Terlihat Resmi, Ternyata Tipu-tipu! Modus Baru Phishing Menyamar Jadi Email HRD

Digital, VIVA - Kaspersky telah mengidentifikasi kampanye phishing canggih menargetkan karyawan dengan email personal dan dokumen terlampir yang disamarkan sebagai pembaruan kebijakan HRD (human resources department).

Kampanye ini menandai peningkatan signifikan dalam taktik phishing, dengan penyerang tidak hanya menyesuaikan isi email, tetapi juga lampirannya dengan menargetkan masing-masing penerima, menunjukkan tingkat kustomisasi yang belum pernah terjadi sebelumnya.

Tujuannya adalah untuk memikat korban agar memasukkan kredensial email perusahaan mereka. Para penyerang kemungkinan mempersiapkan diri dengan mengurai nama karyawan agar kampanye tertarget dan lebih meyakinkan.

Email-email tersebut menampilkan isi yang menipu seperti: ikon "pengirim terverifikasi" palsu untuk membangun kepercayaan, nama penerima, dan undangan untuk membuka file terlampir guna meninjau protokol kerja jarak jauh, administrasi tunjangan, dan standar keamanan.

Namun, seluruh isi email tersebut sebenarnya hanyalah gambar tanpa teks asli di dalamnya; hal ini dilakukan untuk melewati filter email.

Jika korban memindai kode QR dan mengikuti tautannya, mereka akan diarahkan ke halaman palsu yang meminta mereka memasukkan kredensial perusahaan.

"Kampanye ini menunjukkan tingkat kecanggihan baru dalam serangan phishing, dan kita mungkin akan melihat mekanisme otomatisasi pengiriman surat baru yang menghasilkan dokumen terlampir dan gambar terpisah untuk badan email bagi setiap penerima. Taktik ini memungkinkan peningkatan skala serangan dan sekaligus menghindari pertahanan tradisional. Organisasi harus memprioritaskan langkah-langkah keamanan tingkat lanjut dan edukasi karyawan agar tetap terdepan dalam menghadapi ancaman ini," kata Roman Dedenok, Pakar Anti-Spam Kaspersky.

Untuk tetap aman, Kaspersky merekomendasikan:

● Manfaatkan solusi keamanan khusus di tingkat server email perusahaan untuk mendeteksi dan memblokir upaya phishing.

● Pastikan semua perangkat karyawan, termasuk ponsel pintar, dilengkapi dengan solusi keamanan yang tangguh.

● Lakukan pelatihan rutin tentang taktik phishing modern.

● Dorong karyawan untuk memeriksa email untuk mencari tanda-tanda phishing, seperti teks berbasis gambar atau judul dokumen yang tidak sesuai, dan untuk memverifikasi permintaan secara langsung dengan HRD.