Yang Dapat Anda Lakukan Untuk Mencegah Serangan Phishing 2022

Diterbitkan: 2022-12-04

Pada artikel ini, kita akan membahas Apa Yang Dapat Anda Lakukan Untuk Mencegah Serangan Phishing 2022

Cari tahu cara menemukan phishing dan apa yang perlu dilakukan bisnis Anda untuk menghentikannya. Baca tentang cara menghindari phishing dan cara berhenti menerima email phishing.

Serangan phishing, bukan virus atau peretas, adalah ancaman terbesar bagi bisnis saat ini. Artikel ini akan mengajari Anda cara mengenali dan menghentikan email phishing agar tidak merugikan bisnis Anda dan mencegah orang jahat melakukannya.

Izinkan saya menanyakan hal ini: seberapa sadar dan proaktif Anda dalam hal menemukan dan menghentikan phishing? Menurut Anda, seberapa amankah perusahaan Anda dari serangan siber?

Daftar isi

Serangan Phishing Dalam Angka

  • Tahun ini, 65% perusahaan di Amerika Serikat dapat terkena phishing.
  • Tahun ini, serangan phishing ditujukan pada 84% dari semua usaha kecil dan menengah (UKM).
  • 65 persen UKM bahkan tidak pernah melakukan tes untuk email phishing.
  • Enam bulan setelah serangan siber atau pelanggaran data, 60% bisnis kecil tidak dapat bangkit kembali dan akhirnya gulung tikar.
  • Malware bahkan tidak digunakan dalam 86% serangan email.
  • Phishing adalah penyebab 32% dari semua kebocoran data.
  • Untuk perusahaan menengah, serangan phishing diperkirakan menyebabkan kerugian $1,6 juta.

Situasinya akan menjadi lebih buruk sebelum menjadi lebih baik, kata para ahli. Hal ini ditunjukkan dengan meningkatnya serangan phishing baru-baru ini selama pandemi COVID-19.

Saat ini, mudah untuk memulai bisnis baru, tetapi sebagian besar pengusaha tidak memiliki arus kas atau pengetahuan keamanan untuk melindungi startup mereka dari penyerang.

Serangan Phishing Kebanyakan Ditargetkan Pada Siapa?

Phishing Attacks: What You Can Do To Prevent Phishing Attacks

Kredit Gambar: pexels

Kategori bisnis berikut termasuk yang dianggap "selera" oleh penipu. Prioritas harus diberikan untuk menerapkan langkah-langkah keamanan.

  • Perusahaan yang menggunakan SaaS (33,5%)
  • Perusahaan keuangan (19,4%)
  • Jejaring sosial (8,3%)
  • Pengguna layanan pembayaran (13,3%)
  • E-niaga (6,2%)

Sebagian besar serangan ditujukan untuk usaha kecil

Orang berpikir bahwa peretas tidak mengejar bisnis kecil sebanyak mereka mengejar bisnis besar karena bisnis besar memiliki lebih banyak uang dan produk yang lebih baik.

Bahkan, itu sebaliknya. Bisnis kecil lebih mungkin diserang karena mereka memiliki lebih sedikit uang dan lebih sedikit karyawan yang tahu cara menangani serangan. Ini membuat mereka menjadi sasaran empuk. Peretas sering menggunakan serangan phishing untuk memanfaatkan kelemahan di perusahaan kecil yang tidak memiliki banyak uang untuk dibelanjakan pada keamanan.

Kerusakan yang disebabkan oleh phishing memengaruhi keuntungan bisnis Anda

Tidak diragukan lagi bahwa phishing merugikan keuntungan Anda. Pertanyaannya adalah berapa banyak kerusakan yang menurut Anda akan Anda dapatkan? Anda harus menjawab pertanyaan ini agar Anda dapat mengetahui langkah apa yang perlu Anda ambil untuk melindungi diri Anda dari kejahatan dunia maya yang jahat ini.

Jika solusi keamanan Anda tidak terlalu bagus atau tidak ada sama sekali, Anda pasti akan menjadi korban kejahatan dunia maya dan penipuan yang dapat menghabiskan banyak uang. Kejahatan dunia maya biasanya dikaitkan dengan virus dan trojan, tetapi penipuan phishing adalah bahaya yang sebenarnya.

Karena siapa pun bisa melakukannya, phishing jauh lebih menakutkan daripada jenis malware lainnya. Penjahat dunia maya dapat memulai kampanye phishing tanpa menulis kode yang rumit atau menggunakan alat khusus. Mereka juga mudah dijalankan dan hampir tidak mungkin dilacak.

Sebagian besar bisnis menggunakan komputer yang menjalankan Windows. Ini menjadikan Windows target yang lebih mudah daripada sistem operasi lain seperti Linux atau macOS di masa lalu. Orang berpikir bahwa Windows sangat rentan terhadap malware karena hal ini.

Kami menyarankan agar Anda tidak bergantung pada seberapa aman OS menurut Anda. Apa pun OS yang Anda gunakan, pastikan Anda memiliki perlindungan yang cukup dan belum terinfeksi.

Bagaimana cara kerja phishing?

Phishing adalah jenis kejahatan dunia maya di mana target tertipu untuk memberikan informasi sensitif seperti informasi perbankan, nomor kartu kredit, kata sandi, dan informasi tentang siapa mereka.

Penjahat berpura-pura menjadi bisnis nyata dan menghubungi korbannya melalui telepon, pesan teks, email, atau ketiganya jika mereka memiliki cukup informasi tentang korbannya. Para korban kemudian akan tertipu untuk mengklik tautan buruk yang menginstal spyware, ransomware, atau malware di komputer mereka.

Jenis phishing lainnya menggunakan situs web atau dokumen palsu yang terlihat seperti berasal dari sumber yang dapat dipercaya. Misalnya, halaman seperti perbankan online tempat Anda memasukkan informasi profil, informasi pembayaran, atau informasi pribadi.

Memanfaatkan data yang dicuri dapat menyebabkan pencurian identitas, pengambilalihan akun, dan kerugian finansial, atau dapat digunakan untuk menjual informasi Anda kepada pihak ketiga.

Pencarian cepat alamat email dapat memberi tahu Anda apakah pengirimnya asli, tetapi tidak banyak orang yang tahu tentang langkah keamanan ini, dan setiap karyawan perlu mengetahuinya untuk menghentikan email phishing.

Bagaimana tampilan email phishing biasanya?

Contoh sempurna dari serangan phishing adalah mendapatkan email mendesak dari bank besar atau perusahaan kartu kredit yang memberi tahu Anda bahwa ada pelanggaran data dan Anda harus segera memperbaiki akun Anda atau akan dibekukan.

Penyerang bertaruh bahwa Anda memiliki rekening bank atau kartu kredit dengan bank atau perusahaan tersebut.

Kebanyakan orang merasa takut saat menerima email yang mendesak, jadi mereka melakukan apa yang dikatakan email tersebut dan mengklik link atau mendownload lampirannya. Ini adalah awal dari akhir.

Korban tidak tahu bahwa mereka memasukkan informasi login mereka ke situs web palsu yang dikontrol penyerang atau bahwa mereka mengunduh malware ke komputer mereka.

Umumnya ada empat jenis upaya phishing:

  • URL yang Dimodifikasi : URL ini terlihat sama dengan URL perusahaan sebenarnya, tetapi mungkin ada satu huruf yang hilang. Jadi, Anda harus berhati-hati dan pastikan itu asli sebelum Anda mengklik tautan tersebut.
  • Panggilan telepon atau email palsu : Penipu dapat meminta informasi pribadi dengan berpura-pura berasal dari perusahaan. Jangan beri tahu siapa pun informasi ini sampai Anda yakin tidak berurusan dengan penipu;
  • Malware yang disematkan di email atau tautan: Ini adalah cara curang yang umum. Untuk menghindari trik penyusup, jangan klik tautan samar dan hanya gunakan program bersertifikat;
  • Halaman pesanan palsu . Anda dapat ditipu untuk membocorkan informasi pribadi Anda dengan memalsukan halaman pesanan di toko;
  • Penangguhan akun PayPal Hasil pencuri mencuri uang Anda melalui akun PayPal. Terkadang, mereka mengirimi Anda surat menggunakan alamat email palsu. Mereka ingin tahu berapa banyak uang yang Anda miliki di rekening bank Anda dan informasi lainnya. Jika menurut Anda surat itu aneh, jangan jawab. Sebaliknya, hubungi perwakilan perusahaan yang sebenarnya.

Langkah-langkah pencegahan phishing untuk bisnis

Sesegera mungkin, ambil langkah yang diperlukan untuk melindungi bisnis Anda dari serangan phishing. Jika bisnis Anda belum mengambil langkah-langkah berikut, Anda mungkin rentan terhadap serangan.

Tetap saja, serangan phishing selalu mencoba menyiasati cara terbaik untuk melindungi diri Anda sendiri, sehingga profesional TI atau penyedia TI Anda harus selalu mengikuti perkembangan dan memperketat serta meningkatkan keamanan Anda setiap saat.

Mari kita lihat apa yang dapat dan harus Anda lakukan untuk menghentikan phishing dalam bisnis Anda.

1. Deteksi Email Phishing

Semua orang yang bekerja untuk perusahaan Anda perlu mengetahui cara menemukan email phishing. Orang sungguhan dapat diidentifikasi dari email dengan melihatnya.

Dengan pencarian alamat email, misalnya, Anda dapat mengetahui dari mana email itu berasal. Jika domain berbeda dengan nama pada pesan, bisa dipastikan itu adalah upaya phishing.

Email phishing tidak menggunakan nama target dan dapat dimulai dengan sapaan umum seperti "Pelanggan yang Terhormat". Ini adalah tanda bahwa email tersebut dari scammer.

Email phishing juga menggunakan domain palsu atau spoof yang menyembunyikan domain asli atau menggunakan yang terlihat seperti aslinya (Google, Microsoft) untuk membuat target berpikir itu asli.

2. Pelatihan Cybersecurity Karyawan Reguler

Bahkan jika Anda mengetahui tentang ancaman online ini dan mengetahui apa yang harus dilakukan saat phishing terjadi, karyawan Anda mungkin tidak mengetahuinya.

Pastikan semua orang di staf Anda mendapatkan pelatihan dasar tentang keamanan dan kebersihan online untuk mengajari mereka cara menangani SEMUA email (jangan mengklik tautan atau mengunduh lampiran), dari mana pun asalnya.

Anda harus sangat berhati-hati untuk mengikuti aturan keamanan surat karena bahkan kesalahan kecil bisa menghabiskan banyak uang. Ini juga akan membantu jika Anda dapat menjalankan latihan keamanan siber reguler yang berfokus pada serangan phishing, sehingga staf Anda akan tahu apa yang harus dilakukan dalam situasi apa pun.

Terus perkuat kesadaran keamanan siber orang-orang:

Salah satu taktik yang populer adalah sextortion. Ini berbeda karena perasaan seseorang digunakan untuk membuat mereka mengirimkan uang tebusan. Ketakutan atau kepanikan adalah dua contoh. Cofense menemukan botnet di sektor tersebut. Itu memiliki 200 juta alamat email pada bulan Juni tahun ini. Segera, ada 330 juta lebih dari mereka. Karena itu, penting untuk menyadarkan masyarakat. Jika Anda ingin menjaga keamanan bisnis Anda, Anda perlu memastikan karyawan Anda mendapat informasi dan dilatih.

Tidak ada teknologi yang dapat menggantikan karyawan berpengetahuan:

Serangan phishing ditujukan pada perusahaan besar di bidang medis. Tetapi ketika orang-orang mengatakan bahwa mereka mendapat surat yang mencurigakan, pusat keamanan dapat bertindak cepat. Dalam 19 menit, serangan dihentikan.

3. Selalu Perbarui Sistem Operasi dan Perangkat Lunak Anda

Dalam beberapa serangan phishing, perangkat lunak atau sistem operasi usang digunakan untuk mengirim malware.

Pastikan bahwa semua perangkat perusahaan menjalankan versi terbaru dari sistem operasi mereka dan SEMUA perangkat lunak telah ditambal dan diperbarui. Peretas sering menggunakan pemutar media, penampil PDF, dan program konferensi video, sehingga program tersebut harus selalu diperbarui.

4. Lakukan Audit Kata Sandi

Lakukan audit kata sandi untuk seluruh kantor untuk memeriksa dan menyingkirkan kata sandi yang lemah atau duplikat.

Gunakan kata sandi yang kuat untuk setiap akun dan jangan gunakan kata sandi yang sama di tempat lain. Ini adalah bagian dari kebijakan kata sandi yang tepat. Penyerang bisa masuk dan melakukan kerusakan hanya dengan satu kata sandi.

Investasikan dalam pengelola kata sandi dan pastikan semua orang menggunakan kata sandi yang kuat yang dibuat oleh program atau rangkaian tiga hingga empat kata acak.

5. Terapkan Otentikasi Multi-Faktor di Semua Akun

Pastikan autentikasi multifaktor diaktifkan secara default untuk setiap akun online. Ini akan menambahkan lapisan keamanan ekstra yang tidak dapat ditembus oleh penyerang tanpa perangkat yang memiliki kode yang diautentikasi. Anda dapat menggunakan perangkat autentikasi fisik atau aplikasi yang berjalan di smartphone.

Jangan mengandalkan HTTPS :

SSL bukan lagi tanda keamanan. Ini adalah seperangkat aturan untuk membuat koneksi yang aman. Orang-orang telah belajar membedakan antara HTTP dan HTTPS dari waktu ke waktu dan hanya mengunjungi situs dengan sertifikat yang tepat. Tapi hari ini, penipu juga menggunakan protokol enkripsi. Pada akhir tahun, TLS atau SSL digunakan di 74% situs phishing.

6. Isolasi dan Cadangkan Komponen Penting

Infrastruktur perusahaan Anda memiliki bagian penting yang tidak semua orang perlu mengaksesnya.

Beberapa bagian bahkan tidak harus ada di Internet. Ini akan membantu untuk menjaga bagian-bagian penting dari infrastruktur Anda terpisah mungkin. Misalnya, Anda dapat membatasi akses ke beberapa server dan membuat seluruh sistem tetap offline.

Jika ransomware menyerang, memiliki banyak cadangan juga akan membantu Anda mendapatkan kembali sistem Anda.

7. Buat kepatuhan PCI sumber daya

Memiliki kepastian mutlak tentang hal ini sangat penting. Terlepas dari keterbatasannya, ukuran ini dapat mencegah banyak penipuan.

8. Buat koneksi yang aman

Gunakan VPN untuk bekerja dari rumah atau di tempat umum. Ini akan membantu mencegah informasi keluar dan melindungi Anda dari orang yang ingin menyakiti Anda. VPN adalah perangkat lunak yang memungkinkan Anda mengubah alamat IP Anda. Jadi, sekarang aman untuk menggunakan Internet.

9. Instal Firewall Aplikasi Web

Antara koneksi data dan server situs, ini adalah layanan cloud. Semua lalu lintas yang masuk melewati titik ini. Ini memungkinkan WAF melacak lalu lintas yang tidak diinginkan dan menghentikan upaya peretasan.

Ancaman lain yang harus diwaspadai

Selain serangan phishing yang lebih umum, situs web bisnis perlu melindungi diri dari ancaman lain yang sedang meningkat. Ada banyak ancaman di dunia malware, tetapi dua ancaman berikutnya sangat penting untuk diketahui. Karena ancaman ini masih cukup baru dan sebagian besar bisnis tidak mengetahuinya, mereka tidak terlindungi dengan baik.

1. Bot berbahaya

Penggunaan bot jahat adalah cara yang cukup baru untuk menyerang. Bot ini menyebar sendiri dan dibuat untuk melakukan tindakan atau tugas tertentu. Pertama, mereka merayapi situs. Dalam prosesnya, lubang keamanan ditemukan. Informasi tersebut kemudian dikirim ke master bot atau digunakan untuk melakukan sesuatu yang spesifik.

Jadi, keamanan situs Anda mungkin berisiko. Sebagian besar waktu, penjahat dunia maya menggunakan serangan semacam ini untuk menghasilkan uang. Mereka dapat mencuri pelanggan Anda dan menjualnya ke pesaing, atau mereka dapat memeras Anda agar tidak memberi tahu siapa pun dengan imbalan pembayaran sekaligus.

Ada banyak jenis serangan ini, dan tidak ada satu cara pun untuk menghentikan atau menghentikannya. Jadi, yang terbaik adalah memiliki staf ahli teknis terpisah yang tugasnya menjaga keamanan situs Anda. Jika ada serangan, dia akan dapat merespon dengan cepat perilaku buruk tersebut dan membatasi kerusakannya.

2. Serangan terhadap situs web dan program melalui injeksi MySQL

Masuk ke database adalah tujuan utama dari serangan ini. Penipu mencari lubang di bagian belakang situs web atau aplikasi web dan menjalankan kode berbahaya melaluinya. Bagian kedua adalah bagian dari permintaan. Setelah melakukan ini, penipu tidak hanya masuk ke database target tetapi juga memiliki kendali penuh atas itu.

Sebagian besar waktu, ada tiga cara untuk menembus:

  • Kesalahan pada situs web untuk e-niaga;
  • Lubang keamanan dalam kode pengguna;
  • Bug di modul pihak ketiga.

Untuk melindungi dari serangan semacam ini dengan andal, Anda harus tetap memperhatikan server SQL. Ini akan membantu Anda menangkap kesalahan sesegera mungkin.

Tautan langsung:

  • Jangan Ketagihan Phishing
  • Risiko Keamanan Kerja Jarak Jauh yang Paling Umum: Risiko & Tip Keamanan Kerja Jarak Jauh
  • Ulasan LastPass: Fitur & Harga (Apakah LastPass Dapat Dipercaya?)
  • Privasi Online: 5 Cara Melindungi Identitas Digital Anda

Kesimpulan: Yang Dapat Anda Lakukan Untuk Mencegah Serangan Phishing 2022

Jika Anda menjalankan bisnis kecil, bukan berarti permukaan serangan Anda lebih kecil atau kurang menarik dibandingkan bisnis besar. Ingatlah bahwa serangan phishing dapat terjadi pada siapa saja, dan Anda tidak boleh berasumsi bahwa hal itu tidak akan terjadi pada Anda atau orang lain di organisasi Anda.

Banyak penipu memanfaatkan pandemi yang sedang melanda dunia saat ini. Upaya phishing meningkat hingga 350%, dan mereka memukul bisnis dan orang-orang dengan kekuatan yang sama.

Ini akan membantu untuk menyiapkan rencana perlindungan proaktif yang mencakup investasi dalam keamanan dunia maya dan alat perlindungan pencurian serta melatih karyawan tentang cara menangani phishing dan jenis serangan dunia maya lainnya.

Menerapkan langkah-langkah keamanan aktif dapat membantu menghentikan serangan dan mengurangi kemungkinan pelanggaran. Menempatkan sedikit lebih banyak uang untuk keamanan sekarang dapat menghemat uang dan reputasi Anda dalam jangka panjang.