Apa itu Whaling Phishing? Cara Kerja dan Pencegahannya

Apa itu Whaling Phishing - Sebagai cybersecurity enthusiast, Anda mungkin sudah mengenal phishing, tapi mungkin belum familiar dengan whaling phishing atau whaling attack. Artikel kali ini akan membahas secara mendalam apa itu whaling phishing, bagaimana serangan ini bekerja, contoh serangan, serta cara mencegah dan melindungi diri dari ancaman ini. 

Apa itu Whaling Phishing

Whaling phishing adalah jenis serangan phishing yang menargetkan eksekutif tingkat tinggi, seperti CEO atau CFO, dengan tujuan mencuri informasi sensitif dari sebuah perusahaan. Nama "whaling" diambil karena serangan ini menargetkan "paus" dalam sebuah perusahaan, yaitu orang yang memiliki wewenang tinggi dalam perusahaan.

Penting untuk dipahami bahwa whaling phishing tidak seperti serangan phishing biasa. Karena sasarannya adalah orang yang berpengaruh dalam suatu perusahaan, serangan ini seringkali sulit dideteksi dan dicegah daripada serangan phishing biasa.

Bagaimana Cara Kerja Whaling Phishing

Whaling phishing bekerja dengan menggunakan pendekatan terperinci yang melibatkan riset mendalam tentang target mereka. Menurut Kaspersky, Para penyerang akan membuat pesan yang tampaknya berasal dari sumber yang dipercaya, seringkali melibatkan rincian pribadi yang diperoleh dari media sosial.

Baca Juga: Cara Mengatasi Kecanduan Media Sosial

Taktik ini melibatkan penggunaan social engineering, email spoofing, dan content spoofing untuk membuat email dan situs web palsu yang sangat sulit dideteksi. Salah satu contoh taktik yang sering digunakan adalah mengirim email berisi permintaan transfer uang dalam jumlah besar, yang terlihat menyakinkan, namun pada kenyataannya, uang tersebut masuk ke tangan penyerang.

Whaling phishing biasanya dimulai dengan komunikasi melalui email atau pesan kantor. Pada awal serangan, tidak ada alasan bagi target untuk meragukan identitas penyerang, karena mereka mungkin memiliki nama pengguna yang sama dengan rekan target atau alamat email palsu yang sangat meyakinkan.

Trik kunci di sini adalah personalisasi. Para penyerang akan melakukan penelitian mendalam, mencari informasi dari media sosial dan sumber terbuka lainnya. Sebagai contoh, jika seorang CEO baru-baru ini memposting foto kucing baru mereka di pesta halloween kantor, penyerang dapat menggunakan informasi ini untuk menyusun email yang tampaknya akrab dan meyakinkan: “Yo Jek, Udin nih! Gila lu kemaren, mabok parah coy! Jangan lupa bersihin tuh kemeja putih dari noda bir, hahaha!”.

Setelah membangun kepercayaan, penyerang bisa mencoba meminta informasi rahasia atau mengajukan permintaan transfer uang melalui Business Email Compromise (BEC). Tingkat kepercayaan dan akses yang tinggi dalam perusahaan membuat whaling phishing menjadi serangan yang sangat sulit untuk dideteksi.

Baca Juga: Tips Cybersecurity Untuk Perusahaan

Contoh Whaling Phishing

Beberapa perusahaan terkemuka telah menjadi korban whaling phishing. Fortinet mencatat kasus pada 2016 di mana perusahaan teknologi, Seagate, merilis form W-2 dari 10.000 karyawan setelah menerima email whaling phishing yang meminta informasi sensitif. Hal serupa terjadi pada perusahaan manufaktur suku cadang pesawat terbang, FACC, yang kehilangan $47 juta setelah menerima email whaling phishing.

Snapchat juga tidak luput dari serangan ini. Pada tahun 2016, seorang eksekutif keuangan menerima email palsu yang menyamar sebagai CEO Snapchat, meminta informasi gaji karyawan. Serangan ini hampir membuat perusahaan kehilangan $3 juta.

Bagaimana Cara Mencegah Whaling Phishing

Cara melindungi perusahaan dari whaling phishing memerlukan kombinasi dari pelatihan cybersecurity awareness, kebijakan deteksi data, dan infrastruktur IT yang kokoh. Berikut beberapa langkah yang bisa diambil:

1. Pelatihan Cybersecurity Awarenes: Semua karyawan, bukan hanya eksekutif tingkat tinggi, perlu dilibatkan dalam pelatihan cybersecurity awareness. Mereka harus mampu mengidentifikasi taktik social engineering, seperti alamat email palsu yang meniru alamat yang sah.
2. Verifikasi Multitahap: Semua permintaan transfer uang atau akses ke data rahasia harus melewati beberapa tingkat verifikasi sebelum diizinkan.
3. Kebijakan Perlindungan Data: Perkenalkan kebijakan keamanan data untuk memantau email dan file yang mencurigakan. Ini mencakup pemantauan email untuk indikator serangan phishing dan pemblokiran otomatis.
4. Pendidikan Media Sosial: Eksekutif tingkat tinggi perlu sadar akan peran media sosial dalam memfasilitasi serangan whaling phishing. Batasi informasi pribadi yang dapat diakses penyerang dengan mengatur privasi di akun media sosial.
5. Alat Anti-Phishing: Gunakan software anti-phishing dan layanan keamanan yang dikelola untuk mencegah serangan whaling phishing.

Baca Juga: Cara Mengatasi Social Engineering

FAQ: Pertanyaan Seputar Whaling Phishing

Apa contoh nyata dari whale phishing?

Contoh nyata whale phishing termasuk serangan terhadap perusahaan seperti Snapchat, Seagate, dan FACC, di mana informasi sensitif atau uang transfer dilakukan setelah menerima email whaling phishing.

Apa saja 3 jenis serangan phishing yang paling umum?

Tiga jenis serangan phishing yang umum melibatkan vishing, spear phishing, dan tentu saja, whaling phishing.

Siapa target whale phishing?

Whale phishing menargetkan pejabat eksekutif dan orang yang berpengaruh dalam sebuah perusahaan, terutama CEO atau CFO.

Mengapa whaling itu buruk?

Whaling attack dapat menyebabkan kehilangan uang dalam skala besar, pengungkapan informasi rahasia, dan merusak reputasi perusahaan serta individu.

Seberapa populer whaling saat ini?

Whaling phishing  menjadi semakin populer karena penyerang melihat potensi keuntungan besar dari serangan ini, terutama dengan peningkatan tindakan kerja dari jarak jauh yang disebabkan oleh pandemi COVID-19.

Kesimpulan

Whaling phishing merupakan ancaman serius bagi keamanan siber perusahaan. Dengan pemahaman mendalam tentang cara kerjanya dan langkah-langkah pencegahan yang efektif, kita dapat memitigasi risiko dan melindungi keberlanjutan operasi bisnis dari serangan siber yang merusak. Tetap waspada dan selalu perbarui praktik keamanan siber Anda agar tetap satu langkah di depan penyerang.