Meningkatnya berbagai ancaman yang menyasar orang dan perusahaan. Phishing adalah salah satu ancaman yang paling umum dan merusak, yang menyebabkan hampir tahun lalu. Pada paruh kedua tahun 2024, serangan phishing melonjak dengan pengguna menerima setidaknya satu pesan phishing canggih yang mampu menghindari pertahanan keamanan per minggu. Berikut ini adalah beberapa contoh penting di tahun 2024 yang menggambarkan bagaimana ancaman phishing telah berkembang dan berevolusi dalam kompleksitas. Organisasi harus mencermati contoh-contoh ini untuk mempersiapkan pertahanan mereka menghadapi tahun 2025. sepertiga dari seluruh serangan siber 202% Pengaburan Halaman Seluler yang Dipercepat Dimanfaatkan untuk Phishing Google awalnya mengembangkan untuk meningkatkan pengalaman pengguna dan kinerja halaman situs web yang sarat konten. Aktor ancaman sekarang fungsi ini untuk menutupi URL berbahaya dan menghindari pertahanan keamanan email. Dengan menggunakan domain yang sah dan menambahkan beberapa lapisan pengalihan di URL ini, penyerang dapat menyembunyikan tujuan sebenarnya dari URL dan lolos dari pemindai URL tanpa terdeteksi karena alat keamanan ini hanya dirancang untuk memverifikasi reputasi domain yang terlihat. Penyerang tahu bahwa pengguna cenderung mengarahkan kursor ke tautan URL sebelum mengkliknya dan oleh karena itu metode pengaburan ini membantu mereka menipu pengguna agar berpikir bahwa mereka mengklik URL dari domain tepercaya. URL AMP mengeksploitasi YouTuber Menjadi Sasaran Serangan Phishing Serangan siber bermotif finansial. Oleh karena itu, tidak mengherankan jika penjahat siber menargetkan influencer YouTube yang kaya. Menurut laporan , pelaku kejahatan menghubungi YouTuber dengan dalih permintaan promosi merek atau kesepakatan kolaborasi. Mereka menyamar sebagai merek tepercaya dan mengirimkan file yang mengandung malware yang disamarkan sebagai kontrak atau materi promosi, lalu menyimpannya di platform cloud seperti OneDrive. Saat lampiran berbahaya tersebut diunduh dan dibuka di komputer korban, malware tersebut menginstal dirinya sendiri dan mencuri data sensitif seperti informasi keuangan, kekayaan intelektual, dan kredensial login. Paling AwanSEK Phisher Meningkatkan Serangan BEC terhadap Pengecer Beberapa sumber mengklaim Email phishing dikirimkan setiap hari. Serangan kompromi email bisnis (BEC) merugikan bisnis hampir $5 juta per tahun. Dalam salah satu insiden tersebut, unit bisnis Hongaria milik grup tersebut menjadi sasaran kampanye BEC di mana penyerang menyamar sebagai seorang eksekutif senior dengan memalsukan alamat email mereka. Email tersebut berisi bahasa yang meyakinkan yang mendorong penerima untuk mentransfer €15,5 juta tanpa memverifikasi otoritas pengirim. Meskipun serangan BEC dapat memengaruhi bisnis apa pun terlepas dari ukuran, pendapatan, atau industrinya, menunjukkan bahwa organisasi dengan pendapatan tinggi memiliki risiko lebih besar terhadap serangan BEC daripada bisnis dengan pendapatan rendah. Prevalensi serangan BEC adalah yang dalam perdagangan eceran. 3,4 miliar insiden Pepco studi tertinggi Penipuan Obituari AI Meningkat Peneliti di menemukan penipuan rekayasa sosial yang menargetkan individu yang mencari informasi tentang orang yang baru saja meninggal. Penipuan ini melibatkan penerbitan pemberitahuan kematian palsu di situs web palsu dan menggunakan teknik SEO untuk mengarahkan lalu lintas ke situs-situs tersebut. Penyerang menggunakan teknologi AI untuk membuat penghormatan yang panjang dari fakta yang diambil dari penghormatan yang lebih pendek. Tujuannya adalah untuk mengarahkan pengguna ke situs jahat tempat mereka terpapar adware, infostealer, dan program jahat lainnya. Pekerjaan aman Lampiran yang Diretas di Thread Email Faktur Peneliti di mendeteksi jenis serangan phishing baru yang memengaruhi organisasi keuangan, teknologi, manufaktur, media, dan e-commerce di seluruh Eropa. Serangan dimulai dengan pelaku kejahatan yang mengirimkan pemberitahuan faktur asli yang telah dicuri atau dibajak menggunakan kredensial email yang disusupi. Yang membedakan email ini dari email asli adalah email tersebut berisi lampiran ZIP yang diubah yang dilindungi kata sandi untuk menghindari penyaringan email dan pemeriksaan sandbox. Nama file bahkan disesuaikan dengan organisasi target agar tampak lebih autentik. Saat penerima membuka zip file, malware infostealer (seperti StrelaStealer) menginfeksi komputer korban dan mencuri kredensial email yang disimpan di MS Outlook atau Mozilla Thunderbird. Bahasa Indonesia: IBM Poin-poin Utama Tidak ada satu pun alat di dunia yang dapat memberikan perlindungan yang sangat baik terhadap phishing. Untuk mengurangi phishing, organisasi harus fokus pada dasar-dasar keamanan: Melalui pelatihan rutin, latihan kewaspadaan, dan uji simulasi phishing, bangun tenaga kerja yang bertanggung jawab dan waspada terhadap keamanan siber. Bangun tenaga kerja yang sadar akan keamanan: Pastikan sistem, perangkat keras, aplikasi, dan perangkat lunak selalu diperbarui untuk mencegah penyerang mengeksploitasi kerentanan baru atau yang sudah ada. Perbarui perangkat lunak secara berkala: Terapkan alat dan proses zero-trust (jangan pernah percaya, selalu verifikasi) yang berfokus pada verifikasi identitas pengguna sebelum memberikan akses ke sumber daya atau data perusahaan. Terapkan pola pikir zero-trust: Sediakan alat keamanan seperti pengelola kata sandi bagi karyawan agar mereka tidak menjadi korban ancaman seperti penggunaan ulang kata sandi. Permudah staf untuk menghubungi tim keamanan dan melaporkan pesan phishing. Tetapkan dan komunikasikan kebijakan keamanan yang jelas dan transparan, apa yang boleh dan tidak boleh dilakukan, dll. Memberdayakan staf: Gunakan filter email canggih (sebaiknya berbasis AI) yang dapat mendeteksi pola mencurigakan seperti alamat pengirim yang tidak biasa, URL dan domain berbahaya. Terapkan keamanan email yang kuat: Teknik phishing yang dijelaskan di atas menyoroti kecanggihan dan variasi ancaman yang semakin meningkat yang menargetkan individu dan organisasi. Metode baru ini menunjukkan perlunya kewaspadaan yang lebih tinggi dan langkah-langkah keamanan yang proaktif. Membangun tenaga kerja yang sadar akan keamanan, memberdayakan mereka dengan berbagai alat, mengadopsi zero trust, memperbarui perangkat lunak secara berkala, dan menerapkan keamanan email yang kuat dapat memberikan pertahanan penting terhadap gelombang serangan phishing di masa mendatang.
