– Sebagian besar layanan online memiliki sistem keamanan bawaan yang memberikan peringatan ketika mendeteksi aktivitas tidak biasa di akun Anda.

Misalnya, pemberitahuan tentang upaya untuk mengatur ulang nomor telepon dan alamat email yang ditautkan ke akun, hingga kata sandi.

Kendati demikian, pola tersebut dimanfaatkan oleh para penjahat siber dengan cara meniru mekanisme untuk menyerang para pengguna korporat.

Nah, sebagai catatan phishing dengan skema notifikasi atau pemberitahuan palsu kini juga menjadi umum bagi pengguna.

Baca juga: Waspada! Ransomware Masih Menjadi Ancaman Serius Keamanan Siber

Cara meminimalisirnya ialah dengan melihat pesan yang tercantum, jika itu adalah penyerang layanan online publik, mereka biasanya akan melakukan segala upaya untuk membuat salinan yang percis seperti pesan yang sebenarnya.

Namun, jika penyerang mencari akses ke sistem internal, mereka sering kali harus menggunakan imajinasi mereka karena ketidaktahuan tentang bagaimana penampilan email yang seharusnya.

“Catatanya, seluruh isi pesan di email ini terlihat tidak beraturan, mulai dari penggunaan bahasa yang salah hingga logika yang nampak meragukan,” Roman Dedenok pakar keamanan di Kaspersky.

Ini ditunjukkan dengan menautkan nomor telepon baru dan sekaligus cara mengirim kode pengaturan ulang kata sandi.

Para penyerang berharap bahwa korbannya merasa khawatir akan keamanan akun mereka dan mengklik tombol merah “DON’T SEND CODE”.

Setelah itu, korban akan diarahkan ke situs web yang meniru halaman login akun dan selanjutnya para penyerang hanya mencuri kata sandi mereka.

Selanjutnya akun email yang dibajak kemudian dapat digunakan untuk serangan tipe BEC (business email compromise) atau sebagai sumber informasi untuk serangan lebih lanjut dengan menggunakan rekayasa sosial.

“Secara umum, yang terbaik adalah menjauhkan email phishing dari kotak masuk karyawan secara keseluruhan. Idealnya harus dicegat di tingkat gateway email,” papar Roman.

Baca juga: 43 Persen Infrastruktur IoT Belum Terlindungi dari Ancaman Siber

Demi meminimalisir kemungkinan penjahat dunia maya mendapatkan kredensial karyawan, Roman menyarankan perusahaan untuk komunikasikan beberapa hal berikut kepada para karyawanya, berikut catatan pentingnya:

1. Jangan pernah mengeklik tautan dalam pemberitahuan keamanan otomatis, baik yang tampak nyata maupun tidak.
2. Saat menerima pemberitahuan, periksa pengaturan keamanan dan detail tertaut, lakukan dengan membuka situs web di browser secara manual.
3. Pemberitahuan dengan kata-kata yang tidak beraturan (seperti dalam contoh) sebaiknya diabaikan dan dihapus.
4. Jika notifikasi terlihat nyata, beri tahu tim keamanan atau layanan terkait; itu mungkin merupakan tanda serangan yang ditargetkan.