Serangan callback phishing sedang meningkat. Jika Anda pernah menerima email yang meminta Anda untuk memperbarui layanan atau membayar tagihan untuk layanan yang tidak pernah Anda beli, Anda pernah mengalami callback phishing secara langsung.
Apa itu Callback Phishing?
Serangan callback phishing, terkadang disebut pengiriman serangan berorientasi telepon (TOAD), menggabungkan dua metode phishing. Korban menerima email phishing yang memberi tahu mereka tentang suatu masalah. Alih-alih memberikan lebih banyak informasi tentang situasi di email, pelaku ancaman memasukkan nomor kontak, berharap mendapat telepon balasan dari korban.
Ketika penerima memanggil nomor telepon yang disebutkan, pelaku ancaman menggunakan teknik rekayasa sosial untuk memikatnya korban untuk membagikan data sensitif, menginstal malware, atau mengambil tindakan lain yang dapat menguntungkan pelaku ancaman.
Cara Kerja Callback Phishing
Pertama, korban menerima email yang memberi tahu mereka bahwa pembayaran harus dilakukan untuk berlangganan layanan. Seringkali, tidak ada faktur yang dilampirkan dalam surat. Korban kemudian menjadi penasaran atau geram saat menerima permintaan pembayaran untuk layanan yang tidak mereka beli—sehingga mereka menghubungi nomor telepon yang disebutkan di email.
Pelaku ancaman menghadiri panggilan tersebut dan mengelabui korban agar mengikuti langkah-langkah khusus untuk membatalkan pesanan. Saat korban mengikuti langkah-langkah tersebut, malware terinstal di PC mereka, atau pelaku ancaman menerima informasi sensitif.
Pelaku ancaman mengakhiri panggilan setelah korban melakukan tindakan yang diinginkan oleh pelaku ancaman.
Mengapa Peretas Mencoba Serangan Callback Phishing
Dengan melakukan serangan callback phishing yang berhasil, pelaku ancaman dapat:
- Mencuri data sensitif, kredensial login, atau jenis data rahasia lainnya.
- Instal ransomware di komputer korban untuk mengenkripsi data untuk mendapatkan uang tebusan.
- Dapatkan informasi kartu kredit korban atau informasi rekening bank untuk mencuri uang.
- Instal perangkat lunak akses jarak jauh di komputer korban untuk mencuri file sensitif.
Di sebagian besar kampanye callback phishing, tujuan serangan adalah untuk mencuri data, uang, atau keduanya.
Saat ini, sebagian besar individu dan perusahaan menggunakan solusi anti-phishing atau anti-spam untuk memblokir email yang membawa file berbahaya.
Namun, email callback phishing tidak menyertakan lampiran berbahaya atau tautan berbahaya. Jadi email ini cenderung melewati filter email dan dikirim ke komputer korban. Selain itu, serangan callback phishing memiliki biaya per target yang rendah.
Jadi tidak mengherankan jika semakin banyak pelaku ancaman melakukan upaya callback phishing.
Cara Mencegah Serangan Callback Phishing
Kampanye callback phishing yang sukses dapat menyebabkan kerusakan yang tidak dapat diperbaiki pada individu atau perusahaan.
Berikut adalah beberapa cara untuk melindungi dari serangan callback phishing.
Terapkan Solusi Keamanan Email
Meskipun beberapa email callback phishing yang dibuat dengan hati-hati dapat lolos dari solusi keamanan email, menerapkan solusi keamanan email terkenal seperti gateway email dapat membantu meningkatkan perusahaan Anda postur keamanan.
Pertimbangkan bagaimana serangan kompromi email bisnis (BEC) dapat menghabiskan banyak uang dan kehilangan reputasi. Menerapkan solusi keamanan email yang tangguh dapat meminimalkan risiko serangan penyusupan email bisnis. Dalam kebanyakan kasus, solusi keamanan email akan mendeteksi dan memblokir email spoofing, phishing, dan penipuan. Solusi semacam itu juga dapat membantu mencegah penginstalan malware di PC Anda.
Selain itu, solusi keamanan email yang baik dapat mengingatkan Anda tentang perilaku pengguna yang mencurigakan. Jadi, pastikan Anda memiliki salah satunya suite email teratas untuk konfigurasi kotak masuk yang aman.
Bahkan jika Anda tidak bekerja dalam pengaturan profesional, menginstal perangkat lunak anti-virus yang baik di perangkat Anda dapat memberi Anda keamanan optimal dari email phishing dan banyak ancaman keamanan dunia maya lainnya.
Periksa Email dengan Cermat untuk Tanda-Tanda Phishing yang Jelas
Meskipun email phishing panggilan balik tidak memiliki lampiran atau tautan berbahaya, mereka memiliki beberapa tanda phishing teratas yang harus Anda waspadai.
Sebuah email kemungkinan merupakan email phishing yang memiliki pengirim yang tidak biasa. Misalnya, email dapat mengklaim berasal dari perusahaan yang sah, tetapi tidak memiliki alamat email bermerek. Sebaliknya, ia memiliki alamat email umum seperti google.com atau yahoo.com.
Anda juga bisa curiga terhadap email yang penuh dengan kesalahan ejaan dan tata bahasa. Tidak ada perusahaan resmi yang mengirimkan email yang penuh dengan kesalahan tekstual. Perhatikan juga pesan yang memberikan jendela pendek untuk melakukan tugas. Misalnya, alamat email memberi Anda waktu beberapa jam untuk melakukan pembayaran agar langganan tetap aktif.
Email phish mungkin ditandai oleh penyedia email Anda. Beberapa penyedia email memiliki teknologi anti-spam bawaan untuk mengingatkan pengguna tentang phishing dan email spam.
Kini, pelaku ancaman menggabungkan berbagai taktik rekayasa sosial untuk mengelabui korban agar menelepon mereka. Jadi Anda harus ekstra hati-hati saat mengambil tindakan berdasarkan email yang menimbulkan kecurigaan.
Curigai Jika Ini Tentang Uang
Salah satu cara jitu untuk menghindari terjerumus dalam serangan callback phishing adalah dengan memeriksa ulang apakah pesan tersebut tentang uang atau kredensial login.
Jika ada email dari perusahaan yang tampaknya sah menimbulkan rasa urgensi dan meminta Anda mengirim uang, curigalah.
Jika email tersebut tidak memiliki informasi mendetail kecuali nomor telepon perwakilan layanan pelanggannya, kemungkinan itu adalah bagian dari kampanye phishing panggilan balik.
Menyelenggarakan Program Pelatihan Phishing
Callback phishing, bagian dari serangan rekayasa sosial, mengandalkan kesalahan manusia daripada kerentanan sistem.
Jadi menjalankan program pelatihan kesadaran keamanan siber karyawan secara teratur dapat meminimalkan risiko serangan callback phishing.
Berikut adalah area utama yang harus Anda fokuskan kapan membangun program pelatihan kesadaran keamanan. Sebagai permulaan, program pelatihan kesadaran keamanan harus menawarkan pendidikan tentang berbagai keamanan siber serangan, termasuk callback phishing, spam, malware, metode rekayasa sosial, serangan berbasis skrip, dan masih banyak lagi. Harus ada cukup fokus pada cara menemukan email phishing, URL jahat, situs web jahat, dll.
Karyawan tidak boleh menggunakan alamat email perusahaan untuk mengunduh alat teknologi tepercaya yang sah dari situs web palsu atau berlangganan layanan online acak. Melakukannya adalah cara yang pasti untuk mengundang email phishing atau spam. Anda harus memastikan bahwa karyawan Anda mengikuti kebijakan keamanan kata sandi terbaik. Mereka juga harus menggunakan autentikasi multifaktor untuk menambahkan lapisan keamanan ke akun mereka.
Program pelatihan Anda juga harus memiliki tes phishing tiruan untuk menilai kesiapan karyawan Anda untuk melawan kampanye phishing callback. Dan pastikan karyawan Anda mengikuti praktik terbaik untuk melindungi akun email perusahaan untuk menghindari penipuan.
Callback Phishing Dijelaskan
Sekarang Anda tahu apa itu callback phishing dan bagaimana Anda bisa mencegahnya. Tetap waspada untuk menghindari menjadi korban serangan phishing callback. Selain itu, Anda harus mempelajari lebih lanjut untuk memahami bagaimana tampilan email spam untuk menemukan email semacam itu dengan cepat.
