Ingin tahu mengapa ada begitu banyak lubang keamanan di jaringan Anda, atau bagaimana beberapa karyawan Anda sepertinya selalu melaporkan komputer yang rusak? Nah, ternyata sepertiga karyawan kemungkinan besar menjadi korban serangan phishing. Ya, benar, pada tahun 2016 sekitar sepertiga pekerja masih cukup bodoh untuk mengeklik tautan cerdik dan mempertaruhkan seluruh keamanan jaringan perusahaan mereka dalam prosesnya.
Angka tersebut berasal dari alat gratis yang diluncurkan pada bulan Maret oleh Duo Security untuk menguji keamanan jaringan. Tim TI di 400 perusahaan menguji 11.542 karyawan dengan mengirimkan "email phishing" untuk melihat siapa yang akan tertipu. Dari penerima tersebut, 31% membuka tautan yang terdapat dalam email – perilaku yang, jika itu adalah email phishing asli dan bukan palsu, dapat menyebabkan pelanggaran data di perusahaan tempat mereka bekerja.
Fakta bahwa hanya sebagian kecil yang jatuh karena "penipuan", dengan dua pertiga dari mereka yang diuji mengakui tautan sebagai berpotensi berbahaya, bukan itu intinya, menurut Jordan Wright, insinyur R&D di Duo Keamanan.
“Hanya satu email jahat yang diperlukan agar serangan berhasil.”
“Pada akhirnya, yang kami lihat adalah bahwa hanya diperlukan satu email jahat agar serangan berhasil,” kata Wright. TI Pro. “31% mungkin terlihat rendah, tetapi kenyataannya, masih banyak orang.” Memang, dalam kasus hasil ini, 31% adalah 3.578 orang – rata-rata hampir sembilan orang per bisnis.
Membuat penipuan phishing
Alat Duo Insight Duo Security digunakan oleh 400 perusahaan untuk mengirimkan email phishing palsu kepada karyawan mereka.
“Kami mendorong administrator TI untuk menyesuaikan email sebanyak mungkin,” kata Wright, meniru serangan bertarget yang sering dilakukan peretas pada bisnis. Ini meningkatkan kemungkinan penerima akan membuka email dan mengklik.
“Orang-orang berpikir bahwa jika mereka tidak memasukkan detailnya, mereka aman, tetapi kit eksploitasi masih dapat diunduh ke komputer tanpa pengguna memasukkan informasi apa pun.”
Namun, itu bukan akhir dari penipuan. Jika halaman arahan kemudian meminta kredensial, pengguna mungkin mencium bau tikus dan memutuskan untuk mengklik, daripada menyerahkan detailnya. Namun, meskipun pengguna mungkin berpikir tidak ada bahaya yang akan menimpa mereka jika mereka tidak jatuh ke langkah kedua, kenyataannya mungkin tidak demikian.
“Ini adalah bagian keamanan yang sangat besar,” kata Wright. “Orang-orang berpikir bahwa jika mereka tidak memasukkan detailnya, mereka aman, tetapi kit eksploitasi masih dapat diunduh ke komputer tanpa pengguna memasukkan informasi apa pun.”
Inti dari latihan ini bukanlah untuk membuat orang keluar atau membuat mereka merasa buruk.
Lihat terkait
“Tujuannya adalah agar administrator melakukan dua hal. Pertama, untuk menyusun strategi mereka dalam menghadapi potensi serangan phishing dan kedua untuk membantu mengedukasi pengguna,” kata Wright. Ini lebih dari sekadar mengajari mereka untuk tidak mengklik tautan secara membabi buta, tetapi juga, untuk 59% yang tidak mengklik, mendorong mereka untuk melaporkan insiden ke TI, membantu menghentikannya sejak awal.
Jika Anda penasaran untuk menguji perusahaan Anda sendiri, Anda dapat mengunduh versi beta Duo Insight gratis.
Gambar: Alan Kotok – Berkedip
