Pelatihan kesadaran phishing: Bantu karyawan Anda menghindari jerat

Keamanan dengan desain telah lama menjadi cawan suci bagi para profesional keamanan siber. Ini adalah konsep sederhana: memastikan produk dirancang seaman mungkin untuk meminimalkan kemungkinan kompromi di masa mendatang. Konsep ini telah diperluas lebih lanjut dalam beberapa tahun terakhir untuk menandakan upaya untuk menanamkan keamanan ke dalam setiap bagian organisasi – mulai dari saluran DevOps hingga praktik kerja karyawan sehari-hari. Dengan menciptakan budaya yang mengutamakan keamanan seperti ini, organisasi akan lebih tahan terhadap ancaman siber dan lebih siap untuk meminimalkan dampaknya jika mereka mengalami pelanggaran.

Kontrol teknologi, tentu saja, merupakan alat penting untuk membantu menciptakan budaya keamanan yang tertanam dalam semacam ini. Namun demikian juga pelatihan kesadaran phishing – yang memainkan peran yang sangat penting dalam mengurangi salah satu ancaman terbesar terhadap keamanan perusahaan saat ini dan harus menjadi bahan pokok secara umum pelatihan kesadaran keamanan siber program.

Mengapa phishing sangat efektif?

Menurut Laporan Ancaman ESET T1 2022, ancaman email mengalami peningkatan 37 persen dalam empat bulan pertama tahun 2022 dibandingkan dengan empat bulan terakhir tahun 2021. Jumlah URL phishing yang diblokir melonjak hampir pada tingkat yang sama, dengan banyak penipu memanfaatkan kepentingan umum dalam Perang Rusia-Ukraina.

Penipuan phishing terus menjadi salah satu cara paling sukses bagi penyerang untuk memasang malware, mencuri kredensial, dan mengelabui pengguna agar melakukan transfer uang perusahaan. Mengapa? Karena kombinasi taktik spoofing yang membantu penipu menyamar sebagai pengirim yang sah, dan teknik rekayasa sosial yang dirancang untuk mempercepat penerima agar bertindak tanpa terlebih dahulu memikirkan konsekuensi tindakan tersebut.

Taktik tersebut antara lain:

• ID pengirim/domain/nomor telepon palsu, terkadang menggunakan kesalahan ketik atau nama domain internasional (IDN)
• Akun pengirim yang dibajak, yang seringkali sangat sulit dikenali sebagai upaya phishing
• Riset online (melalui media sosial) untuk membuat upaya spearphishing yang ditargetkan lebih meyakinkan
• Penggunaan logo resmi, header, footer
• Menciptakan rasa urgensi atau kegembiraan yang mendorong pengguna untuk membuat keputusan
• Tautan singkat yang menyembunyikan tujuan sebenarnya pengirim
• Pembuatan portal dan situs login yang tampak sah

Menurut terbaru Laporan Verizon DBIR, empat vektor penyebab sebagian besar insiden keamanan tahun lalu: kredensial yang dicuri, phishing, eksploitasi kerentanan, dan botnet. Dari jumlah tersebut, dua yang pertama berkisar pada kesalahan manusia. Seperempat (25%) dari total pelanggaran yang diperiksa dalam laporan ini merupakan akibat dari serangan rekayasa sosial. Jika digabungkan dengan kesalahan manusia dan penyalahgunaan hak istimewa, elemen manusia menyumbang 82% dari seluruh pelanggaran. Hal ini seharusnya menjadikan transformasi mata rantai lemah ini menjadi rantai keamanan yang kuat sebagai prioritas bagi CISO mana pun.

Apa yang bisa menyebabkan phishing?

Serangan phishing telah menjadi ancaman yang lebih besar selama dua tahun terakhir. Pekerja rumahan yang terganggu dengan perangkat yang berpotensi tidak ditambal dan tidak terlindungi telah menjadi sasaran kejam oleh pelaku ancaman. Pada April 2020, Google mengklaim untuk memblokir sebanyak 18 juta email berbahaya dan phishing setiap hari secara global.

Karena banyak dari pekerja ini kembali ke kantor, ada juga risiko mereka akan terkena lebih banyak serangan SMS (smishing) dan berbasis panggilan suara (vishing). Pengguna yang sedang bepergian mungkin lebih cenderung mengeklik tautan dan membuka lampiran yang seharusnya tidak mereka lakukan. Ini dapat menyebabkan:

Dampak finansial dan reputasi sangat besar. Sementara biaya rata-rata pelanggaran data berada di atas $4.2 juta hari ini, rekor tertinggi, beberapa pelanggaran ransomware membutuhkan biaya berkali-kali itu.

Taktik pelatihan apa yang berhasil?

Sebuah baru-baru ini studi global mengungkapkan bahwa pelatihan dan kesadaran keamanan bagi karyawan adalah prioritas pengeluaran utama bagi organisasi di tahun mendatang. Tapi begitu ini telah diputuskan, taktik apa yang akan memberikan pengembalian investasi terbaik? Pertimbangkan kursus pelatihan dan peralatan yang menyediakan:

• Cakupan komprehensif di semua saluran phishing (email, telepon, media sosial, dll.)
• Pelajaran menghibur yang menggunakan penguatan positif daripada pesan berbasis rasa takut
• Latihan simulasi dunia nyata yang dapat disesuaikan oleh staf TI untuk mencerminkan kampanye phishing yang terus berkembang
• Sesi pelatihan berkelanjutan sepanjang tahun dalam pelajaran singkat yang tidak lebih dari 15 menit
• Cakupan untuk semua karyawan termasuk karyawan sementara, kontraktor, dan eksekutif senior. Siapa pun yang memiliki akses jaringan dan akun perusahaan berpotensi menjadi target phishing
• Analisis untuk memberikan umpan balik terperinci tentang individu yang kemudian dapat dibagikan dan digunakan untuk meningkatkan sesi di masa mendatang
• Pelajaran yang dipersonalisasi disesuaikan dengan peran tertentu. Misalnya, anggota tim keuangan mungkin memerlukan panduan tambahan tentang cara menangani serangan BEC
• Gamifikasi, lokakarya, dan kuis. Ini dapat membantu memotivasi pengguna untuk bersaing dengan rekan-rekan mereka, daripada merasa mereka "diajar" oleh pakar TI. Beberapa alat yang paling populer digunakan teknik gamifikasi untuk membuat pelatihan “lebih lengket”, lebih ramah pengguna dan menarik
• Latihan phishing DIY. Menurut UK Pusat Keamanan Siber Nasional (NCSC), beberapa perusahaan membuat pengguna membuat email phishing mereka sendiri, memberi mereka "tampilan yang lebih kaya tentang teknik yang digunakan"

Jangan lupa lapor

Menemukan program pelatihan yang sesuai untuk organisasi Anda adalah langkah penting untuk mengubah karyawan menjadi garis pertahanan pertama yang kuat terhadap serangan phishing. Namun perhatian juga harus difokuskan pada penciptaan budaya terbuka di mana pelaporan potensi upaya phishing didorong. Organisasi harus membuat proses yang mudah digunakan dan jelas untuk pelaporan dan meyakinkan staf bahwa setiap peringatan akan diselidiki. Pengguna harus merasa didukung dalam hal ini, yang mungkin memerlukan dukungan dari seluruh organisasi—tidak hanya TI tetapi juga SDM dan manajer senior.

Pada akhirnya, pelatihan kesadaran phishing harus menjadi salah satu bagian dari strategi berlapis untuk mengatasi ancaman rekayasa sosial. Bahkan staf yang paling terlatih sekalipun terkadang bisa tertipu oleh penipuan yang canggih. Itu sebabnya kontrol keamanan juga penting: pikirkan autentikasi multifaktor, uji rencana respons insiden secara rutin, dan teknologi anti-spoofing seperti DMARC.