Yang Laporan Keadaan Phish 2024 oleh Proofpoint menyatakan bahwa 75% responden menyebutkan prevalensi serangan smishing.
Pada artikel ini, kita akan mengeksplorasi apa itu smishing, contohnya dan yang paling penting, bagaimana Anda dapat melindungi diri dari menjadi korban penipuan ini.

Memahami Smishing

Smishing adalah bentuk serangan cyber yang menggunakan SMS atau SMS. pesan teks untuk mengelabui individu agar membocorkan informasi sensitif atau mengunduh perangkat lunak berbahaya. Smishing mengandalkan taktik rekayasa sosial untuk menciptakan rasa urgensi, rasa ingin tahu, atau ketakutan, mendorong penerima untuk mengambil tindakan yang menguntungkan penjahat dunia maya.

Anda juga dapat merujuk ke artikel terperinci kami tentang Phishing SMS Memahami konsepnya dengan lebih baik.

Taktik Menghancurkan

Serangan smishing biasanya mengikuti pola yang sama.

1. Penjahat dunia maya mengirim pesan teks yang menipu, menyamar sebagai sumber tepercaya seperti bank, perusahaan pengiriman, atau lembaga pemerintah.
2. Pesan teks berisi penawaran menarik, permintaan mendesak, atau pemberitahuan yang mengkhawatirkan, yang dirancang untuk mendapatkan tanggapan dari penerima.
3. Dimasukkannya URL singkat atau tautan ke situs web penipuan.
4. Menipu orang untuk memasukkan informasi pribadi mereka atau mengunduh malware ke perangkat mereka.
5. Pesan teks mungkin berisi nomor telepon atau instruksi untuk memanggil saluran dukungan pelanggan palsu, di mana pengguna dipaksa untuk memberikan informasi sensitif.

Contoh Serangan Smishing

‍‍

Serangan smishing dapat mengambil berbagai bentuk, masing-masing disesuaikan untuk mengeksploitasi kerentanan yang berbeda dan membangkitkan tanggapan spesifik dari korban.

1. Pemberitahuan Pengiriman Smishing
   Dengan munculnya belanja online, banyak orang dengan penuh semangat menunggu pengiriman paket dan sering memeriksa pembaruan sebagai SMS transaksional.
   Penyerang menghantam memanfaatkan ini dengan mengirim pesan teks yang tampaknya merupakan pemberitahuan pengiriman, lengkap dengan tautan pelacakan. Tautan ini dapat mengarah ke situs web berbahaya atau berisi penyingkat URL yang menyamarkan domain penipuan.
   Verifikasi keabsahan pesan dengan memeriksa silang dengan situs web resmi perusahaan pengiriman atau menghubungi dukungan pelanggan mereka secara langsung.
2. Smishing Bank/Kartu Kredit
   Lembaga keuangan adalah target utama untuk serangan mendadak, karena individu cenderung lebih responsif dalam hal masalah perbankan.
   Pesan yang dicabut dalam kategori ini sering mengklaim masalah dengan rekening bank, tagihan yang belum dibayar, atau aktivitas penipuan, mendesak penerima untuk mengambil tindakan segera. Hal ini juga terjadi selama Proses verifikasi SMS OTP.
   Pesan yang sah dari lembaga keuangan tidak akan pernah menyertakan tautan. Jika Anda menerima pesan teks yang mencurigakan mengenai bank atau kartu kredit Anda, hubungi institusi secara langsung alih-alih mengklik tautan apa pun yang disediakan.
3. Undian Menang Smishing
   Undian menang serangan mencium memangsa individu yang mungkin baru saja mengikuti kontes diskon atau hadiah. Pesan teks mengklaim bahwa penerima telah memenangkan hadiah dan memberikan instruksi untuk mengklaimnya. Namun, pesan-pesan ini sering menjadi tipuan untuk mengelabui korban agar mengunduh malware atau mengungkapkan informasi pribadi.
   Berhati-hatilah dengan pesan teks yang tidak diminta yang mengklaim Anda telah memenangkan hadiah dan hindari mengklik tautan apa pun atau memberikan informasi pribadi.
4. Reset Kata Sandi Smishing
   Ketika individu menjadi lebih berhati-hati tentang keamanan kata sandi, penjahat dunia maya telah menyesuaikan taktik mereka untuk mengeksploitasi otentikasi dua faktor (2FA) sistem. Dalam serangan pengatur ulang kata sandi, korban menerima pesan teks yang memberi tahu mereka tentang pelanggaran keamanan dan diminta untuk memberikan kode 2FA untuk mengamankan akun mereka.
   Selalu berhati-hati dan jangan pernah membagikan kode 2FA Anda dengan siapa pun. Pertimbangkan untuk menggunakan aplikasi otentikator untuk keamanan yang ditingkatkan alih-alih hanya mengandalkan pesan teks untuk 2FA.
5. Penipuan Musim Pajak Menghancurkan
   Selama musim pajak, individu sangat rentan terhadap serangan ganas yang memanfaatkan masalah keuangan mereka.
   Pesan-pesan ini dikirim melalui SMS dapat mengklaim bahwa penerima berutang uang atau berhak atas pengembalian dana yang besar, menarik mereka untuk mengklik tautan untuk menyelesaikan masalah atau mengklaim pengembalian uang. Namun, tautan ini sering mengarah ke situs web berbahaya atau menginstal malware di perangkat korban.
   Lembaga pajak dan pendapatan resmi berkomunikasi terutama melalui email dan surat fisik. Ingatlah bahwa pembayaran dan pengembalian uang biasanya dilakukan melalui saluran resmi, bukan melalui SMS.
6. Penipuan CEO
   Serangan penipuan CEO secara khusus menargetkan karyawan di organisasi dengan menyamar sebagai atasan mereka.
   Pesan-pesan ini biasanya meminta bantuan mendesak atau penyelesaian tugas sebelum akhir hari kerja. Tujuannya adalah untuk mengeksploitasi keinginan penerima untuk mengesankan atasan mereka dan kesediaan mereka untuk mematuhi permintaan dari petinggi.
   Sangat penting untuk menetapkan kebijakan di seluruh perusahaan yang mengamanatkan saluran komunikasi yang tepat antara eksekutif dan karyawan.
7. Memukul Pesan Konyol
   Serangan menghantam pesan konyol bergantung pada klaim keterlaluan dan manipulasi emosional untuk menargetkan individu yang rentan, terutama orang dewasa yang lebih tua. Ini Kampanye SMS Pesan dapat muncul sebagai anggota keluarga yang telah lama hilang atau individu yang membutuhkan bantuan keuangan, memangsa emosi dan kesediaan penerima untuk membantu.
   Sangat penting untuk mendidik dan melindungi kerabat atau teman yang lebih tua yang mungkin lebih rentan terhadap penipuan semacam itu. Dorong komunikasi terbuka tentang pesan teks apa pun yang meminta uang atau bantuan dari sumber yang tidak dikenal.

Cara Mengidentifikasi dan Mencegah Serangan Smishing

Untuk melindungi diri dari serangan mencium, ada beberapa langkah proaktif yang dapat Anda ambil untuk meminimalkan risiko menjadi korban penipuan ini.

1. Waspadai
   Memahami risiko yang terkait dengan pesan teks berbahaya adalah langkah pertama dalam melindungi diri Anda sendiri. Tetap terinformasi tentang taktik memukul terbaru, serangan rekayasa sosial, dan penipuan lainnya seperti Penipuan SMS OTP.
   Pertimbangkan untuk berinvestasi dalam pelatihan kesadaran keamanan untuk diri sendiri dan organisasi Anda untuk membangun budaya kesadaran keamanan siber.
2. Jangan Bertindak
   Pertahanan terbaik terhadap serangan menusuk adalah dengan berhati-hati dan tidak melakukan apa pun jika ada sesuatu yang tampak mencurigakan. Percayai naluri Anda dan hindari terlibat dengan pesan teks yang menaikkan bendera merah.
   Pesan yang sah dari lembaga pemerintah, lembaga keuangan, atau organisasi terkemuka lainnya akan datang melalui saluran resmi seperti Pesan WhatsApp jika ada masalah nyata yang membutuhkan perhatian Anda.
3. Tetap Terinformasi dan Tingkatkan Kesadaran
   Secara teratur berkomunikasi dengan karyawan, teman, dan anggota keluarga tentang serangan mencium. Menekankan pentingnya membaca pesan teks hati-hati dan dorong mereka untuk melaporkan pesan yang mencurigakan. Lakukan simulasi kesadaran keamanan untuk menilai ketahanan individu terhadap serangan smishing dan memberikan pelatihan melalui modul gamification dan microlearning bila diperlukan.
4. Instal Perangkat Lunak Keamanan
   Lindungi perangkat seluler Anda dengan menginstal perangkat lunak antivirus terkemuka dan perlindungan malware, terutama jika Anda menggunakan kebijakan bring-your-own-device (BYOD) di organisasi Anda. Perbarui perangkat lunak perangkat Anda secara teratur untuk memastikan Anda memiliki patch keamanan terbaru.
5. Aktifkan Otentikasi Dua Faktor
   Jika memungkinkan, aktifkan otentikasi dua faktor (2FA) untuk akun Anda. Namun, berhati-hatilah saat menerima 2FA atau MFA kode melalui pesan teks. Hindari berbagi kode ini dengan siapa pun, karena penyedia layanan yang sah tidak akan memintanya.
6. Verifikasi Permintaan Secara Independen
   Jika Anda menerima pesan teks yang meminta informasi sensitif atau tindakan segera, verifikasi permintaan secara independen sebelum mengambil langkah apa pun. Hubungi organisasi secara langsung menggunakan informasi kontak resmi mereka, daripada mengandalkan informasi yang diberikan dalam pesan teks.
7. Waspadai Informasi Pribadi
   Hindari berbagi informasi pribadi atau keuangan melalui pesan teks, terutama jika permintaan tersebut tampak mencurigakan. Organisasi yang sah tidak akan meminta informasi sensitif, seperti nomor akun atau kata sandi, melalui pesan teks.