Peretas mengambil cara penipuan dengan level baru, tetapi program kesadaran keamanan merupakan esensial utama untuk membantu pengguna mendeteksi berbagai jenis cyberfraud.
Fraud bukan ‘lah hal baru, namun internet memberikan kepada para Hacker kapabilitas untuk melakukannya dengan mudah. Menggunakan vektor ancaman untuk menipu karyawan sehingga memberikan akses informasi ke perusahaan. Serangan siber jahat sering diluncurkan melalui aksi phising atau spear-phising-campaign yang secara konsisten menjangkit dan terkadang atau bahkan menghancurkan sebuah perusahaan. Yah, meskipun semakin banyak teknologi yang tersedia untuk mendeteksi atupun mencegah semisal serangan rekayasa sosial tidak berhasil, tautan terlemah tetap merupakan kesalahan manusia–baik itu kelalaian, kejahatan, atau apatis.
Anggota Institute of Electrical and Electronics Engineers, Kayne McGladrey menjelaskan jenis-jenis serangan siber pada perusahaan yang mungkin akan dihadapi, dimuali dari credential harvesting hingga serangan typosquatting.
Apa saja serangan siber yang sering mengganggu perusahaan hingga hari ini?
Menurut Kayne McGladrey, credential harvesting melalui halaman login yang disimulasikan tetap menjadi opsi paling populer yang dilakukan, akan tetapi serangan berbasis token OAuth (Open Authorization) menjadi dikomoditisasi. Serangan OAuth ini menggunakan URL yang terlihat asli dan bekerja dengan beberap otentikasi multifaktor.
Kenapa serangan ini selalu berhasil dan menjadi tantangan besar?
Masih dengan pendapat McGladrey, halaman login palsu tetap terus lolos karena pengguna meningkatkan penggunaan perangkat ponsel untuk email perusahaan. Sangat susah untuk mengidentifikasi link phising saat diklik melalui ponsel, dan pelaku juga mengirimkan berkali-kali email yang terdengar penting di waktu tertentu, contohnya seperti sebelum makan siang di hari Senin dan setelah jam kerja di hari Jum’at. Pastinya pengguna akan teralih dengan tergesa-gesa, pertahanannya lengah, dan memberikan pintu keberhasilan bagi Attacker.
Serangan OAuth semakin mengganas selagi perusahaan yang matang terus menekan kesadaran phising kepada pegawainya. Serangan ini menggunakan sertifikat SSL/TLS dan URL yang valid, yang mana sering diajarkan selama edukasi phising. Sayangnya, serangan OAuth mengotorisasi aplikasi pihak ketiga untuk mengakses email pegawai, kalender atau file, yang mana memberikan keleluasaan bagi pelaku. Serangan ini tetap berhasil karena banyak perusahaan yang tidak aktif berburu maupun mempelajarai ancaman dengan jenis penyalahgunaan izin aplikasi pihak ketiga.
Jenis serangan siber apa yang dicoba-dan-benar digunakan oleh para pelaku?
Cloning website juga merupakan opsi yang sering digunakan oleh Attacker, digabung dengan serangan typosquatting. Alasan mengapa pelaku membuat kloningan perusahaan ataupun websitenya karena untuk menunjukan kalau mereka ‘terlihat asli’ dan pengguna terperangkap dalam serangan mereka. Bahkan, kloningan tersebut juga mencakup gaya dan ukuran huruf, spasi, gambar dan tampilan lainnya yang sekiranya mampu menunjukan kalau website tersebut asli.
Serangan Homograph dan typosquatting akan terus berlanjut ada, karena mahalnya dan waktu bagi perusahaan untuk membeli dan memelihara setiap permutasi nama domain terhadap pergerakan luas yang cepat dari sejumlah pendaftar domain. Dengan perbandingan murahnya–terkadang gratis–bagi pelaku serangan untuk membeli sebuah domain.
Mengapa manusia masih menjadi mata rantai terlemah terlepas dari semua pengetahuan dan sumber daya keamanan siber?
Para pelaku kejahatan memiliki hipotek, tanggungan cicilan mobil, ataupun kredit lainnya. Mereka memiliki ulasan kinerja tahunan, mengerjakan proyek, dan banyak dari mereka memiliki jam-jam bekerja di kantor. Para pelaku mendapatkan penghargaan atas inovasi mereka; sayangnya, struktur insentif mereka didasarkan dengan menipu orang.
Tantangannya adalah bahwa pelaku penipuan ini menghabiskan banyak jam-jam kerja mereka dengan berpikir mencari cara baru untuk menipu orang-orang. Pertahanan keamanan siber menghabiskan waktu mereka untuk mengembangkan program dan alat yang bisa melindungi orang-orang dari jerat cyberfraud. Akan tetapi, kebanyakan orang-orang (biasa) tidak memikirkan hal tersebut sama sekali, selain kekhawatiran yang tidak pasti terhadap pelanggaran data mereka.
Bagaimana cara perusahaan mengedukasi karyawan untuk mencegah serangan ini terjadi?
Keterlibatan terus-menerus dengan melakukan beberapa pelatihan singkat merupakan kuncinya. Menurut McGladrey, pelaku cyberfraud telah menyediakan keterlibatan dunia nyata, namun mereka tidak memberikan pelatihan end user. Perusahaan harus melakukan sebuah tes nyata phising dan spear phising bersama dengan karyawan yang melaporkan email mencurigakan untuk analisis. Proses pelaporan ini akan memberikan wawasan nilai pertahanan terhadap evolution target dan serangan komoditas yang berkelanjutan yang bisa digunakan untuk memperbarui mekanisme perlindungan secara reaktif.
Apa yang terbaik dilakukan untuk membangun dan menjalankan program kesadaran keamanan pada perusahaan?
Selain menggunakan framework formal–seperti Center for Internet Security Control 17, mempertimbangkan end user untuk mengikutu uji pelatihan. Dengan memberikan 10 kuis pertanyaan per bulan dan hanya memberikan materi pelatihan berupa video ataupun audio kepada orang-orang yang membutuhkan topik tambahan. Dan kebanyakan karyawan tidak menonton pelatihan keamanan siber 5 menit setiap bulannya. Menggunakan kuis juga memungkinkan organisasi menunjukan terukurnya perkembangan dalam mempelajarai objek-objek dengan tujuan kepatuhan.