47% upaya phishing di Indonesia sasar sektor keuangan

JAKARTA (IndoTelko)  -- Digitalisasi yang cepat akibat pandemi telah meningkatkan upaya siber secara global, terutama di sektor keuangan, termasuk di Indonesia. Jika dianalogikan, perkembangan digitalisasi di sektor keuangan ibarat pedang bermata dua. Selain mempermudah transaksi, Otoritas Jasa Keuangan (OJK) menilai digitalisasi juga meningkatkan kemungkinan serangan siber hingga 86,70%.

Di Indonesia, misalnya, ancaman phishing masih menyasar sektor keuangan—dari perbankan, sistem pembayaran, dan toko online. Data terbaru Kaspersky untuk Indonesia pada periode Februari hingga April tahun 2022 menunjukkan hampir separuh (47,08%) upaya phishing terkait dengan keuangan.

Persentasenya berasal dari data yang dianonimkan berdasarkan pemicu komponen deterministik dalam sistem Anti-Phishing Kaspersky di komputer pengguna. Komponen mendeteksi semua halaman dengan konten phishing yang coba dibuka oleh pengguna dengan mengikuti link dalam pesan email atau di web, selama link ke halaman ini ada di database Kaspersky.

Berdasarkan statistik Kaspersky, tahun ini sektor perbankan dan sistem pembayaran di Indonesia paling banyak menghadapi upaya phishing selama bulan Februari, yaitu masing-masing sebesar 4,38% dan 34,85%. Hal ini juga dapat dikaitkan dengan peningkatan nilai transaksi pembayaran digital hingga 41,35% pada Februari 2022 menurut Bank Indonesia.

Di sisi lain, toko online pun tidak luput dari upaya phising dengan jumlah paling banyak terjadi sebesar 15,66% di bulan April tahun ini untuk Indonesia.

“Selain peningkatan adopsi dalam transaksi digital di Asia Tenggara, kami juga melihat munculnya “Super Apps” di kawasan ini. Ini adalah aplikasi seluler yang menggabungkan semua fungsi moneter populer termasuk e-banking, dompet seluler, belanja online, asuransi, pemesanan perjalanan, dan bahkan investasi. Menempatkan data dan uang digital kita dalam satu tempat dapat memicu efek bola salju setelahnya, dengan dampak serangan phishing yang membengkak pada tingkat yang tidak terduga,” kata Yeo Siang Tiong, General Manager untuk Asia Tenggara di Kaspersky.

Super Apps adalah cara bank tradisional dan penyedia layanan untuk dapat menonjol di tengah industri yang ramai. Saat mereka mencoba bekerja dengan pihak ketiga dan menggabungkan layanan mereka ke dalam satu aplikasi seluler, permukaan serangan meluas, membuka lebih banyak pintu eksploitasi berbahaya.

Phishing tetap menjadi trik paling efektif di lengan para penjahat dunia maya. Ini adalah cara yang terkenal untuk menembus jaringan pengguna atau bahkan perusahaan dengan mengeksploitasi emosi pengguna.

Skenario yang mungkin diberikan bahwa satu aplikasi memiliki semua detail keuangan pengguna, tautan phishing sederhana yang meminta kredensial pengguna dapat membahayakan semua data yang tersedia di aplikasi. Ini memperbesar kemungkinan efek merusak dari ancaman ini.

“Sudah diketahui bahwa para penjahat dunia maya mengikuti setiap jejak uang, maka penting bagi bank, pengembang aplikasi, dan penyedia layanan untuk mengintegrasikan keamanan siber sejak awal pengembangan aplikasi. Kami melihat potensi peretas untuk menargetkan "Aplikasi Super" yang sedang naik daun, baik infrastrukturnya maupun penggunanya melalui serangan rekayasa sosial. Kami mendesak semua perusahaan tekfin untuk menerapkan pendekatan desain yang aman dalam sistem mereka dan untuk terus proaktif memberikan edukasi bagi penggunanya dalam periode di mana serangan phishing terus berlanjut berkembang,” tambah Yeo.

Sementara sistem keamanan diterapkan di sebagian besar perusahaan keuangan untuk melindungi pelanggan agar tidak menjadi korban aktivitas berbahaya, adalah benar bahwa mencegah lebih baik daripada mengobati; lebih banyak lagi yang dapat dilakukan secara proaktif baik di tingkat individu hingga perbankan sekalipun.

Untuk perusahaan, metode perlindungan yang paling penting adalah selalu mengingat bahwa keamanan siber harus menjadi strategi yang “hidup”, dan bukan platform yang statis. Ini akan memadukan teknologi dan upaya, yang akan terus diperbarui dan ditingkatkan.

Bank dan penyedia layanan perlu memastikan tim keamanan (atau pakar keamanan) yang akan dapat memastikan infrastruktur pertahanan siber tetap diperbarui, dan menyediakan dukungan apabila terjadi serangan dunia maya.

“Keberhasilan phishing sangat ditentukan oleh rendahnya tingkat kesadaran pengguna tentang bagaimana entitas yang coba ditiru oleh penipu, beroperasi. Manusia tetap menjadi mata rantai terlemah dalam ruang lingkup tersebut. Baik pengguna atau pelanggan, tetap menjadi target potensial serangan phishing. Untuk organisasi, karyawan internal membutuhkan pelatihan baru dan layanan pihak ketiga juga harus dievaluasi secara komprehensif. Oleh karena itu, untuk memberantas jenis ancaman ini, sangat dibutuhkan kolaborasi yang mumpuni dari semua pemangku kepentingan,” tambah Dony Koesmandarin, Territory Manager Indonesia di Kaspersky.

Beberapa langkah yang lebih penting untuk dipertimbangkan juga termasuk:

●Berikan staf Anda pelatihan kebersihan keamanan siber dasar. Lakukan simulasi serangan phishing untuk memastikan bahwa mereka mengetahui cara membedakan email phishing

●Gunakan solusi perlindungan untuk titik akhir dan server email dengan kemampuan anti-phishing, seperti Kaspersky Endpoint Security for Business, untuk mengurangi kemungkinan infeksi melalui email phishing.

●Pertimbangkan untuk memanfaatkan platform intelijen ancaman: Komponen kunci lain yang harus disertakan adalah memastikan akses ke tren/ancaman keamanan TI terbaru – yang juga dikenal sebagai intelijen ancaman. Intelijen ancaman akan memberikan wawasan untuk ditindaklanjuti, dan memberikan gambaran yang lebih besar dan lebih akurat tentang kehadiran bank digital, untuk mengedukasi para pemangku kepentingan senior tentang risiko dan kerentanan yang sedang berlangsung. Ini akan memberdayakan mereka agar dapat membuat keputusan berdasarkan informasi mengenai potensi bahaya, menyempurnakan proses keamanan yang ada untuk melawan ancaman yang telah diketahui dan menutup celah apa pun pada infrastruktur TI secara berkelanjutan.

●Memastikan sistem keamanan siber vendor pihak ketiga juga diperbarui. Ada semakin banyak laporan tentang bagaimana pelanggaran terhadap sistem keamanan pihak ketiga telah melibatkan bisnis. Baik Anda bank, Pemerintah atau perusahaan swasta, tidak ada yang kebal dari ancaman keamanan ini, dan penting bagi kita untuk meningkatkan kewaspadaan dalam hal keamanan siber. Tidak masalah seberapa aman vendor pihak ketiga Anda menginformasikan keamanan sistem mereka, karena serangan rantai pasokan yang semakin meningkat telah menunjukkan kepada kami bahwa bertanggung jawab atas postur keamanan siber Anda sendiri daripada menyerahkannya di tangan mitra adalah penting

●Sebagai entitas yang banyak ditiru oleh para penjahat dunia maya, penerapan langkah-langkah pertahanan harus lebih dari sekadar melindungi sistem. Perbankan dan entitas keuangan lainnya perlu mengambil tindakan proaktif untuk mengingatkan pelanggan agar tidak menjadi korban dari  peniru mereka melalui serangan phishing dan metode lainnya, bahkan jika itu terjadi di luar sistem mereka.

Beberapa hal yang perlu diingat yang dapat membantu individu melindungi diri mereka sendiri dari serangan phishing meliputi:

●Jangan menanggapi permintaan bahkan untuk membalas seperti SMS “UNSUBSCRIBE” atau “STOP” yang bisa menjadi trik untuk mengidentifikasi nomor telepon yang aktif. Penyerang bergantung pada rasa ingin tahu atau kecemasan atas situasi yang dihadapi, tetapi Anda dapat memilih untuk tidak terlibat. 

●Hindari menggunakan tautan atau informasi kontak apa pun dalam email atau pesan, lebih baik langsung mengakses ke saluran kontak jika memungkinkan. Selanjutnya, pemberitahuan mendesak dapat diverifikasi langsung di akun online atau melalui saluran bantuan telepon resmi.

●Perhatikan berbagai bentuk kesalahan ketik, dan karakter aneh dalam teks: beberapa pelaku ancaman benar-benar kesulitan dengan bahasa Inggris, atau beberapa kesalahan sengaja dibuat (seperti menggunakan angka untuk mengganti huruf tertentu, misalnya "Bank L0an" alih-alih “Bank Loan” (Pinjaman Bank)) sebagai upaya untuk melewati filter spam.

●Berpikir pelan pelan apabila ada pesan yang mendesak: sifat email dan SMS adalah bahwa mereka sering dibaca saat bepergian, ketika seseorang terganggu atau sedang terburu-buru dengan demikian itu membuat mereka menjadi lebih lengah. Pendekatan seperti informasi penawaran bisa jadi tanda dari upaya phishing, namun Anda dapat menghindarinya dengan tetap tenang, membaca pesan secara seksama dan lanjutkan dengan hati-hati.

●Unduh aplikasi anti-malware, yang dapat melindungi dari aplikasi berbahaya seperti Kaspersky Total Security untuk jaring pengaman. (sar)