Serangan whaling adalah metode yang digunakan oleh penjahat siber untuk berpura-pura sebagai pemain senior di suatu organisasi dan langsung menargetkan individu senior atau penting lainnya, dengan tujuan mencuri uang atau informasi sensitif atau mengakses sistem komputer mereka untuk tujuan kriminal. Juga dikenal sebagai penipuan CEO</1>, serangan whaling mirip dengan phishing karena menggunakan metode seperti pemalsuan email dan situs web untuk menipu target agar melakukan tindakan tertentu, seperti mengungkapkan data sensitif atau mentransfer uang.
Sementara penipuan phishing menargetkan individu yang tidak spesifik dan spear-phishing menargetkan individu tertentu, serangan whaling lebih fokus pada yang terakhir dengan tidak hanya menargetkan individu penting, tetapi juga dengan cara membuat komunikasi yang mereka terima tampak berasal dari seseorang yang senior atau berpengaruh di organisasi mereka. Anggaplah mereka sebagai "ikan besar" atau "paus" di perusahaan, seperti CEO atau manajer keuangan. Hal ini menambah elemen rekayasa sosial ekstra, di mana staf cenderung enggan menolak permintaan dari orang yang mereka anggap penting.
Ancaman ini sangat nyata dan makin berkembang. Pada tahun 2016, departemen penggajian Snapchat menerima email serangan whaling yang tampak dikirim oleh CEO yang meminta informasi gaji karyawan. Tahun lalu, perusahaan mainan besar, Mattel, menjadi korban serangan whaling setelah seorang eksekutif keuangan senior menerima email yang meminta transfer uang dari penipu yang menyamar sebagai CEO baru. Akibatnya, perusahaan tersebut hampir kehilangan $3 juta.
Bagaimana Cara Kerja Serangan Whaling — dan Cara Melindungi Diri Anda
Seperti yang telah disebutkan, serangan whaling berbeda dari spear-phishing karena komunikasi palsu tampak berasal dari seorang senior. Serangan ini dapat menjadi lebih meyakinkan ketika penjahat siber melakukan riset mendalam yang menggunakan sumber daya terbuka seperti media sosial untuk menyusun pendekatan yang disesuaikan untuk individu target.
Ini bisa mencakup email yang tampak dari manajer senior dan dapat mencakup referensi tentang sesuatu yang mungkin telah diperoleh penyerang secara online, misalnya, ketika mereka melihat orang tersebut di gambar media sosial dari pesta Natal kantor: ‘Hai John, ini Steve – kamu cukup mabuk Kamis lalu! Semoga kamu bisa menghilangkan noda bir dari kemeja merahmu!’
Selain itu, alamat email pengirim biasanya terlihat berasal dari sumber yang kredibel dan mungkin juga menyertakan logo perusahaan atau tautan ke situs web palsu yang telah dirancang agar terlihat asli. Karena tingkat kepercayaan dan akses seorang whale dalam organisasi biasanya tinggi, penjahat siber akan menginvestasikan waktu dan usaha ekstra untuk membuat usaha mereka terlihat meyakinkan.
Pertahanan melawan serangan whaling dimulai dengan mendidik individu penting di organisasi Anda agar mereka selalu waspada terhadap kemungkinan menjadi target serangan ini. Peringatkan anggota staf penting untuk selalu waspada terhadap kontak yang tidak diminta, terutama yang berhubungan dengan informasi penting atau transaksi keuangan. Mereka harus selalu bertanya pada diri sendiri apakah mereka memang menunggu email, lampiran, atau tautan itu? Apakah permintaan itu tidak biasa dalam hal apa pun?
Mereka juga harus dilatih untuk mengenali tanda-tanda serangan yang jelas, seperti alamat email dan nama yang dipalsukan (spoofing). Hanya dengan mengarahkan kursor ke nama dalam email, alamat lengkapnya akan terungkap. Dengan memperhatikan dengan saksama, bisa terlihat apakah itu benar-benar sesuai dengan nama dan format perusahaan. Departemen TI Anda juga seharusnya melakukan simulasi serangan whaling untuk menguji bagaimana reaksi staf penting Anda.
Para eksekutif juga harus belajar untuk lebih berhati-hati saat membagikan informasi secara online di situs media sosial seperti Facebook, Twitter, dan LinkedIn. Informasi seperti tanggal lahir, hobi, liburan, jabatan, promosi, dan hubungan dapat digunakan oleh penjahat siber untuk merancang serangan yang lebih canggih.
Salah satu metode yang efektif untuk mengurangi risiko dari email palsu adalah dengan meminta departemen TI Anda secara otomatis menandai email yang berasal dari luar jaringan untuk ditinjau. Serangan whaling sering kali mengandalkan penipuan yang dilakukan oleh penjahat siber terhadap personel penting untuk meyakinkan mereka bahwa pesan berasal dari dalam organisasi, seperti permintaan manajer keuangan untuk mentransfer uang ke sebuah akun. Menandai email dari luar jaringan memudahkan untuk mengidentifikasi email palsu yang terlihat asli, bahkan bagi orang yang tidak terlatih sekalipun.
Sangat disarankan untuk menerapkan perangkat lunak anti-phishing khusus yang menawarkan layanan seperti skrining URL dan validasi tautan. Sangat bijaksana untuk mempertimbangkan menambahkan satu level validasi tambahan saat menangani informasi sensitif atau jumlah dana yang besar. Sebagai contoh, pertemuan secara tatap muka atau panggilan telepon bisa menjadi praktik terbaik ketika menangani tugas penting atau sensitif, ketimbang hanya melakukan transaksi secara elektronik.
Selain itu, dalam menghadapi penipuan di Internet, kerja sama antara dua orang lebih efektif daripada sendirian. Pertimbangkan untuk mengubah prosedur di organisasi Anda sehingga dua orang, bukan hanya satu, yang perlu memberikan persetujuan untuk pembayaran. Hal ini tidak hanya memberikan seseorang sudut pandang tambahan untuk mengatasi keraguan, tetapi juga mengurangi ketakutan bahwa mereka bisa menjadi sasaran hukuman dari orang senior jika terjadi kekecewaan akibat penolakan – karena ketakutan adalah salah satu taktik rekayasa sosial utama yang dimanfaatkan oleh para penyerang.
Produk yang direkomendasikan:
