Bisnis.com, JAKARTA - Kaspersky, perusahaan yang berfokus pada keamanan siber, mengungkapkan beberapa peretas mengincar data karyawan perusahaan melalui dokumen yang diberikan penilian dari bagian sumber daya manusia (SDM).
Hal itu dilakukan karena dokumen SDM adalah dokumen penting yang pasti dibuka oleh karyawan.
Biasanya, diskusi jenis ini hanya terjadi setahun sekali selama tinjauan kinerja, di mana karyawan berbagi pemikiran mereka tentang aspirasi karir, bidang minat, atau pencapaian di luar deskripsi pekerjaan mereka.
Pakar Keamanan Kaspersky Roman Denok menghimbau kepada karyawan perusahaan untuk berhati-hati saat menerima email seperti itu, terutama yang menyerupai komunikasi dengan HR.
“Saat Anda menerima email yang mengundang Anda untuk berpartisipasi dalam penilaian mandiri, terutama jika email tersebut bersifat wajib. Penjahat siber kerap memanfaatkan peluang ini,” kata Roman, dikutip Jumat (22/9/2023).
Dia mengatakan ini celah yang dilakukan oleh penjahat siber dalam menyebarkan spear-phishing terbaru mereka. Dalam skema phishing ini, penjahat siber mengirimkan email yang dirancang secara meyakinkan agar terlihat seolah-olah berasal dari departemen SDM.
“Bahkan, email ini menyediakan formulir evaluasi yang memungkinkan karyawan untuk berinteraksi dengan manajer mereka. Namun, email-email yang menipu ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas,” kata Roman.
Adapun beberapa tanda-tanda aneh email phising tersebut antara lain, pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal.
Kedua, email tersebut menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja, sebuah taktik umum yang digunakan oleh penipu untuk menciptakan rasa urgensi.
Selain itu, ketika penerima mengklik link yang disediakan, mereka akan menghadapi pertanyaan yang, pada pandangan pertama, tampak tidak berbahaya. Namun, sifat sebenarnya dari skema tersebut menjadi jelas dalam tiga pertanyaan terakhir, yang meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.
Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata sandi/password disembunyikan, sehingga menambah kecanggihan penipuan.
Berikut Tips untuk Menghindari Serangan Tersebut:
1. Waspada Terhadap Pesan Anonim
Serangan phishing sering kali datang dari pengirim yang tidak dikenal atau tampak mencurigakan. Jika Anda menerima pesan dari pengguna atau nomor yang tidak dikenal, jangan klik tautan maupun berikan informasi pribadi apa pun.
Perlu diketahui, pesan anonim adalah pesan tanpa nama pengirim. Biasanya, pesan anonim dikirim oleh seseorang atau pihak tertentu yang tidak ingin penerimanya mengetahui identitas pengirim.
2. Memakai Password yang Valid
Gunakan kata sandi unik untuk semua akun aplikasi perpesanan Anda. Hindari penggunaan kata sandi yang sama di beberapa akun, dan pertimbangkan untuk menggunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi yang kuat seperti Kaspersky Password Manager.
3. Verifikasi Link Asli
Sebelum mengeklik tautan apa pun, periksa apakah tautan tersebut sah. Penipu sering kali membuat situs web palsu yang terlihat mirip dengan situs asli, jadi penting untuk memeriksa ulang URL-nya sebelum memasukkan kredensial login atau informasi sensitif lainnya.
4. Gunakan Autentikasi Dua Faktor
Menambahkan lapisan keamanan ekstra ke akun Anda dapat membantu mencegah akses tidak sah. Aktifkan autentikasi dua faktor pada aplikasi perpesanan untuk memastikan bahwa hanya Anda yang dapat mengakses akun Anda. (Afaani Fajrianti)