Untuk mengecoh korban, penjahat siber mengirim e-mail yang dibuat sedemikian rupa sehingga tampak berasal dari departemen atau divisi sumber daya manusia (SDM). Surel tersebut berisi tentang evaluasi diri sebagai cara bagi karyawan untuk berinteraksi dengan atasan.
Namun, jika dicermati, e-mail yang menipu tersebut menunjukkan beberapa tanda phising. Pertama, alamat e-mail pengirim tidak sesuai dengan alamat perusahaan. Kedua, e-mail tersebut memberikan tekanan dengan menegaskan, setiap orang harus melengkapi formulir pada akhir hari kerja. Ini merupakan taktik yang digunakan penipu untuk menciptakan rasa urgensi.
Ketika mengklik tautan yang ada pada e-mail tersebut, penerima akan menghadapi pertanyaan yang, pada pandangan pertama, tampak tidak berbahaya. Namun, sifat sebenarnya dari skema serangan ini menjadi jelas dalam tiga pertanyaan terakhir. Yakni dengan meminta alamat e-mail korban, kata sandi, dan konfirmasi kata sandi.
Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata “kata sandi/password” disembunyikan.
Sebuah perusahaan keamanan siber global, Kaspersky, mengingatkan masyarakat agar berhati-hati saat menerima e-mail, tanpa kecuali berisi tentang evaluasi kinerja.
“Kami mengimbau karyawan perusahaan untuk berhati-hati saat menerima e-mail seperti itu, terutama menyerupai komunikasi human resource (HR). Untuk melindungi data mereka, sangat penting untuk memverifikasi keaslian permintaan evaluasi diri yang tidak diminta secara langsung dengan departemen SDM mereka,” tegas Roman Dedenok, pakar keamanan di Kaspersky.
Tangkal serangan phising
Untuk menangkal serangan phising sekaligus melindungi data dari orang-orang tidak bertanggung jawab, Kaspersky merekomendasikan langkah-langkah preventif, di antaranya sebagai berikut.
- Hati-hati terhadap e-mail dari pengirim tidak dikenal dan mencurigakan.
- Jangan klik tautan atau memberikan informasi apa pun kepada pengirim e-mail yang tidak dikenal.
- Gunakan kata sandi yang kuat. Hindari penggunaan kata sandi yang sama di beberapa akun, dan pertimbangkan untuk menggunakan pengelola kata sandi.
- Verifikasi keaslian tautan. Sebelum mengklik tautan apa pun, periksa apakah tautan tersebut sah karena penipu sering kali membuat situs web palsu mirip dengan situs asli. Oleh sebab itu, penting untuk memeriksa ulang URL-nya.
- Aktifkan autentikasi dua faktor untuk memastikan bahwa hanya Anda yang dapat mengakses akun Anda.
- Gunakan solusi keamanan andal yang dapat membantu melindungi perangkat Anda dari berbagai jenis penipuan atau ancaman keamanan lainnya.
Baca juga: Kejahatan Siber Intai UMKM
