Kampanye ini menunjukkan peningkatan signifikan dalam taktik phishing, di mana penyerang tidak hanya menyesuaikan isi email, tetapi juga lampirannya untuk menargetkan setiap penerima secara individual, sebuah tingkat kustomisasi yang belum pernah terjadi sebelumnya. Tujuan utama serangan ini adalah memikat korban agar memasukkan kredensial email perusahaan mereka.
Para penyerang diduga telah mempersiapkan diri dengan mengumpulkan nama-nama karyawan untuk menjadikan kampanye ini lebih tertarget dan meyakinkan. Email-email palsu tersebut menampilkan berbagai elemen menipu, seperti ikon "pengirim terverifikasi" palsu untuk membangun kepercayaan, nama penerima, dan undangan untuk membuka file terlampir guna meninjau protokol kerja jarak jauh, administrasi tunjangan, dan standar keamanan.
Yang lebih mengkhawatirkan, seluruh isi email tersebut sebenarnya hanyalah gambar tanpa teks asli di dalamnya. Taktik ini digunakan untuk melewati filter email tradisional. File terlampir yang diklaim sebagai "Buku Pegangan Karyawan" juga merupakan jebakan; jika korban memindai kode QR dan mengikuti tautannya, mereka akan diarahkan ke halaman palsu yang meminta kredensial perusahaan mereka.
Roman Dedenok, Pakar Anti-Spam di Kaspersky, berkomentar. "Kampanye ini menunjukkan tingkat kecanggihan baru dalam serangan phishing. Kita mungkin akan melihat mekanisme otomatisasi pengiriman surat baru yang menghasilkan dokumen terlampir dan gambar terpisah untuk badan email bagi setiap penerima."
Ia menambahkan bahwa taktik ini memungkinkan peningkatan skala serangan sekaligus menghindari pertahanan tradisional. Organisasi harus memprioritaskan langkah-langkah keamanan tingkat lanjut dan edukasi karyawan.
Untuk tetap aman, Kaspersky merekomendasikan penggunaan solusi keamanan khusus di tingkat server email perusahaan untuk mendeteksi dan memblokir upaya phishing. Penting juga untuk memastikan semua perangkat karyawan, termasuk ponsel pintar, dilengkapi dengan solusi keamanan yang tangguh.
Pelatihan rutin tentang taktik phishing modern harus dilakukan, dan karyawan didorong untuk memeriksa email mencari tanda-tanda phishing, seperti teks berbasis gambar atau judul dokumen yang tidak sesuai, serta memverifikasi permintaan secara langsung dengan HRD.
Cek Berita dan Artikel yang lain di
Google News
