaya dibandingkan email."
Serangkaian penilaian simulasi phishing mendukung klaim ini, di mana vektor serangan yang berpusat pada ponsel—termasuk phishing berbasis suara (vishing) dan penipuan teks—berhasil menjadi umpan, mencapai rasio klik-tayang 40% lebih tinggi dibandingkan penipuan phishing email tradisional.
Elemen manusia
Manusia sering kali menjadi mata rantai terlemah dalam sistem keamanan, dan para pelaku ancaman sangat menyadarinya. Namun, bukan berarti kita tidak meningkatkan kesadaran keamanan siber secara umum; ini berarti para penjahat siber mengubah taktik mereka.
Menurut laporan Verizon, "elemen manusia" hadir dalam 62% pelanggaran data yang diketahui dan tercatat, sebuah peningkatan marjinal sebesar 2% dari tahun ke tahun.
Sayangnya, data mengungkapkan bahwa banyak penjahat siber menyalahgunakan kepercayaan kita, untuk mencuri data, melakukan penipuan pembayaran, atau bertindak sebagai pendahulu insiden keamanan parah, termasuk penyebaran ransomware dan pemerasan.
Ketika mengirim email phishing saja tidak cukup, mereka mulai melakukan apa yang disebut Verizon sebagai pretexting, sebuah perkembangan mengkhawtirkan yang menyoroti betapa psikologi kini lebih sering berperan dalam serangan siber modern.
Pretexting vs. Phishing
Rekayasa sosial, yang mencakup 16% dari semua pelanggaran, mengacu pada eksploitasi psikologis untuk membujuk kita mengambil tindakan yang membahayakan keamanan dan privasi pribadi, atau perusahaan tempat kita bekerja.
Taktik ini bisa mulai dari seorang staf yang mengizinkan penjahat berpura-pura menjadi kurir masuk ke gedung aman, hingga seseorang yang berpura-pura menjadi orang yang Anda cintai dalam keadaan darurat keuangan.
Jika diterapkan pada teknologi bergerak, phishing sering kali berbentuk teks palsu, nota suara, dan panggilan untuk tujuan jahat. Ini bukan hanya soal penjahat siber berpura-pura menjadi Anda dan menelepon penyedia telekomunikasi untuk mengganti SIM Anda; jika pretexting digunakan sebagai taktik, fondasi kepercayaan dibangun antara penjahat dan korban sebelum perangkap dipasang.
Anggap saja ini sebagai upgrade dari upaya phishing generik yang digunakan dalam serangan yang lebih canggih dan tertarget. Misalnya, seorang karyawan di bagian keuangan bisa menjadi sasaran, dengan membangun hubungan ramah melalui pesan dan panggilan dari ponsel, di mana pelaku berpura-pura menjadi eksekutif, anggota tim, atau pemasok. Ketika kepercayaan yang cukup telah terbangun, korban kemudian ditipu untuk mengubah detail pembayaran faktur, sehingga tanpa sadar mengirimkan uang kepada penjahat alih-alih pemasok.
Berdasarkan temuan, rata-rata rasio klik-tayang untuk kampanye phishing email simulasi dalam kumpulan data Verizon adalah 1,4%, dibandingkan dengan tingkat phising lewat telepon sekitar 2%, atau peningkatan sebesar 40%.
Tren keamanan kunci lainnya
Penelitian Verizon juga mengungkapkan bahwa hampir sepertiga (31%) pelanggaran kini dimulai dengan eksploitasi kerentanan. Ini menandai pertama kalinya eksploitasi celah keamanan melampaui penggunaan kredensial curian sebagai titik masuk awal ke sistem target, yang kini tercatat sebagai penyebab 13% insiden.
Pergeseran ini diduga karena AI. Menurut laporan, AI digunakan oleh penjahat siber untuk mengurangi waktu yang diperlukan dalam mengeksploitasi kerentanan, "mempersempit jendela pertahanan dari berbulan-bulan menjadi hanya beberapa jam."
Selain itu, hanya 26% kerentanan kritis yang dicatat oleh CISA yang sepenuhnya diPatch dan diselesaikan pada tahun 2025, menurun dari 38% pada tahun 2024.
Tren menarik lainnya yang harus diwaspadai organisasi adalah shadow AI. Bisnis telah lama menyadari shadow IT, penggunaan perangkat dan layanan online oleh karyawan tanpa izin eksplisit, tetapi kini shadow AI juga menjadi risiko keamanan potensial.
Secara total, 67% karyawan menggunakan akun AI non-perusahaan pada perangkat yang disediakan perusahaan. Shadow AI adalah ancaman orang dalam non-berbahaya ketiga yang paling umum tercatat tahun lalu, dengan pengguna yang sering memasukkan data perusahaan yang sensitif dan rahasia ke model-model ini, termasuk kode sumber, riset, dan dokumen teknis.
Cara tetap terlindungi
Karena ukuran sampelnya kecil, kesimpulan umum penelitian Verizon tentang phising yang berpusat pada seluler memiliki beberapa catatan. Namun, ini karena hanya sedikit titik data yang tersedia, tampaknya tidak banyak perusahaan yang melakukan simulasi atau pelatihan phishing khusus ponsel—yang pada gilirannya, mengungkapkan potensi masalah.
Pelatihan anti-phishing bukanlah hal baru, meskipun manfaatnya masih diperdebatkan, terutama jika hanya dianggap sebagai latihan tahunan untuk memenuhi formalitas. Namun, dengan sedikitnya organisasi yang mempertimbangkan aspek perangkat bergerak dari taktik phishing modern, mereka mungkin mengekspos diri pada risiko yang lebih besar, terutama ketika karyawan menggunakan perangkat pribadi mereka untuk mengakses jaringan dan sistem perusahaan.
Jika penjahat siber dibiarkan menerobos sistem keamanan dengan menghubungi karyawan yang tidak menaruh curiga secara langsung, investasi dalam pertahanan anti-phishing bisa menjadi sia-sia.
Bagi organisasi, jawabannya adalah mengembangkan strategi baru untuk memerangi ancaman phishing tradisional maupun yang terus berkembang, baik melalui email maupun perangkat seluler. Dengan maraknya praktik pretexting, pelatihan harus mengajarkan staf bahwa phishing bukan lagi sekadar email sebanya-banyaknya—para penjahat ini akan menarik hati sanubari Anda dan mengeksploitasi kepercayaan Anda untuk mencapai tujuan mereka.
Selain itu, serangan ini dapat terjadi melalui perangkat milik karyawan yang berada di luar kendali perusahaan dan dapat menjadi ancaman tak terlihat bagi keamanan korporat. Oleh karena itu, organisasi harus mempertimbangkan kembali kebijakan izin akses atau mencabut skema bring-your-own-device. Mengizinkan staf menggunakan telepon pintar mereka sendiri mungkin menghemat biaya dalam jangka pendek, tetapi pelanggaran data jelas tidak murah.