Menangkis penipu: bagaimana organisasi dapat melindungi diri dari serangan dunia maya (Aileen Allkins)

Pada tahun 2015, seorang eksekutif senior di Mattel menerima email dari CEO perusahaan yang baru diangkat. Catatan tersebut meminta pemrosesan pembayaran yang telah jatuh tempo ke produsen yang dikenalnya. Dalam menindaklanjuti email tersebut, eksekutif membuat kesalahan $3 juta.

Serangan dunia maya semacam ini dikenal sebagai email 'whaling', yang bukan metode 'salin-tempel' pesan phishing yang akrab bagi siapa pun yang memiliki alamat email, menggunakan mimikri ultra-realistis yang sangat spesifik untuk menargetkan eksekutif tingkat tinggi.

Email whaling dapat mencakup berbagai elemen jahat, seperti tautan ke malware atau permintaan transfer dana atau data sensitif. Terlepas dari pendekatan khusus penyerang, keberhasilan upaya perburuan paus bergantung pada kesenjangan dalam literasi digital target.

Kekhawatiran atas keamanan dunia maya sangat tinggi dalam agenda di seluruh industri jasa keuangan, dengan Bank of England dan Bank Sentral Eropa baru-baru ini meminta pemberi pinjaman besar untuk memberikan rencana terperinci tentang bagaimana mereka akan menanggapi pelanggaran dunia maya di tengah seruan yang lebih luas untuk menindak. tentang keamanan siber di sektor ini. Sebagai bagian dari pendekatan mereka untuk mengatasi masalah ini, organisasi jasa keuangan harus memastikan bahwa staf di semua tingkatan memiliki keterampilan yang lebih tinggi dalam mengidentifikasi dan menanggapi pelanggaran keamanan siber.

Meningkat

45% pakar keamanan dan TI baru-baru ini disurvei oleh PwC memperkirakan peningkatan serangan ransomware, dan AI memungkinkan peretas menggunakan whaling untuk melakukan penipuan dengan presisi yang belum pernah terlihat sebelumnya. Lebih dari 60 serangan dunia maya 'signifikan' secara nasional terjadi di Inggris pada tahun 2022,
Menurut Pusat Keamanan Siber Nasional

Bahkan ketika program keamanan siber diterapkan, karyawan individu sering kali menjadi celah dalam pelindung bisnis. Firewall, filter phishing, dan perangkat lunak antivirus memang penting, tetapi keberadaan pendidikan dan keterampilan keamanan siber yang baik di seluruh tenaga kerja merupakan garis pertahanan penting terhadap pelanggaran data serius yang menyebabkan hilangnya jutaan dolar.

Meskipun alat yang digunakan untuk memfasilitasi serangan seperti whaling bisa jadi canggih, ada beberapa proses sederhana namun sangat efektif yang dapat dilatih individu untuk melindungi bisnis dari whaling dan jenis serangan dunia maya lainnya.

Keterampilan keamanan siber untuk semua

Literasi digital adalah prasyarat untuk peran apa pun yang melibatkan bekerja dengan teknologi, yang mencakup sebagian besar posisi dalam layanan keuangan. Kesadaran cybersecurity adalah bagian penting dari ini. Bisnis sebagian besar sadar akan kebutuhan sistem keamanan siber tingkat tinggi, tetapi sering mengabaikan peran kemampuan digital individu dalam memelihara ekosistem digital yang aman.

Oleh karena itu, keamanan siber tidak boleh dilihat sebagai fungsi yang berdiri sendiri di bawah tanggung jawab departemen teknologi, tetapi sebagai keahlian yang harus ada di seluruh organisasi. Staf harus dilatih secara teratur dalam keamanan siber untuk menjaga agar karyawan selalu mengikuti perkembangan protokol dan untuk memastikan kesadaran seluruh perusahaan akan potensi ancaman dan praktik terbaik.

Misalnya, mengetahui cara mengidentifikasi alamat email penipuan, rajin tidak membuka lampiran yang tidak diminta, dan mengetahui saluran yang tepat untuk melaporkan dugaan serangan adalah keterampilan dasar namun berdampak tinggi yang harus dilatih oleh semua karyawan. Penting juga bagi semua karyawan dilatih dalam langkah-langkah segera yang harus diambil jika perangkat mereka telah terinfeksi malware atau email palsu telah berhasil untuk memastikan bahwa dampak serangan dikurangi sebaik mungkin.

Ketekunan di seluruh papan

Kekuatan pemburu paus terletak pada kemampuan mereka untuk meniru karyawan secara dekat dengan menggunakan alamat email yang berjarak satu huruf dari alamat aslinya, bahasa yang sesuai dengan suara khas pengirim asli, dan detail penawaran atau acara asli yang akrab dengan target. Baik komunikasi dirancang melalui AI atau oleh seseorang, perburuan paus bergantung pada data sumber untuk ditiru.

Informasi pribadi seperti ulang tahun dan hobi yang diambil dari profil media sosial dapat menambahkan detail yang meyakinkan ke komunikasi palsu, dan peretas bahkan diketahui menggunakan data jadwal dari dokumen yang dibuang untuk menghindari menghubungi korban saat mereka bertemu dengan individu yang ditiru.

Keterampilan keamanan siber yang berkelanjutan harus menjadi dasar untuk menetapkan budaya kesadaran keamanan operasional. Mengembangkan pengertian tentang informasi apa yang dapat menimbulkan risiko dan mengetahui cara melindungi informasi dengan benar akan memastikan individu dapat mengidentifikasi dan menghentikan aktivitas yang tampaknya tidak berbahaya yang menjadi bahan bakar bagi peretas. Anggota tim harus dilatih tentang cara memastikan kehadiran online pribadi mereka tidak mengaktifkan peretas melalui keterampilan pengaturan privasi, pengaturan firewall, perangkat lunak anti-virus, dan penggunaan enkripsi.

Dua adalah angka ajaib

Meskipun penerapan kesadaran keamanan siber di seluruh tenaga kerja dapat memberikan perlindungan yang kuat terhadap banyak peretasan, filter kedua untuk verifikasi tindakan sensitif apa pun, seperti transfer dana atau data, juga penting.

Serangan perburuan paus sangat bergantung pada otoritas individu yang menjadi sasaran. Bahkan untuk eksekutif tingkat tinggi, protokol harus ada untuk mencegah setiap individu memverifikasi tindakan tanpa klarifikasi sekunder.

Verifikasi dua langkah dapat berupa proses otomatis yang disematkan dalam perangkat lunak perusahaan atau proses manual. Apakah langkah verifikasi kedua berasal dari individu yang terpisah atau dari orang yang sama, tetapi pada platform yang berbeda, bisnis harus memastikan bahwa staf sepenuhnya terampil dalam praktik yang tepat untuk verifikasi dua langkah, dan pelatihan keamanan siber rutin membuat praktik ini menjadi kebiasaan.  

Keterampilan keamanan siber bukanlah kemewahan

Bahkan sistem keamanan siber otomatis yang paling kuat pun dapat dibuat mubazir oleh peretas yang mampu memobilisasi orang-orang organisasi untuk melawan mereka. Upaya berkelanjutan dan pendidikan terkini tentang praktik yang aman sangat penting untuk mencegah perburuan paus dan jenis serangan dunia maya lainnya.

Bisnis harus melakukan penilaian rutin terhadap infrastruktur, kebijakan, dan keterampilan keamanan siber mereka untuk memastikan semuanya bekerja secara efektif untuk mempertahankan diri dari berbagai kemungkinan serangan. Ini mengharuskan orang-orang untuk dilatih untuk melakukan penilaian ini dengan benar dan mempertahankan praktik terbaik, atau perusahaan dapat berinvestasi dalam dukungan keamanan siber eksternal.

Investasi ke dalam keterampilan keamanan siber bukanlah suatu kemewahan, tetapi suatu keharusan, dan mereka yang gagal mengatur dan memelihara sistem dan protokol dengan benar untuk mempertahankan diri dari peretas akan terbuka terhadap penipuan atau pelanggaran data. Dengan regulator dan badan pemerintah memberikan perhatian khusus pada kerentanan sektor jasa keuangan terhadap serangan dunia maya, ini adalah masalah yang tidak bisa menunggu.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Sumber: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs