Mishing atau mobile phising yang merupakan ungkapan baru untuk segala bentuk serangan phising yang ditujukan pada kerentanan seluler.
Mishing adalah jenis serangan siber yang mengeksploitasi perangkat seluler dan aplikasinya untuk menipu pengguna, mencuri informasi sensitif, dan menyusup ke jaringan perusahaan.
Serangan mishing menggunakan fitur dan kerentanan unik platform seluler, seperti SMS, panggilan suara, dan kode QR, untuk mengelabui pengguna agar mengungkapkan informasi sensitif atau memasang perangkat lunak berbahaya.
|
Baca juga: Metode Serangan Phising Deepfake |
Bentuk Mishing
Mishing memiliki beberapa tipe serangan phising umum yang sudah diketahui banyak orang, serangan-serangan ini merujuk pada ancaman khusus terhadap seluler, seperti:
Phising Email Seluler
Serangan ini diluncurkan melalui pesan email standar tetapi hanya dijalankan saat pengguna mengeklik tautan (atau lampiran) dari perangkat seluler.
Jika diklik dari perangkat titik akhir standar seperti laptop, serangan dibatalkan, dan pengguna dibawa ke halaman aman seperti Google.com.
Smishing (SMS Phising)
Phising umum melalui SMS, di mana penyerang menyamar sebagai entitas tepercaya untuk mencuri detail login atau informasi pribadi. Pesan SMS yang menipu memikat korban untuk mengeklik tautan berbahaya atau membagikan data sensitif.
Jenis serangan ini menjadi lebih umum karena penjahat dunia maya berhasil menipu pengguna agar mengunduh malware ke perangkat mereka tanpa disadari.
Vishing (Voice Phising)
Dikenal juga sebagai phising suara. Di sinilah penyerang menelepon korban dengan berpura-pura berasal dari organisasi yang sah untuk memanipulasi mereka agar membagikan informasi sensitif.
Ini biasanya berupa panggilan suara palsu untuk mengelabui pengguna agar membocorkan informasi pribadi atau keuangan. Serangan ini sering kali menggunakan panggilan suara sebagai titik kontak pertama dengan korban untuk mendapatkan kepercayaan mereka dalam tindakan selanjutnya yang memanfaatkan vektor serangan lain, seperti smishing.
Dengan ketersediaan AI yang murah dan canggih, serangan Vishing menjadi jauh lebih mudah dilakukan bahkan oleh penyerang pemula. Deepfake contohnya.
|
Baca juga: Evolusi Serangan Phising |
Quishing (QR Code Phising)
Metode baru yang menggunakan kode QR untuk mengarahkan pengguna ke situs web palsu, yang sering kali melewati filter keamanan tradisional.
Lebih jelasnya seperti ini, kamera ponsel dimanfaatkan untuk mengirimkan serangan phising melalui kode QR berbahaya. Berdasarkan sifatnya, kode QR mengaburkan tujuan mereka.
Dan quishing memanfaatkan kepercayaan palsu yang dimiliki pengguna ponsel terhadap kode QR untuk mengarahkan mereka ke situs phishing dan tujuan lain tempat malware dan serangan lainnya dapat diluncurkan.
Faktor Penyebab Berkembangnya Mishing
Ada beberapa faktor yang berkontribusi terhadap meningkatnya aktivitas dan operasi mishing di antara perusahaan dan organisasi sektor publik.
Peningkatan Penggunaan Seluler. Adopsi ponsel pintar yang meluas untuk komunikasi, akses data, dan kolaborasi menyediakan banyak target bagi penjahat dunia maya.
Kerja Jarak Jauh pada Perangkat Pribadi. Pergeseran ke kerja jarak jauh telah meningkatkan ketergantungan pada perangkat seluler untuk mengakses jaringan perusahaan dan informasi sensitif.
Karyawan sering menggunakan perangkat seluler mereka untuk melaksanakan tugas-tugas yang berhubungan dengan pekerjaan, yang memperluas permukaan serangan bagi penjahat dunia maya.
Akses yang Diperluas ke Data Sensitif. Karena semakin banyak data perusahaan dan sektor publik diakses melalui perangkat seluler dan aplikasi berbasis cloud, risiko terpapar serangan phishing meningkat.
Serangan ini dapat mencakup pencurian kredensial dan bahkan pembajakan kata sandi satu kali (OTP), yang memberi penyerang akses tak terbatas ke jaringan perusahaan.
Rasa Aman yang Salah. Banyak pengguna individu dan perusahaan menganggap perangkat seluler lebih aman daripada desktop dan laptop, yang menyebabkan perilaku kurang hati-hati saat menangani pesan atau tautan yang mencurigakan.
Langkah-Langkah Keamanan Terbatas: Sebagian besar perangkat seluler karyawan (dan pribadi) tidak dilindungi oleh solusi pertahanan ancaman seluler, sehingga sangat rentan terhadap serangan penipuan dan serangan canggih lainnya.
|
Baca juga: Serangan Phising Lebih Berbahaya dengan AI |
Cara Melindungi Diri dari Serangan Kejahatan
Untuk melindungi diri dari serangan kejahatan, perusahaan dan organisasi sektor publik harus menerapkan praktik terbaik berikut:
Individu:
- Bersikaplah Skeptis terhadap Pesan Seluler: Perlakukan pesan yang tidak diminta dengan hati-hati. Verifikasi keabsahan pengirim sebelum menanggapi atau mengeklik tautan untuk mencegah akses tidak sah ke informasi sensitif.
- Hindari Mengklik Tautan yang Tidak Dikenal. Jangan mengeklik tautan dari sumber yang tidak dikenal atau tidak terverifikasi. Sebaliknya, masukkan URL secara manual ke browser Anda untuk memastikan Anda mengunjungi situs yang sah dan melindungi data perusahaan.
- Berhati-hatilah dengan Kode QR: Berhati-hatilah saat memindai kode QR bahkan dari sumber tepercaya. Selalu tinjau URL tujuan sebelum melanjutkan untuk memaksimalkan paparan ke situs phishing.
- Pertahankan Perangkat Lunak yang Diperbarui: Perbarui sistem operasi dan aplikasi perangkat secara berkala untuk menambal kerentanan yang diketahui dan melindungi dari ancaman baru.
Perusahaan:
- Terapkan Pertahanan Ancaman Seluler Komprehensif: Manfaatkan solusi keamanan seluler canggih yang menawarkan perlindungan waktu nyata terhadap ancaman yang diketahui dan ancaman zero-day, dengan memblokir aktivitas berbahaya seperti tautan, lampiran, atau unduhan malware berbahaya sebelum dapat membahayakan pengguna dan perangkat.
- Terapkan Manajemen Aplikasi Seluler: Pastikan semua aplikasi yang digunakan dalam organisasi, termasuk aplikasi pihak ketiga dan yang dikembangkan secara internal, telah diperiksa secara memadai untuk mengetahui kerentanannya. Terapkan kebijakan untuk mengidentifikasi dan memblokir aplikasi.
Sumber berita: