1 dari 5 karyawan tertipu dengan email phishing
Data simulasi phishing dari Kaspersky Security Awareness Platform menunjukkan bahwa karyawan cenderung tidak menyadari ancaman email tersembunyi dengan masalah bertema perusahaan dan pemberitahuan masalah pengiriman email. Satu dari lima karyawan (16-18%) masih mengklik template email yang meniru serangan phishing.
Ilustrasi.(pexels/MRG) |
Diperkirakan 91 persen dari semua serangan dunia maya yang ada dimulai dengan email phishing, dan 32 persen dari semua pelanggaran data disebabkan oleh penggunaan metode phishing yang tepat.
Untuk lebih memahami ancaman ini, Kaspersky Lab menganalisis data yang dikumpulkan melalui simulator phishing yang disediakan secara sukarela oleh pengguna.
Alat ini, terintegrasi ke dalam Kaspersky Security Awareness Platform, membantu perusahaan memeriksa apakah karyawan mereka dapat membedakan antara email asli dan phishing tanpa membahayakan data perusahaan.
Ilustrasi.(pexels/MRG) |
Administrator perusahaan memilih dari daftar templat yang ada, mensimulasikan skenario phishing umum, atau membuat templat baru, lalu mengirimkannya melalui email ke sekelompok karyawan tanpa mensimulasikan peringatan, lalu melihat hasilnya.
Jelas bahwa sejumlah besar karyawan telah mengklik email phishing dan ini menunjukkan bahwa perusahaan membutuhkan pelatihan keamanan siber tambahan untuk karyawan.
Berdasarkan langkah-langkah spoofing phishing di atas, ada lima jenis email phishing yang paling efektif:
- Perihal: Upaya pengiriman gagal – Sayangnya, kurir kami tidak dapat mengirimkan barang Anda. Pengirim: Layanan pengiriman surat. Jumlah klik (membuka email): 18,5%
- Perihal: Surat tidak terkirim karena server surat kelebihan beban. Pengirim: Dukungan Google. Klik: 18 persen
- Perihal: Survei karyawan online: apa yang ingin Anda tingkatkan dalam pekerjaan di perusahaan. Pengirim: Sumber Daya Manusia. Klik: 18 persen
- Tema: Pengingat: Aturan berpakaian baru untuk seluruh perusahaan. Pengirim: Sumber Daya Manusia. Jumlah klik: 17,5%
- Perihal: Perhatian semua karyawan: rencana evakuasi untuk gedung baru. Pengirim: Departemen Keamanan. Klik: 16 persen
Ilustrasi.(pexels/MRG) |
Statistik tersebut didasarkan pada hasil simulasi dari 29.597 karyawan di 100 negara. Tidak semua pola phishing dikirimkan ke karyawan peserta simulasi. Data yang ditampilkan termasuk template email yang dikirim ke lebih dari 100 karyawan. Simulasi phishing dilakukan dari Januari 2021 hingga Mei 2022.
Pesan phishing lainnya yang banyak diklik oleh karyawan adalah konfirmasi pesanan layanan (11%), notifikasi pesanan masuk (11%), dan pengumuman kompetisi IKEA (10%).
Di sisi lain, email yang merugikan penerima atau menawarkan manfaat tertentu cenderung tidak menarik karyawan. Template email dengan baris subjek “Saya meretas komputer Anda dan mengetahui riwayat pencarian Anda” hanya diklik oleh 2% karyawan, sementara penawaran gratis Netflix dan uang tunai hanya menarik 1% karyawan.
“Pemodelan phishing adalah salah satu cara termudah untuk menentukan ketahanan siber karyawan dan mengevaluasi efektivitas pelatihan keamanan siber mereka. Namun, ada aspek penting yang perlu diperhatikan saat memutuskan apakah akan melakukan kegiatan ini, agar hasilnya benar-benar terasa,” kata Elena Molchanova, Head of Security Business Development, Kaspersky Lab.
“Yang penting, simulasi serangan dilakukan secara berkala dan didukung dengan pelatihan yang tepat sehingga karyawan dapat meningkatkan kewaspadaannya, sehingga terhindar dari serangan yang ditargetkan atau spear phishing.”
Ilustrasi.(pexels/MRG) |
Untuk mencegah kebocoran data, serta kerugian finansial dan reputasi lainnya dari serangan phishing, Kaspersky Lab merekomendasikan hal berikut:
- Peringatkan karyawan tentang tanda-tanda email phishing. Tema dramatis, salah ketik atau salah eja, alamat pengirim yang tidak konsisten, dan tautan yang mencurigakan;
- Jika email yang diterima meragukan, periksa format lampiran sebelum membukanya dan periksa keakuratan tautan sebelum mengklik. Ini dapat dilakukan dengan menempatkan kursor di bagian lampiran, memastikan alamat pengirim jelas dan asli, dan lampiran tidak dalam format yang dapat dieksekusi (.exe);
- Selalu laporkan setiap serangan phishing. Jika Anda mengetahui adanya serangan phishing, laporkan ke keamanan TI dan, jika mungkin, jangan buka email. Ini dapat membantu tim keamanan siber perusahaan memperbarui kebijakan anti-spam dan mencegah serangan;
- Memberikan pengetahuan dasar keamanan siber kepada karyawan. Pelatihan bertujuan untuk mengubah perilaku karyawan dan mengajari mereka cara menghadapi serangan.
- Karena serangan phishing dapat membingungkan dan tidak ada jaminan bahwa Anda akan menghindari semua klik yang tidak disengaja, lindungi perangkat kerja Anda dengan perlindungan yang andal. Pilih solusi yang memiliki kemampuan anti-spam, memantau perilaku mencurigakan, dan mencadangkan file jika terjadi serangan ransomware.