Email phishing adalah salah satu trik paling umum yang digunakan penipu, namun biasanya mudah ditangkap jika Anda memperhatikan. Tata bahasa yang janggal, detail acak, dan yang paling penting, alamat email tidak resmi adalah pertanda buruk. Misalnya, Anda mungkin menerima email yang menyatakan bahwa ID Apple Anda telah dinonaktifkan, namun email pengirimnya sebenarnya bukan dari Apple. Namun kini, para penipu menemukan cara untuk mengatasi hal ini.
Menurut FBI, baru-baru ini terjadi peningkatan layanan penjahat dunia maya yang menggunakan akun email polisi dan pemerintah yang diretas untuk mengirimkan panggilan pengadilan palsu dan permintaan data ke perusahaan teknologi yang berbasis di AS.
SAYA MEMBERIKAN KARTU HADIAH $500 UNTUK LIBUR
Masuk oleh mendaftar untuk buletin gratis saya!
Ilustrasi penipu di tempat kerja (Kurt “CyberGuy” Knutsson)
Apa yang perlu Anda ketahui
Itu FBI telah melihat lonjakan postingan di forum kriminal tentang permintaan data darurat dan kredensial email yang dicuri dari departemen kepolisian dan lembaga pemerintah. Penjahat dunia maya menyusup ke akun email pemerintah AS dan asing yang telah disusupi dan menggunakannya untuk mengirimkan permintaan data darurat palsu ke perusahaan-perusahaan yang berbasis di AS, sehingga data pelanggan dapat disalahgunakan lebih lanjut dalam kejahatan lainnya.
Pada bulan Agustus 2024, penjahat dunia maya populer di forum online mengiklankan penjualan “email .gov berkualitas tinggi” yang dimaksudkan untuk spionase, rekayasa sosial, pemerasan data, permintaan data darurat, dan banyak lagi. Daftar tersebut bahkan menyertakan kredensial AS, dan penjual mengklaim bahwa mereka dapat memandu pembeli dalam membuat permintaan data darurat dan bahkan menjual dokumen panggilan pengadilan curian untuk membantu mereka menyamar sebagai penegak hukum.
Penjahat dunia maya lainnya membual tentang kepemilikan email pemerintah di lebih dari 25 negara. Mereka mengklaim siapa pun dapat menggunakan email ini untuk mengirim panggilan pengadilan ke perusahaan teknologi dan mendapatkan akses ke nama pengguna, email, nomor telepon, dan informasi klien pribadi lainnya. Beberapa penipu bahkan mengadakan “kelas master” tentang cara membuat dan mengirimkan permintaan data darurat mereka sendiri untuk mengambil data di akun media sosial mana pun, dengan mengenakan biaya $100 untuk daftar lengkapnya.
Ilustrasi penipu di tempat kerja (Kurt “CyberGuy” Knutsson)
CACAT WINDOWS MEMUNGKINKAN PERETAS MENYELUNCURKAN PC ANDA MELALUI WI-FI
Cara kerja penipuan phishing ini
Ketika penegak hukum, baik federal, negara bagian, atau lokal, menginginkan informasi tentang akun seseorang di perusahaan teknologi, seperti alamat email atau detail akun lainnya, mereka biasanya memerlukan surat perintah, panggilan pengadilan, atau perintah pengadilan. Saat perusahaan teknologi menerima salah satu permintaan ini dari alamat email resmi, mereka harus mematuhinya. Jadi, jika penipu mendapatkan akses ke email pemerintah, mereka dapat memalsukan panggilan pengadilan dan mendapatkan informasi tentang siapa saja.
Untuk melewati verifikasi, penipu sering kali mengirimkan permintaan data darurat, mengklaim bahwa nyawa seseorang dalam bahaya dan data tersebut sangat dibutuhkan. Karena perusahaan tidak ingin menunda jika terjadi keadaan darurat, mereka mungkin akan menyerahkan informasi tersebut, meskipun permintaan tersebut ternyata palsu. Dengan menggambarkannya sebagai situasi hidup atau mati, penipu mempersulit perusahaan meluangkan waktu untuk memverifikasi permintaan tersebut.
Misalnya, FBI melaporkan bahwa awal tahun ini, seorang penjahat dunia maya terkenal memposting gambar di forum online berisi permintaan data darurat palsu yang mereka kirimkan ke PayPal. Penipu mencoba membuatnya tampak sah dengan menggunakan perjanjian bantuan hukum timbal balik yang curang, mengklaim bahwa itu adalah bagian dari penyelidikan lokal terhadap perdagangan anak, lengkap dengan nomor kasus dan kode hukum untuk verifikasi. Namun, PayPal menyadari bahwa itu bukanlah permintaan penegakan hukum yang sebenarnya dan menolaknya.
Ilustrasi seseorang menerima email phishing (Kurt “CyberGuy” Knutsson)
CYBERSCAMMER MENGGUNAKAN AI UNTUK MEMANIPULASI HASIL PENELUSURAN GOOGLE
Apa yang dapat dilakukan perusahaan agar tidak terjerumus ke dalam penipuan phishing ini?
1) Verifikasi semua permintaan data: Sebelum membagikan informasi sensitif, perusahaan harus memverifikasi setiap permintaan data, bahkan permintaan data yang terlihat sah. Tetapkan protokol untuk mengonfirmasi permintaan secara langsung dengan lembaga atau organisasi yang seharusnya mengirimkannya.
2) Memperkuat keamanan email: Gunakan protokol autentikasi email seperti DMARC, SPF, dan DKIM untuk memblokir email dari sumber yang tidak sah. Terapkan filter anti-phishing untuk mendeteksi konten mencurigakan dalam pesan.
3) Melatih karyawan tentang kesadaran phishing: Sesi pelatihan reguler tentang penipuan phishing dapat membantu karyawan mengenali tanda bahaya, seperti bahasa yang mendesak, permintaan yang tidak biasa, atau email dari alamat yang tidak dikenal. Karyawan harus didorong untuk melaporkan email yang mencurigakan.
4) Batasi akses ke data sensitif: Batasi siapa yang dapat melihat atau membagikan data sensitif pelanggan. Lebih sedikit orang yang memiliki akses berarti lebih sedikit kemungkinan terjadinya kebocoran data yang tidak disengaja atau disengaja.
5) Menerapkan prosedur verifikasi darurat: Memiliki proses verifikasi yang jelas untuk permintaan data “darurat”, termasuk langkah-langkah untuk memeriksa ulang dengan manajemen yang lebih tinggi atau tim hukum sebelum menanggapi permintaan informasi pelanggan yang mendesak.
Ilustrasi penipu di tempat kerja (Kurt “CyberGuy” Knutsson)
Apakah ada sesuatu yang perlu Anda lakukan?
Penipuan phishing ini sebagian besar menargetkan perusahaan teknologi besar, jadi tidak banyak yang bisa Anda lakukan secara langsung. Namun, ini merupakan pengingat bahwa Anda tidak boleh mempercayai email secara otomatis, meskipun email tersebut berasal dari alamat .gov. Berikut beberapa langkah yang dapat Anda ambil agar tetap aman.
1) Periksa kembali alamat email dan tautan: Meskipun email terlihat resmi, luangkan waktu sejenak untuk memeriksa alamat email pengirim dan arahkan kursor ke link mana pun untuk melihat ke mana sebenarnya tujuannya. Berhati-hatilah jika ada yang terlihat tidak beres. Cara terbaik untuk melindungi diri Anda dari tautan berbahaya adalah dengan menginstal perangkat lunak antivirus di semua perangkat Anda. Perlindungan ini juga dapat mengingatkan Anda akan email phishing dan penipuan ransomware, sehingga menjaga informasi pribadi dan aset digital Anda tetap aman. Dapatkan pilihan saya untuk mengetahui pemenang perlindungan antivirus terbaik tahun 2024 untuk perangkat Windows, Mac, Android, dan iOS Anda.
2) Aktifkan otentikasi dua faktor (2FA): Menggunakan 2FA untuk semua akun sensitif. Lapisan keamanan ekstra ini membantu melindungi Anda meskipun kredensial login Anda disusupi.
3) Terus dapatkan informasi terkini tentang penipuan phishing: Pantau terus taktik phishing terbaru agar Anda tahu apa yang harus diwaspadai. Pembaruan rutin membantu Anda mengenali jenis penipuan baru sebelum berdampak pada Anda.
4) Verifikasi permintaan yang mencurigakan: Jika Anda menerima email tak terduga yang meminta informasi sensitif, hubungi pengirim langsung melalui saluran resmi untuk mengonfirmasi permintaan tersebut.
Ilustrasi penipu di tempat kerja (Kurt “CyberGuy” Knutsson)
JANGAN BIARKAN SNOOPS DI DEKAT DENGARKAN VOICEMAIL ANDA DENGAN TIPS CEPAT INI
Poin utama Kurt
Penipu membawa email phishing ke tingkat yang baru. Saya sering menyarankan untuk memeriksa email dengan hati-hati ketika Anda menerima sesuatu yang mencurigakan untuk melihat apakah itu sah. Namun kini, karena penipu bahkan bisa mengakses email pemerintah, Anda harus ekstra hati-hati. Penipuan phishing ini tampaknya menargetkan sebagian besar perusahaan teknologi besar, jadi mereka harus memperkuat keamanan dan memverifikasi setiap permintaan secara menyeluruh sebelum membagikan informasi pengguna apa pun. Pemerintah di seluruh dunia juga harus melindungi aset digital mereka agar tidak disusupi.
Apa pendapat Anda mengenai cara pemerintah menangani keamanan siber? Apakah upaya mereka cukup untuk melindungi data sensitif? Beri tahu kami dengan mengirimkan surat kepada kami di Cyberguy.com/Kontak.
KLIK DI SINI UNTUK MENDAPATKAN APLIKASI FOX NEWS
Untuk tips teknologi dan peringatan keamanan lainnya, berlangganan Buletin Laporan CyberGuy gratis saya dengan mengunjungi Cyberguy.com/Buletin.
Ajukan pertanyaan kepada Kurt atau beri tahu kami cerita apa yang Anda ingin kami liput.
Ikuti Kurt di saluran sosialnya:
Jawaban atas pertanyaan CyberGuy yang paling banyak ditanyakan:
Baru dari Kurt:
Hak Cipta 2024 CyberGuy.com. Semua hak dilindungi undang-undang.
