Melindungi bisnis kecil Anda dari serangan phishing
Diterbitkan: 2021-07-27Tanyakan kepada siapa saja dan apakah mereka atau seseorang yang mereka kenal akan mengalami serangan phishing. Bukan hanya itu, tetapi mereka mungkin mengenal seseorang yang benar-benar kehilangan uang karena satu.
Phishing tetap menjadi jenis serangan dunia maya yang paling umum, dengan 74% organisasi di AS berhasil diserang pada tahun lalu. Sayangnya, usaha kecil sangat rentan karena mereka umumnya kekurangan sumber daya dan pengetahuan yang dibutuhkan untuk melindungi diri dari serangan ini.
Mengapa peretas suka menargetkan bisnis kecil?
Lebih sering daripada tidak, usaha kecil cenderung merasa bahwa keamanan siber tidak relevan bagi mereka karena mereka tidak memiliki data atau aset keuangan dalam jumlah besar yang menurut mereka diinginkan oleh peretas, jadi mengapa repot-repot meluangkan waktu dan upaya untuk melindungi diri mereka sendiri? ?
Namun, ini adalah jenis mentalitas yang diandalkan oleh penjahat dunia maya, karena bisnis ini akan gagal menerapkan langkah-langkah keamanan yang efektif, menjadikannya sasaran empuk dan mudah bagi peretas. Perusahaan kecil cenderung tidak berinvestasi dalam pelatihan keamanan siber untuk karyawan mereka sehingga serangan phishing, yang dirancang untuk mengelabui orang, jauh lebih mungkin berhasil jika penerima tidak memiliki pengetahuan untuk menanganinya.
Untuk beberapa serangan, usaha kecil bahkan bukan target akhir. Peretas menggunakan bisnis kecil sebagai titik masuk yang mudah, batu loncatan ke perusahaan besar dalam rantai pasokan yang benar-benar akan memberi mereka penghargaan. Serangan rantai pasokan ini sedang meningkat dan hampir selalu dimulai dengan bisnis kecil yang tidak memiliki pertahanan cyber untuk melindungi diri mereka sendiri dengan baik.
Bagaimana cara kerja phishing?
Serangan phishing masih merupakan salah satu jenis serangan cyber yang paling umum pada bisnis, dengan 241.324 insiden di AS saja tahun lalu. Survei Pelanggaran Cyber Pemerintah Inggris pada tahun 2021 juga mengungkapkan phishing sebagai vektor ancaman nomor satu, yang bertanggung jawab atas 83% serangan.
Meretas ke dalam sistem membutuhkan waktu dan usaha, tetapi membuat seseorang memberi Anda akses ke sistem tersebut dengan memanfaatkan kepercayaan mereka dan menipu mereka jauh lebih mudah. Email phishing secara khusus ditujukan pada manusia dan sering kali menggunakan teknik rekayasa sosial untuk memikat pengguna agar memberikan informasi sensitif atau mengklik tautan yang memicu pemasangan malware atau ransomware di sistem penerima.
Anda dapat menjadi sasaran sebagai bagian dari kampanye massal atau mungkin serangan yang lebih spesifik dan lebih matang terhadap organisasi Anda. Dalam kasus terakhir, peretas dapat menggunakan informasi tertentu tentang perusahaan Anda atau karyawan lain untuk membuat email terdengar lebih meyakinkan. Jenis serangan ini dikenal sebagai spear phishing.
Kasus Kompromi Email Bisnis membuatnya sangat sulit untuk menemukan scammer karena sejauh yang Anda tahu, Anda menerima email yang sah dari kolega atau mitra bisnis. Jenis serangan ini digunakan untuk mendorong karyawan, pelanggan, atau siapa pun di rantai pasokan untuk memberikan data sensitif atau mentransfer dana (yang tentu saja akan diarahkan ke rekening bank peretas).
Kerugian finansial bisa menjadi dampak serius bagi bisnis kecil yang terlibat dalam serangan phishing, tetapi keadaan bisa menjadi jauh lebih buruk jika mereka yang berada di luar organisasi Anda menjadi sasaran melalui perusahaan Anda. Jika peretas berhasil mengakses akun seorang karyawan dan mengirim email ke pemasok, klien, atau mitra bisnis Anda, Anda dapat secara serius memengaruhi hubungan tepercaya ini dan kehilangan bisnis karena kekhawatiran bahwa perusahaan Anda tidak aman.
Cara mendeteksi serangan phishing
Kita semua berpikir bahwa kita tahu cara menemukannya, tetapi email phishing saat ini jauh lebih canggih, membutuhkan tingkat kewaspadaan yang lebih tinggi.
Jadi apa yang bisa Anda perhatikan?
- Selalu perhatikan pengirimnya dengan cermat. Domain palsu mungkin hanya domain tepercaya yang telah diubah secara halus, misalnya, satu 'i' menjadi '1'
- Periksa kontennya. Jika janji yang mencurigakan dibuat dan tampaknya terlalu bagus untuk menjadi kenyataan, mungkin memang demikian.
- Waspadalah terhadap nada. Peretas sering menggunakan urgensi dalam email phishing untuk meyakinkan Anda agar bertindak sebelum Anda sempat berpikir.
- Ejaan dan Tata Bahasa. Ejaan dan tata bahasa yang benar tidak selalu menjadi keunggulan peretas, jadi kesalahan yang jelas mungkin merupakan tanda spam.
Dalam hal penipuan BEC, yang biasanya lebih sulit dideteksi, penting untuk berhati-hati sebelum mengirimkan informasi apa pun. Penipuan populer termasuk mengirimkan faktur palsu kepada pelanggan, meniru seseorang di manajemen atas untuk meminta uang dari karyawan, atau menyamar sebagai pengacara untuk meminta uang dari klien. Secara umum, Anda disarankan untuk memeriksa ulang setiap permintaan transfer uang yang masuk ke kotak masuk Anda.
Apa yang dapat Anda lakukan sebagai bisnis kecil?
Pelatihan Karyawan
Kunci untuk melindungi bisnis Anda dari serangan phishing adalah memastikan staf terlatih dengan baik, karena kesalahan manusia adalah alasan keberhasilan upaya phishing. CEO atau pemilik organisasi bertanggung jawab untuk memastikan karyawan memiliki panduan yang benar tentang serangan phishing, cara mengenalinya, dan apa yang harus dilakukan jika Anda menghadapinya.
Menumbuhkan budaya keamanan dan kesadaran serta memastikan karyawan memiliki pengetahuan yang benar sangat penting ketika beberapa pengguna mungkin bekerja dari rumah, karena visibilitas dan kontrol yang kurang di lingkungan ini.
Kebijakan keamanan adalah cara yang baik untuk menyampaikan panduan ini dan memastikan karyawan membaca dan memahaminya dapat dijadikan bagian dari proses orientasi karyawan. Latihan keamanan dunia maya juga merupakan cara yang baik untuk menguji pengetahuan ini – ada banyak latihan online yang dapat digunakan secara gratis, seperti 'latihan dalam kotak' NCSC. Untuk beberapa dolar sebulan, perusahaan lain dapat memberikan pelatihan keamanan seperti simulasi phishing, di mana Anda dapat melacak tanggapan karyawan.
Kontrol akses
Akan sangat membantu untuk membatasi jumlah titik masuk berharga yang dapat dieksploitasi oleh peretas dengan mengurangi hak istimewa akun di seluruh perusahaan Anda. Staf seharusnya hanya dapat mengakses apa yang mereka butuhkan untuk melakukan peran pekerjaan mereka.
Dengan begitu, jika penjahat dunia maya meretas akun mereka, mereka tidak dapat mengakses semua data sensitif bisnis dan pelanggaran dapat dibendung. Akun administrator harus dicadangkan untuk manajemen tingkat atas. Untuk lebih melindungi akun Anda dari pelanggaran, latih keamanan kata sandi yang baik dan pastikan otentikasi multi-faktor diaktifkan.
Cadangan data
Mencadangkan semua data sensitif secara teratur dalam organisasi Anda berarti tidak semuanya hilang jika peretas berhasil mendapatkan akses melalui upaya phishing. Idealnya, strategi pencadangan Anda harus memenuhi praktik terbaik dari tiga salinan: dua di media yang berbeda, dengan satu di luar lokasi, dan semua cadangan harus dienkripsi untuk keamanan ekstra. Anda dapat memilih untuk mencadangkan menggunakan penyedia cloud atau drive eksternal, tetapi apa pun metodenya, mereka harus dipantau dan secara teratur serta diperiksa untuk memastikan pemulihan dapat dilakukan.
Perangkat Lunak Keamanan
Memastikan perangkat lunak keamanan selalu mutakhir adalah suatu keharusan untuk melindungi dari pelanggaran dan serangan phishing. Ini sering diatur untuk memperbarui secara otomatis tetapi selalu layak untuk memeriksa tambalan terbaru. Meskipun pelatihan karyawan akan memainkan peran terbesar dalam pencegahan serangan phishing, perlindungan tambahan berguna karena Anda tidak selalu dapat menjamin bahwa manusia akan melakukannya dengan benar, tidak peduli seberapa banyak pelatihan dan kewaspadaan dunia maya yang mereka miliki.
Solusi keamanan pihak ketiga dapat diterapkan untuk bekerja di latar belakang, memantau aktivitas email pengguna, upaya login, dan unduhan file, sehingga setiap anomali atau akun yang dilanggar dapat ditemukan dan dilaporkan dengan cepat. Ini dapat membantu menciptakan jaring pengaman sehingga bahkan ketika seorang karyawan perusahaan membuat kesalahan, itu tidak harus menjadi bencana.
Kesimpulan
Melindungi organisasi Anda dari serangan phishing tidak harus mahal atau memakan waktu, tetapi sangat penting bagi usaha kecil-menengah untuk memiliki pendekatan berlapis, memastikan staf menerima pelatihan yang tepat serta mengelola dan mengonfigurasi perangkat lunak dengan benar untuk pengembangan lebih lanjut pertahanan Anda.
Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.