Phishing telah ada selama bertahun-tahun, namun pada akhir tahun 2025, phishing menjadi sesuatu yang jauh lebih berbahaya. Dulu, sebagian besar penipuan mudah dideteksi.
Ejaan buruk, logo kikuk, atau e-mail alamat yang jelas-jelas tidak sah merupakan tanda bahaya yang mudah dikenali.
Hal itu tidak lagi terjadi.
Direktur Komersial Topsec Cloud Solutions.
Saat ini, para penjahat sudah melakukannya AI di pihak mereka. Mereka dapat mengirim email yang dipersonalisasi dan sempurna, mengkloning suara manajer, melakukan panggilan video palsu, dan membuat panggilan video palsu situs web yang terlihat identik dengan aslinya. Dan semua ini hanya membutuhkan waktu beberapa menit.
Pelaku kejahatan juga menyadari betapa mudahnya kejahatan yang dilakukan oleh UKM. Mereka tidak lagi mengejar perusahaan global. Usaha kecil dan menengah seringkali menjadi target pilihan mereka, justru karena mereka cenderung memiliki pertahanan yang lebih sedikit.
Bagi para pemimpin bisnis, risikonya lebih tinggi dari sebelumnya. Satu klik yang salah dapat menguras rekening, merusak reputasi, dan bahkan menarik perhatian regulator. Singkatnya: tetap “cocok untuk bisnis” pada tahun 2025 dan seterusnya berarti tetap selangkah lebih maju dari taktik phishing yang berkembang lebih cepat dari sebelumnya.
Selain email: gudang senjata phishing masa kini
Cara nomor satu penipuan terjadi di organisasi Anda adalah melalui email. Faktanya, Deloitte mengatakan 91% serangan dimulai dari sana. Meskipun demikian, penjahat tidak lagi berhenti di email. Mereka telah mengembangkan strategi dan taktik baru, dan trik-trik baru ini membuat bisnis lengah.
Penipuan pertukaran SIM: Pikiran kehilangan kendali atas ponsel Anda sudah cukup untuk membuat Anda merinding. Namun mimpi buruk ini terjadi ketika penyerang meyakinkan penyedia seluler untuk memindahkan nomor Anda ke kartu SIM mereka.
Sekarang, semua panggilan dan kode teks Anda ditujukan kepada mereka. Ya, bahkan keamanan kode untuk menjaga keamanan rekening bank dan email Anda. Penipuan pertukaran SIM adalah masalah yang berkembang pesat. Menurut CIFAS, peretasan semacam ini meningkat lebih dari 1.000% tahun lalu.
Deepfake suara dan video: Email cerdik kini terlihat seperti bab pertama dari pedoman peretasan dunia maya. Panggilan telepon palsu dan rapat video palsu adalah babak baru. Penjahat menggunakan AI untuk mengkloning suara dan bahkan menghasilkan seluruh “tim” rekan kerja.
Seorang pekerja keuangan di raksasa teknik Arup ditipu untuk mengirimkan $25 juta setelah melakukan apa yang tampak seperti panggilan video rutin. Setiap peserta adalah AI palsu.
Smishing (SMS phishing): SMS singkat dan mendesak yang mengaku berasal dari bank Anda, kurir, atau bahkan dukungan TI masih terus meningkat. Karena teks terasa cepat dan familier, orang cenderung mengklik sebelum berpikir.
Quishing (phishing QR): Kode QR ada dimana-mana sejak pandemi; pada poster, faktur, dan bahkan kartu nama. Penyerang mengeksploitasi ini dengan menyembunyikan tautan berbahaya di balik kode yang membawa Anda ke halaman login palsu. Banyak filter keamanan yang tidak menangkapnya. Selain itu, beberapa penipuan kini menggunakan CAPTCHA atau rantai pengalihan untuk mempersulit pendeteksian.
Kompromi Email Bisnis (BEC): Penipuan ini telah melampaui faktur palsu. Penyerang sekarang membobol kolaborasi alat seperti Teams atau Slack, yang menyamar sebagai kolega untuk meminta perubahan gaji, data sensitif, atau bahkan kartu hadiah. Jika permintaan datang dari akun internal yang “tepercaya”, maka akan lebih sulit dikenali.
Kelelahan MFA: Otentikasi multi-faktor seharusnya membuat Anda tetap aman, namun penyerang mempermainkan sistem. Mereka mengirim spam kepada Anda dengan permintaan persetujuan sampai, karena kesal atau terganggu, Anda menekan “setujui.”
Phishing-as-a-Service (PhaaS): Anda tidak perlu lagi menjadi seorang jenius coding untuk melakukan penipuan. Di web gelap, perangkat phishing dan alat AI siap pakai dijual seperti perangkat lunak berlangganan, bahkan memberikan akses kepada penjahat tingkat rendah untuk melakukan serangan canggih.
Apa yang menyatukan semua taktik ini? Singkatnya, psikologi manusia. Semua taktik penipuan ini memiliki kelemahan yang sama: kepercayaan manusia. Teknologi adalah pendorongnya, namun psikologilah yang membuat penipuan ini berhasil.
Mengapa UKM sangat rentan
Organisasi-organisasi besar berinvestasi besar-besaran dalam pertahanan siber. Meski begitu, mereka tidak kebal. Tetapi UKM menghadapi kerugian ganda: anggaran terbatas dan staf TI yang kewalahan. Penyerang mengetahui hal ini, dan mereka secara aktif mencari sasaran yang lebih mudah.
Pekerjaan jarak jauh dan hibrid telah semakin memperluas cakupan serangan. Staf masuk dari perangkat pribadi dan jaringan rumah yang tidak aman, sering kali sambil mengatur permintaan yang bersaing. Ditambah lagi tekanan pengambilan keputusan yang cepat, dan kondisinya sudah siap untuk melakukan kesalahan.
Konsekuensi finansial dan operasionalnya sangat parah:
- Pencurian uang atau data secara langsung.
- Downtime berkepanjangan dan hilang produktivitas.
- Denda peraturan untuk pelanggaran data.
- Kerusakan jangka panjang terhadap kepercayaan merek dan loyalitas pelanggan.
Bagi perusahaan-perusahaan kecil, bahkan satu serangan saja yang berhasil dapat membuktikan eksistensinya.
Membangun ketahanan: bagaimana para pemimpin dapat merespons
Pelatihan kesadaran tahunan yang umum atau saran “arahkan kursor ke link sebelum mengklik” tidak lagi cukup. Organisasi memerlukan pertahanan berlapis yang mencakup sumber daya manusia, proses, dan teknologi.
1. Benteng teknis
– Melampaui MFA berbasis SMS: Aplikasi autentikator, token perangkat keras, atau biometrik lebih aman dibandingkan kode sandi satu kali yang dikirim melalui teks.
– Pemfilteran email tingkat lanjut: Gunakan filter yang didukung pembelajaran mesin yang mendeteksi perilaku pengirim yang mencurigakan, bukan hanya kata kunci.
– Deteksi dan respons titik akhir (EDR): Menemukan dan menampung aktivitas yang tidak biasa pada perangkat sebelum penyerang menyebar.
– Pemfilteran DNS dan URL: Memblokir akses ke situs berbahaya yang diketahui meskipun tautannya diklik.
– Perlindungan pertukaran SIM: Pantau perubahan SIM terkini, peringatkan pengguna ketika nomor telepon diperbarui, dan sembunyikan nomor akun untuk mengurangi pengintaian.
2. Firewall manusia
– Pelatihan yang ditargetkan dan realistis: Ajari staf untuk mengenali penipuan terbaru, mulai dari AI-deepfakes hingga Quishing. Gunakan simulasi phishing untuk memperkuat kebiasaan.
– Kenali tanda peringatan pertukaran SIM: Hilangnya sinyal seluler secara tiba-tiba, ketidakmampuan mengirim SMS atau panggilan, dan penguncian akun yang tidak terduga.
– Budaya pelaporan yang aman: Permudah pelaporan pesan mencurigakan tanpa menyalahkan.
3. Disiplin proses
– Persetujuan ganda untuk pembayaran: Tidak ada satu karyawan pun yang boleh mengotorisasi transfer dalam jumlah besar.
– Verifikasi melalui saluran tepercaya: Hubungi pemasok kembali melalui nomor yang dipublikasikan sebelum bertindak atas permintaan yang tidak biasa.
– Rencana respons insiden yang telah diuji: Bersiaplah untuk bertindak cepat jika a SIM-swap, pengambilalihan akun, atau pelanggaran phishing dicurigai.
Cocok untuk bisnis di tahun 2025
Kenyataannya adalah phishing tidak pernah “hanya” menjadi masalah TI. Ini adalah masalah ruang rapat. Penipuan yang didorong oleh AI, panggilan video deepfake, penipuan pertukaran SIM, dan phishing sebagai layanan berarti bahwa nasihat “akal sehat” yang lama tidak lagi memadai.
Ketahanan bergantung pada kombinasi teknologi cerdas, proses yang disiplin, dan orang-orang yang siap. Penjahat dunia maya berkembang pesat. Satu-satunya respons adalah agar Anda dan bisnis Anda berkembang lebih cepat.
Kami telah menampilkan penyedia email aman terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
