Apa Itu Phishing-as-a-service (PhaaS) dan Bagaimana Cara Mengatasinya?

Phishing dan phishing-as-a-service (PhaaS), dijelaskan

Phishing adalah peretasan umum yang bertujuan mengelabui orang agar mengungkapkan informasi pribadi, termasuk nomor kartu kredit, kata sandi, dan identitas pribadi.

Sebanyak 300.497 kasus phishing dilaporkan ke Biro Investigasi Federal Amerika Serikat pada tahun 2022 saja. Serangan ini mengakibatkan korban kehilangan lebih dari $52 juta. Biasanya, hal ini memerlukan pengiriman email palsu yang tampak asli, menipu penerima agar membuka tautan berbahaya atau meminta informasi sensitif. Phishing-as-a-service (PhaaS) merupakan perkembangan yang mengkhawatirkan dalam dunia kejahatan dunia maya.

Dengan penggunaan layanan web berbasis langganan yang disebut PhaaS, bahkan penjahat non-teknis pun dapat dengan mudah melakukan serangan phishing yang kompleks. Perusahaan-perusahaan ini menawarkan kit phishing siap pakai, templat yang dapat diedit, dan infrastruktur server untuk membuat halaman web palsu.

Seorang penjahat dunia maya, misalnya, dapat mendaftar ke platform PhaaS, membuat templat email yang sepertinya berasal dari bursa kripto terkemuka, dan mendistribusikannya ke ribuan calon penerima. Tautan ke halaman login palsu yang dimaksudkan untuk mencuri kredensial pengguna mungkin disertakan dalam email.

Penjahat dunia maya dapat dengan cepat meluncurkan kampanye phishing ekstensif dengan PhaaS, sehingga menimbulkan ancaman yang lebih besar baik bagi individu maupun perusahaan. Aksesibilitas PhaaS mengurangi hambatan masuknya kejahatan siber, yang merupakan kekhawatiran utama bagi konsumen internet dan pakar keamanan siber secara global.

Bagaimana PhaaS bekerja

PhaaS mempermudah penipu untuk memulai serangan phishing dengan memberi mereka akses ke perangkat dan infrastruktur yang luas.

Ini beroperasi sebagai berikut:

Paket PhaaS

Kit phishing yang sudah dikemas sebelumnya dengan semua alat, infrastruktur, dan templat yang diperlukan untuk melakukan serangan phishing tersedia dari pemasok PhaaS. Templat email, halaman login fiktif, layanan pendaftaran domain, dan infrastruktur hosting semuanya disertakan dalam kit ini.

Kustomisasi

Tingkat penyesuaian yang ditawarkan oleh berbagai sistem PhaaS bervariasi. Email phishing, situs web, dan domain semuanya dapat diubah oleh penipu agar terlihat asli dan dapat dipercaya. Kampanye phishing dapat disesuaikan untuk menargetkan orang, bisnis, atau sektor tertentu.

Penargetan

Serangan phishing yang dimungkinkan oleh PhaaS semakin kompleks. Penjahat dunia maya memiliki kemampuan untuk merancang kampanye iklan bertarget tinggi yang meniru strategi branding dan komunikasi perusahaan terkemuka serta penawaran mereka. Penyerang dapat menciptakan komunikasi persuasif yang memiliki peluang lebih tinggi untuk mengelabui penerimanya dengan memanfaatkan informasi pribadi yang diperoleh dari media sosial, pelanggaran data, dan sumber lainnya.

Misalnya, penyerang sering kali menyamar sebagai staf pendukung dari dompet, bursa, atau proyek populer di media sosial (Telegram, Discord, Twitter, dll.). Mereka menawarkan bantuan dan mengelabui pengguna melalui klaim hadiah atau airdrop palsu agar memberikan kunci pribadi atau frase awal atau membangun koneksi dengan dompet yang disusupi untuk menyedot dana mereka.

Bahaya PhaaS

PhaaS telah secara dramatis mengurangi hambatan masuk bagi peretas, yang mengakibatkan peningkatan kuantitas dan kecanggihan upaya phishing.

Bahkan mereka yang tidak memiliki pengalaman teknis dapat dengan mudah meluncurkan serangan phishing yang kompleks dengan PhaaS menggunakan toolkit yang telah dikemas sebelumnya, templat yang dapat disesuaikan, dan infrastruktur hosting yang ditawarkan oleh penyedia PhaaS.

Kemungkinan mengalami kerugian finansial yang besar merupakan risiko utama yang terkait dengan PhaaS. Tujuan penipuan phishing adalah untuk mendapatkan kunci pribadi, frase awal, atau kredensial login pengguna. Ini dapat digunakan untuk mengakses akun mereka dan menguras dompet mata uang kripto mereka untuk tujuan jahat. Misalnya, penyerang mengubah front-end BadgerDAO pada tahun 2021 setelah membodohi pengguna agar memberikan izin yang membuat uang mereka terkuras habis.

Serangan PhaaS berpotensi merusak kepercayaan komunitas kripto. Penipuan yang berhasil dapat membuat orang enggan menggunakan proyek dan layanan yang memiliki reputasi baik, sehingga mencegah penerapannya secara luas. Serangan-serangan ini sangat rentan terhadap pengguna mata uang kripto pemula. Mereka lebih rentan tertipu oleh peniruan identitas di media sosial atau situs web yang terlihat autentik karena kurang pengalaman.

Serangan phishing menjadi semakin kompleks; mereka sering menggunakan strategi rekayasa sosial dan meniru platform asli. Hal ini menyulitkan pengguna berpengalaman sekalipun untuk mengenalinya.

PhaaS bukan hanya untuk kampanye email skala besar. Serangan spear-phishing ditujukan pada orang atau perusahaan terkenal di industri mata uang kripto. Serangan semacam ini menggunakan informasi yang dipersonalisasi untuk mengelabui individu atau organisasi tertentu agar menyerahkan data sensitif atau mengambil tindakan yang menyebabkan kerugian finansial atau pelanggaran keamanan.

Bagaimana cara bertahan melawan PhaaS

Cara ideal untuk melindungi diri dari PhaaS adalah dengan selalu menerapkan kewaspadaan: Periksa kembali semuanya (URL, alamat pengirim), jangan pernah mengeklik tautan yang tidak diminta, dan jangan pernah membagikan kunci pribadi atau frasa awal Anda.

Pendekatan keamanan berlapis dan pertahanan teknis

Instal firewall, alat pemantauan jaringan, keamanan titik akhir, dan pemfilteran email yang tangguh. Perlindungan teknologi ini membantu mengidentifikasi dan memblokir lampiran berisiko, email phishing, dan aktivitas jaringan yang meragukan.

Pelatihan kesadaran pengguna

Ajari anggota staf secara teratur cara mengenali dan melaporkan upaya phishing. Beri tahu mereka tentang tanda-tanda khas upaya phishing. Hal ini mencakup menginstruksikan orang untuk memeriksa alamat pengirim dengan cermat, menentukan urgensi pesan, menjauhi tautan yang meragukan, dan berhenti mengirimkan informasi pribadi melalui email.

Kebijakan keamanan

Terapkan langkah-langkah keamanan seperti praktik terbaik untuk kata sandi dan autentikasi dua faktor (2FA). Untuk menghindari akses yang tidak diinginkan, dorong penggunaan kata sandi yang kuat dan unik yang diperbarui secara berkala.

implementasi DMARC

Untuk membantu menghapus email palsu, gunakan metode autentikasi email seperti autentikasi, pelaporan, dan kesesuaian pesan berbasis domain (DMARC). Dengan membantu verifikasi keaslian email, DMARC menurunkan tingkat keberhasilan upaya phishing.

Hal ini memberi pemilik domain wawasan tentang statistik autentikasi email di domain mereka dan memungkinkan mereka menetapkan kebijakan untuk menangani email yang tidak diautentikasi.

Intelijen ancaman

Mendaftarlah ke layanan intelijen ancaman untuk menerima informasi tentang serangan phishing terbaru dan teknik PhaaS. Untuk lebih melindungi platform mata uang kripto terhadap ancaman siber yang terus berkembang, ikuti perkembangan baru di bidang serangan siber dan risiko online yang muncul.