Apa itu Vishing?
Vishing didefinisikan sebagai serangan keamanan siber di mana entitas jahat menghubungi korban melalui telepon dan berusaha mendapatkan kepercayaan korban melalui praktik rekayasa sosial untuk mendapatkan data rahasia, mengekstrak dana, atau merugikan individu.
Pada dasarnya, ini adalah jenis serangan phishing yang dilakukan melalui media suara, dan itulah sebabnya disebut serangan vishing.
Mekanisme serangan vishing
Vishing biasanya berbentuk panggilan telepon yang mendesak atau mengganggu. Sebagai contoh, penelepon mungkin mengklaim bahwa akun korban telah diretas dan mereka membutuhkan nomor PIN untuk memvalidasi identitas mereka atau membuka kembali akun tersebut.
Mereka mungkin juga mengaku menelepon atas nama lembaga pemerintah, seperti Internal Revenue Service (IRS) atau Social Security Administration. Mereka bahkan mungkin bersikeras bahwa korban berhutang uang atau telah memenangkan kontes.
Ini semua adalah kasus "vishing" (seperti yang telah dibahas, frasa yang menggabungkan "suara" dan "phishing" untuk menunjukkan penipuan melalui telepon). Phishing adalah istilah yang digunakan untuk menggambarkan upaya apa pun yang dilakukan oleh penjahat siber untuk mengelabui orang agar menyerahkan uang, data pribadi, atau informasi rahasia. Demikian pula, email dan pesan singkat atau sistem pesan teks ("smishing") juga dapat digunakan untuk melakukan penipuan.
Vishing adalah kejahatan dunia maya di mana penjahat menggunakan ponsel korban untuk mengekstrak informasi yang akan membahayakan orang tersebut atau menguntungkan pelaku dengan cara tertentu.
Para penipu siber menggunakan teknik rekayasa sosial yang canggih untuk meyakinkan korbannya agar memberikan data pribadi dan bahkan akses ke rekening bank atau rahasia dagang. Seperti halnya smishing dan phishing, vishing berfokus pada upaya meyakinkan korban bahwa menyetujui permintaan penelepon adalah respons yang tepat. Penelepon sering kali menyamar sebagai otoritas pemerintah, badan pajak, lembaga keuangan korban, atau polisi.
Keberhasilan taktik ini bergantung pada rekayasa sosial yang efektif, yaitu mengeksploitasi psikologi seseorang untuk menciptakan efek yang meyakinkan. Pelaku vishing menggunakan ancaman atau bujukan positif untuk membuat korban merasa bahwa mereka harus memberikan informasi yang diminta. Korban juga dapat menerima pesan suara yang mengancam bahwa mereka berisiko dituntut atau rekening banknya dibekukan jika tidak menelepon kembali dengan benar.
Bagaimana cara kerja vishing?
Penyerang phishing sering kali menggunakan pemalsuan ID penelepon untuk mengelabui korban agar percaya bahwa panggilan telepon berasal dari bisnis tepercaya atau kode lingkungan setempat.
Mereka sering bertindak sebagai entitas tepercaya untuk mengelabui korban agar mau membagikan data mereka. Misalnya, mereka mungkin menyamar sebagai eksekutif bank atau agen kartu kredit, kreditur atau agen IRS. Para penipu ini akan menciptakan rasa terdesak ketika korban yang dituju menjawab telepon untuk memangsa perasaan mereka dan memaksa mereka untuk merespons permintaan.
Vishing dapat terjadi dalam berbagai bentuk, tetapi tujuannya selalu sama: mengelabui korban untuk mengungkapkan informasi pribadi, baik untuk mendapatkan keuntungan finansial atau untuk melakukan kejahatan lain, seperti pencurian identitas.
Salah satu alasan serangan ini dapat bersifat persuasif adalah karena penipu dapat menggunakan informasi pribadi yang diperoleh dari sumber lain untuk membuat upaya vishing tampak sah.
Jenis vishing yang paling umum
1. Penahanan
2. Serangan berbasis VoIP
3. Pemalsuan identitas penelepon
4. Memulung di dalam wadah
1. Penahanan
Wardialing menggunakan berbagai jenis teknologi untuk secara otomatis memanggil sejumlah besar nomor telepon secara berurutan, biasanya untuk menemukan kelemahan dalam keamanan dan infrastruktur TI.
Peretas sering menggunakan alat pengintai untuk menemukan modem yang tidak aman, kadang-kadang dikenal sebagai "pengintai" atau "pemanggil setan". Hanya membutuhkan sedikit waktu
untuk melakukannya jika penipu menemukan daftar nomor yang terhubung ke modem.
2. Serangan berbasis VoIP
Transfer konten suara dan multimedia melalui koneksi Internet dikenal sebagai Voice over Internet Protocol (VoIP). Pengguna dapat melakukan panggilan suara menggunakan VoIP melalui komputer, ponsel cerdas, platform digital lainnya seperti telepon VoIP, dan situs yang mendukung Web Real Time Communication (WebRTC).
VoIP adalah teknologi yang bermanfaat bagi individu dan bisnis, karena sering kali memiliki kemampuan tambahan yang tidak ada pada sistem telepon tradisional. Teknologi ini juga berguna untuk bisnis sebagai sarana komunikasi pemersatu.
Sayangnya, VoIP dapat dieksploitasi oleh individu yang curang untuk memulai serangan vishing. Penyerang mendaftarkan sebuah domain dan membuat halaman phishing yang menyerupai halaman login jaringan organisasi. Akibatnya, panggilan VoIP yang diprakarsai oleh aktor ancaman tampak berasal dari jaringan yang sama. Selain itu, karena VoIP sering kali membutuhkan otentikasi multi-faktor, penelepon mungkin meminta korban untuk mengunjungi halaman penipuan dan membagikan detail mereka.
3. Pemalsuan identitas penelepon
Spoofing terjadi ketika penelepon dengan sengaja memalsukan informasi yang dikirim ke layar panggilan masuk untuk menyembunyikan identitas mereka. Penipu sering menggunakan teknik "spoofing neighbour" untuk membuat ID penelepon terlihat berasal dari nomor lokal atau menyamar sebagai perusahaan atau lembaga pemerintah yang sudah dipercaya oleh korban.
Jika panggilan tersebut dijawab, penyerang berusaha mencuri dana atau data penting, yang dapat digunakan untuk melakukan penipuan. Skrip penipuan adalah bagian penting dari serangan spoofing ID penelepon, karena skrip ini memperkuat keyakinan bahwa penelepon tersebut sah.
4. Memulung di dalam wadah
Mengobrak-abrik tempat sampah - baik fisik maupun digital - milik bank, gedung perusahaan, dan institusi lainnya adalah cara yang mudah dan populer untuk mengumpulkan informasi kontak korban vishing.
Penjahat dapat mengumpulkan informasi yang cukup dari dokumen yang dirobek-robek, perangkat penyimpanan yang dibuang, kalender lama, fotokopi, dan lain-lain, untuk melakukan serangan spear-phishing yang berfokus pada subjek.
Mencegah Serangan Phishing: Delapan Praktik Terbaik untuk Tahun 2022
Begitu seseorang menjadi mangsa serangan vishing, sulit untuk membalikkan efeknya dan memulihkan kerusakan. Bahkan jika penegak hukum mengidentifikasi pelakunya, memulihkan kerusakan adalah sebuah tantangan. Itulah mengapa sangat penting untuk mengambil langkah proaktif untuk mencegah serangan vishing dengan mengikuti praktik-praktik terbaik berikut ini:
Praktik-praktik yang baik untuk mencegah vishing
1. Memiliki koneksi VPN
Jaringan pribadi virtual (VPN) melindungi informasi yang dibagikan melalui Internet dan mempersulit penipu untuk mendapatkan detail kontak Anda.
VPN akan mengenkripsi lalu lintas jaringan dan mengirimkannya melalui terowongan yang aman sebelum mencapai server VPN yang menyembunyikan alamat IP-nya. Hasilnya, pelaku ancaman tidak akan mengetahui lokasi Anda, sehingga sulit untuk mengeksekusi serangan rekayasa sosial. Korban yang dituju dapat dengan mudah bertanya pada penelepon tentang lokasi mereka untuk memeriksa apakah panggilan itu sah.
2. Waspadai panggilan "mendesak".
Ketika penelepon menciptakan rasa mendesak, Anda harus menganggapnya sebagai tanda bahaya. Misalnya, penipu mungkin mencoba meyakinkan korban bahwa akan ada konsekuensi negatif jika mereka tidak memberikan detail bank atau membayar tagihan yang belum dibayar dengan segera.
Anda dapat menutup telepon atau meminta detail kontak penelepon dan memberi tahu mereka bahwa Anda akan menelepon kembali nanti. Jika ini adalah penipuan, penelepon biasanya akan memberikan tekanan lebih atau menutup telepon.
3. Gunakan alat pemblokiran robocall
Alat pemblokiran robocall, yang dikenal sebagai filter panggilan, adalah program komputer yang mendeteksi panggilan otomatis. Jika entitas pihak ketiga telah menggunakan teknik wardialing, pemblokir robocall akan mengidentifikasi dan memblokirnya dengan segera.
4. Menerapkan proses internal
Siapa yang mengangkat telepon ketika nomor umum organisasi berdering? Bisakah telepon tersebut dengan mudah jatuh ke tangan karyawan yang salah?
Mengoper telepon dari satu pengguna ke pengguna lain dapat menimbulkan kebingungan dan menyebabkan karyawan dalam organisasi tidak dapat mengetahui siapa yang berada di ujung telepon.
Mempekerjakan resepsionis khusus untuk menyaring yang buruk dari yang baik dapat berguna saat diperlukan dan memastikan bahwa semua karyawan memeriksa siapa yang menelepon ketika diteruskan ke orang lain.
Pilihan lainnya adalah membuat proses di mana penerima mengonfirmasi dengan "pemohon" secara langsung melalui saluran resmi lainnya sebelum menyerahkan telepon.
5. Pastikan semua perangkat memiliki autentikasi multi-faktor.
Menggunakan kata sandi dengan keamanan tinggi memang sangat baik, tetapi autentikasi multi-faktor menyediakan lapisan keamanan ekstra yang memastikan akun Anda tidak dapat disusupi dengan satu kata sandi.
Google mengumumkan bahwa autentikasi multi-faktor akan diwajibkan bagi 150 juta pengguna pada tahun 2021 untuk memberikan lapisan keamanan yang lebih baik terhadap ancaman dan dengan demikian mengurangi jumlah akun yang disusupi sebesar 50%.
Kesimpulan
Vishing mungkin tidak menjadi perhatian utama bagi organisasi Anda, tetapi seharusnya demikian. Tidak peduli seberapa pintar atau cakapnya perusahaan Anda dan kolega Anda, taktik rekayasa sosial cukup ampuh untuk membuat siapa pun lengah.
Setelah mengetahui tentang vishing, penting bagi Anda untuk membagikan informasi ini kepada karyawan Anda.
Beritahukan kepada mereka bahwa menanyai penelepon dan memverifikasi informasi dengan seseorang melalui jalur resmi dapat menjadi pembeda antara data yang aman dan risiko insiden siber atau pelanggaran data.
