Peretas kini fokuskan serangan mereka ke HRD
Dalam laporan terbaru dari Kaspersky, diketahui para peretas kini lebih sering melakukan serangan ke HRD.
Serangan siber saat ini semakin meresahkan. Kini, bukan hanya menyerang langsung ke para pekerja, kini para peretas tengah gencar menyerang departemen HRD di beberapa perusahaan besar. Serangan ini menandai evolusi signifikan dalam taktik pelaku phishing, di mana tidak hanya konten email, tetapi juga lampiran dikustomisasi secara spesifik untuk setiap penerima, menampilkan tingkat penyesuaian yang belum pernah ditemukan sebelumnya.
Para penyerang diyakini telah melakukan persiapan matang dengan mengumpulkan dan mengurai data nama karyawan untuk membuat kampanye semakin tertarget dan kredibel. Bahasa dalam email dirancang sangat persuasif, menampilkan ikon "pengirim terverifikasi" palsu, mencantumkan nama penerima, serta mengemas undangan untuk membuka lampiran demi meninjau pembaruan protokol kerja jarak jauh, administrasi tunjangan, atau standar keamanan.
Yang unik, seluruh isi email hanya berupa gambar tanpa teks asli. Tim Kaspersky dalam siaran pers yang diterima redaksi Tek.id (21/7) mengatakan bahwa teknik ini bertujuan untuk menghindari deteksi filter email tradisional yang biasanya menganalisis basis teks.
Pada lampiran, file yang seolah-olah “Buku Pegangan Karyawan” berisi QR code. Jika korban memindai kode QR tersebut, mereka diarahkan menuju website palsu yang akan meminta kredensial email perusahaan, sehingga memungkinkan penyerang untuk mencuri data sensitif secara langsung. Taktik seperti ini diprediksi akan semakin sering digunakan, mengingat penyerang kini bisa memanfaatkan otomatisasi tingkat tinggi yang menghasilkan dokumen dan gambar terpisah untuk email setiap penerima, memperbesar skala serangan sekaligus memintas proteksi standar.
Kaspersky menyarankan beberapa langkah pencegahan untuk menghadapi ancaman ini. Organisasi dianjurkan untuk mengimplementasikan solusi keamanan khusus di level server email perusahaan guna mendeteksi dan memblokir upaya phishing. Semua perangkat karyawan, termasuk ponsel pintar, sebaiknya dilindungi solusi keamanan yang solid.
Selain itu, pelatihan rutin tentang cara mengenali dan menanggapi serangan phishing modern menjadi krusial. Karyawan juga perlu didorong untuk selalu waspada terhadap email dengan konten berbasis gambar, dokumen dengan judul mencurigakan, atau permintaan yang tidak biasa — dan sangat disarankan untuk memverifikasi permintaan langsung dengan pihak HRD sebelum menindaklanjutinya.
Dengan berkembangnya metode phishing yang semakin canggih dan sulit dideteksi, kombinasi antara teknologi keamanan tingkat lanjut dan edukasi pengguna menjadi kunci utama dalam memproteksi organisasi dari ancaman siber masa kini.
