Ketika kau memikirkan email phishing, mungkin kau memikirkan contoh-contoh kasar, gramatis yang jelek, mudah dikenali yang langsung masuk ke folder sampahmu.
Saya menyesal untuk memberitahumu bahwa kampanye “semprot dan berdoa” yang lemah itu sudah bukan berita terbaru. Penjahat belum menjadi lebih pintar, tetapi alat-alat mereka sudah.
Dengan bantuan AI generatif, penipu online telah menjadi jauh lebih baik dalam menciptakan dan mengirimkan email phishing yang terlihat dan terdengar meyakinkan. Tahun lalu, sekelompok peneliti keamanan berkekuatan tinggi menemukan bahwa alat phishing berbasis AI telah mengurangi biaya serangan ini lebih dari 95% – sambil membuatnya sangat efektif. Satu studi menunjukkan bahwa 60% responden jatuh menjadi korban serangan otomatis ini.
Alat-alat itu dapat membantu penjahat membuat serangan yang sangat ditargetkan, personalisasi secara detail yang bisa sulit dikenali, terutama jika kau lelah atau terganggu.
Bahkan ahli keamanan bersertifikat pun bisa tertipu. Tanya saja Troy Hunt, pencipta situs “Have I Been Pwned”. Dia tertipu oleh penyerang yang canggih yang mencuri daftar mailing list Mailchimp-nya. Dengarkan penjelasannya tentang apa yang terjadi.
Pertama, saya telah menerima banyak phising serupa sebelumnya yang saya identifikasi awal, jadi apa yang berbeda dari yang ini? Kelelahan adalah faktor utama. Saya tidak cukup waspada, dan saya tidak memikirkan dengan benar apa yang saya lakukan. Penyerang tidak punya cara tahu itu (saya tidak punya alasan untuk menduga ini ditargetkan secara khusus pada saya), tetapi kita semua memiliki momen kelemahan, dan jika phish itu datang sempurna dengan itu, nah, di sinilah kita.
Kedua, membacanya lagi sekarang, itu adalah phish yang sangat baik. Itu secara sosial membangun saya untuk percaya bahwa saya tidak akan bisa mengirimkan newsletter saya, jadi itu memicu “ketakutan,” tetapi tidak semua lonceng dan peluit tentang sesuatu yang mengerikan terjadi jika saya tidak segera bertindak. Itu menciptakan jumlah urgensi yang pas tanpa berlebihan.
Apa yang harus kau lakukan jika kau mengklik tautan phishing
Jadi, apa yang harus kau lakukan jika kau mengklik salah satu tautan itu dan kemudian menemukan, dengan kekecewaanmu, bahwa itu adalah situs palsu yang dirancang untuk menangkap informasimu? Mungkin kau menyadari hampir seketika karena ada yang tidak begitu benar. Atau mungkin kau sudah memasukkan beberapa informasi sensitif. Dalam kedua kasus, inilah yang harus kau lakukan selanjutnya.
1. Berhenti mengetik! Jika kau belum memasukkan informasi apa pun, tutup tab browser atau aplikasi mobile segera dan pertimbangkan untuk membersihkan cache untuk menghilangkan kemungkinan bahwa situs itu dapat menanamkan beberapa informasi pelacakan.
2. Jika ragu, putuskan. Jika kau khawatir bahwa situs itu mungkin lebih dari upaya phishing biasa dan bahwa mungkin mencoba menginstal alat akses jarak jauh atau bentuk malware lainnya, putuskan dari jaringan. Kau bisa menyalakan mode pesawat pada perangkat mobile atau laptop; jika kau memiliki koneksi kabel, cabut adapter Ethernet.
Atau cukup tekan tombol daya untuk mematikan sementara kau mencari langkah-langkah berikutnya.
3. Jika ini adalah perangkat kerja, hubungi departemen IT-mu. Beritahukan kepada mereka apa yang terjadi sehingga mereka dapat memeriksa log yang diperlukan dan mulai mencari aktivitas mencurigakan. Jadilah jujur. Semakin banyak informasi yang kau berikan, semakin mungkin mereka dapat mendeteksi intrusi dan mengurangi kerusakan.
4. Atur ulang kata sandi-mu dan aktifkan 2FA. Jika kau memberi penyerang nama pengguna dan kata sandi untuk sebuah akun, kau perlu mengubah kata sandi tersebut sesegera mungkin, sebelum mereka memiliki kesempatan untuk mengunci kau keluar. Jika kau memasukkan alamat email, nomor telepon, atau informasi pribadi lain yang bisa digunakan penyerang untuk menyamar sebagai dirimu, pertimbangkan untuk mengamankan akun yang terkait dengan informasi itu.
Buat kata sandi baru, kuat, unik untuk akun-akun itu. Jika kau belum mengaktifkan otentikasi multi-faktor (juga dikenal sebagai otentikasi 2-faktor atau 2FA), lakukan sekarang, terutama untuk akun-akun penting.
Jika memungkinkan, lakukan pekerjaan pembersihan ini pada PC, Mac, atau perangkat mobile yang berbeda dari tempat di mana kau dipancing, untuk menghindari kemungkinan bahwa perangkat itu telah diretas.
5. Pindai untuk malware. Jika ini adalah perangkat Windows, jalankan pemindaian antivirus penuh pada perangkat yang terpengaruh untuk menentukan apakah ada perangkat lunak jahat yang terinstal. Jika memungkinkan, gunakan pemindai offline seperti Emsisoft Emergency Kit atau Microsoft Safety Scanner. Pertimbangkan untuk memformat ulang perangkat atau memulihkan dari cadangan yang baik jika kau curiga telah diretas.
6. Pantau aktivitas yang mencurigakan. Jika kau memberikan akses penyerang ke akun Microsoft, Google, atau Apple-mu, kau bisa pergi ke halaman akun mereka masing-masing, masuk dengan kredensialmu, dan periksa aktivitas yang mencurigakan.
Layanan online lain menawarkan fitur serupa. Cari opsi untuk keluar dari semua perangkat yang saat ini terhubung.
7. Jangan malu. Kau adalah korban kejahatan. Itu bisa terjadi pada siapa saja.
Konsentrasikan pada memastikan kau pulih dari kerusakan apapun. Dan jangan takut untuk menceritakan pengalamanmu kepada orang lain. Pengalamanmu bisa saja menjadi apa yang orang lain butuhkan untuk menghindari menjadi korban mereka sendiri.