Organisasi penegak hukum di seluruh Eropa, Asia dan Amerika Selatan memperingatkan lonjakan penjahat yang menggunakan apa yang disebut ‘SMS Blasters’ – perangkat portabel yang dapat mengirimkan ribuan pesan palsu. SMSmelewati perlindungan jaringan sepenuhnya.
Ancaman ini semakin besar dan menyebabkan satu korban kehilangan £2.000 dalam hitungan menit.
Kepala Keamanan Industri di GSMA.
Teknologi “tiang telepon” yang tadinya mahal kini dapat dibeli melalui web gelap seharga sebuah laptop dan dapat dimasukkan ke dalam ransel penjahat tanpa terdeteksi.
Hal ini bukan hanya menjadi masalah bagi publik, namun semakin sering digunakan untuk serangan smishing yang ditargetkan pada karyawan dan jaringan perusahaan, karena memungkinkan penjahat untuk mendekati bisnis secara fisik, melewati jaringan. keamanan dan menipu karyawan agar memberikan kata sandi dan kredensial keamanan.
Risiko tersembunyi dalam SMS bisnis sehari-hari
Meskipun smishing (atau phishing berbasis SMS) awalnya sudah ada dalam jumlah kecil sejak awal mula jaringan seluler GSM pertama, saat itu penipu akan fokus mengarahkan korbannya untuk menelepon nomor bertarif premium atau mengelabui mereka agar menyerahkan data pribadi.
Namun, saat ini, tumpukan teknologi tersebut hanya mengeluarkan biaya beberapa ratus poundsterling bagi para penjahat, namun dapat memberikan keuntungan yang fenomenal. Global Anti Scam Alliance melaporkan bahwa penipu telah mencuri $442 miliar selama setahun terakhir, dan SMS merupakan metode pemerasan kedua yang paling umum dilakukan oleh para penjahat, setelah email.
Integrasi SMS ke dalam proses verifikasi, seperti kata sandi satu kali dan dua faktor otentikasidan digunakan sebagai saluran komunikasi umum untuk menyampaikan informasi seperti kredensial, tautan pembayaran, dan pembaruan layanan, semakin memperkuat ancaman ini.
Hal ini tidak hanya menciptakan ancaman reputasi bagi bisnis yang pelanggan dieksploitasi, tetapi juga ancaman keamanan perusahaan, ketika karyawan menjadi sasaran.
Fitur keamanan SMS yang terbatas berarti perusahaan harus memperhatikan bagaimana dan di mana mereka menerapkannya dalam proses komunikasi dan autentikasi. Jika tidak, hal tersebut berisiko mengikis kepercayaan konsumen terhadap layanan digital.
Penelitian GSMA baru-baru ini di Asia Pasifik menunjukkan bahwa lebih dari dua pertiga (67%) orang sangat khawatir terhadap smishing, dan hal ini memang beralasan. Ketika para penjahat mengeksploitasi kesenjangan antara tujuan awal SMS dan penggunaannya di zaman modern, batas antara risiko konsumen dan perusahaan telah hilang.
Penyebaran SMS Blasters menandai fase baru kecanggihan penipuan. Tiang telepon palsu portabel ini memungkinkan penyerang menyiarkan ribuan SMS dalam hitungan detik, sering kali menyamar sebagai perusahaan pengiriman, bank, atau bahkan pemasok atau tim TI internal.
Karena SMS dikirimkan secara lokal, mereka dapat sepenuhnya melewati SMS yang sah jaringan perlindungan.
Namun SMS Blasters hanyalah salah satu teknik yang digunakan untuk mengeksploitasi kelemahan keamanan SMS ini. Sebagian besar serangan smishing masih mengeksploitasi rute telekomunikasi yang sah dan konvensional: pesan SMS palsu yang dikirimkan ke seluruh jaringan dari sumber spam yang sewenang-wenang atau melalui interkoneksi internasional.
Hasilnya adalah lingkungan ancaman gabungan yang memadukan spam lokal dengan kampanye lintas negara, sehingga koordinasi respons menjadi lebih kompleks.
Bagaimana memblokir penipuan – bukan bisnisnya
Melindungi dari smishing memerlukan keseimbangan antara kegunaan dan kontrol. Misalnya, beberapa operator di Asia Pasifik kini memblokir semua tautan yang dapat diklik di SMS.
Meskipun hal ini dapat menghilangkan banyak penipuan, hal ini juga dapat mengganggu sistem hukum bisnis komunikasi. Teknologi penyaringan dapat membantu, namun teknologi tersebut masih dibatasi oleh sifat jaringan pesan global yang terfragmentasi.
Di Inggris, momentum sedang dibangun untuk perlindungan yang lebih konsisten. Ofcom baru-baru ini mengusulkan peraturan baru yang mengharuskan jaringan seluler untuk memblokir SMS penipuan secara lebih proaktif, mengatasi kesenjangan perlindungan yang ada saat ini bagi konsumen dan bisnis.
Usulan tersebut mencakup langkah-langkah seperti memblokir nama pengirim palsu, menetapkan batas volume pada SIM bayar sesuai pemakaian, dan melakukan uji tuntas terhadap pengirim pesan bisnis. Namun, perlindungan ini akan memiliki dampak yang lebih terbatas pada pesan yang berasal dari SMS blaster.
Kemajuan juga datang dari evolusi jaringan, seperti diperkenalkannya Rich Communication Services (RCS). enkripsi dan otentikasi yang lebih kuat, mengurangi risiko SMS palsu.
Penghentian jaringan 2G dan 3G yang sedang berlangsung juga menyederhanakan pertahanan dan membatasi peluang serangan sisi radio. Sementara itu, kita sebagai industri harus bekerja sama dengan pemerintah dan penegak hukum untuk memberantas SMS Blaster.
Inisiatif Open Gateway GSMA merupakan kemajuan penting lainnya. Melalui API gabungan dan berbasis standar, operator dan perusahaan teknologi dapat menawarkan kemampuan identitas dan verifikasi kepada perusahaan yang menggantikan proses berbasis SMS lama.
API seperti Tukar SIM dan Verifikasi Nomor memungkinkan perusahaan memverifikasi perubahan identitas seluler secara real-time, sehingga mengurangi peluang penipuan setelah transfer perangkat atau nomor. API berbasis identitas juga dapat membantu bank dan penyedia layanan mengautentikasi pengguna tanpa membuat mereka terkena SMS rawan phishing.
Pentingnya berbagi intelijen
Teknologi saja tidak bisa menandingi laju rekayasa sosial.
Penanggulangan utama lainnya adalah mekanisme berbagi informasi, seperti Pusat Pembagian dan Analisis Informasi Telekomunikasi (T-ISAC) GSMA, yang memungkinkan operator untuk bertukar data ancaman hampir secara real-time dan berbagi intelijen industri dengan penegak hukum.
Misalnya, ketika satu operator mendeteksi kampanye smishing baru atau domain berbahaya, operator lain dapat memblokirnya sebelum menyebar.
Model kolaboratif ini terbukti penting karena penyerang menggunakan kembali skrip, domain, dan infrastruktur di seluruh wilayah. Setiap titik data yang dibagikan melalui T-ISAC memperpendek jendela kerentanan seluruh ekosistem. Lintas industri kolaborasi sama pentingnya.
Bank, pengecer, dan penyedia telekomunikasi semakin mengumpulkan intelijen melalui inisiatif regional seperti Satuan Tugas Anti-Penipuan Lintas Sektor Asia-Pasifik (ACAST). Tindakan bersama lintas sektor inilah yang mengungkap pola berskala besar sejak dini, sehingga membantu pihak berwenang mengganggu operasional sebelum mencapai konsumen atau perusahaan.
Kebersihan dunia maya tetap penting: pelatihan adalah garis pertahanan pertama
Bahkan pemfilteran dan API paling canggih sekalipun akan gagal jika karyawan tetap tidak menyadari ancaman tersebut.
Pelatihan kesadaran dan kebersihan dunia maya perlu berkembang seiring dengan teknologi, dengan staf menyadari bahwa organisasi yang sah jarang (jika pernah) mengirim SMS permintaan kredensial yang mendesak, dan bahwa semua tautan dalam SMS harus dianggap mencurigakan kecuali penerima dapat sepenuhnya memverifikasi validitas permintaan tersebut melalui saluran resmi.
Perusahaan juga harus meninjau di mana dan mengapa SMS digunakan. Jika autentikasi atau komunikasi tetap penting, perlindungan tambahan harus menjadi standar, seperti alat manajemen perangkat, lapisan verifikasi sekunder, dan pemantauan berkelanjutan.
Smishing telah mengungkap titik lemah dalam pertahanan perusahaan yang tidak dapat diselesaikan hanya dengan teknologi. Hal ini memerlukan respons yang terkoordinasi antara operator, perusahaan, dan konsumen, melalui inisiatif seperti Open Gateway dan T-ISAC.
Smishing mungkin awalnya merupakan gangguan bagi konsumen, namun kini menjadi ancaman bagi bisnis. Dengan memahami ancaman dan alat yang tersedia untuk memeranginya, perusahaan dapat melindungi diri mereka dengan lebih baik terhadap risiko yang tidak terlalu besar namun signifikan ini.
Kami telah menampilkan kursus keamanan siber online terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
