Menurut laporan tersebut, rekayasa sosial tetap menjadi metode serangan paling efektif karena mengeksploitasi kerentanan manusia, bukan sistem. Faktanya, sekitar 91% dari semua serangan siber yang berhasil dimulai melalui satu elemen sederhana: email phishing. Namun, Whaling membawa teknik ini ke tingkat yang jauh lebih canggih dan berbahaya.
Berbeda dengan phishing massal yang sering kali penuh dengan kesalahan ketik atau tata bahasa, serangan Whaling disusun dengan sangat rapi dan personal. Penyerang melakukan riset mendalam melalui profil LinkedIn, pidato publik, atau laporan tahunan perusahaan untuk meniru gaya bahasa dan nada bicara target mereka.
Laporan Splunk mencatat bahwa serangan ini sering kali melibatkan manipulasi psikologis yang menciptakan rasa urgensi atau ketakutan. Sebagai contoh, seorang eksekutif keuangan mungkin menerima email yang tampak sangat resmi dari CEO, yang meminta transfer dana darurat untuk akuisisi rahasia yang harus diselesaikan dalam hitungan jam. Karena tekanan jabatan dan tingkat kepercayaan yang tinggi, korban sering kali melewatkan prosedur verifikasi standar.
Satu studi kasus yang diangkat dalam laporan tersebut adalah jatuhnya hedge fund berbasis di Australia, Levitas Capital. Perusahaan ini terpaksa ditutup secara permanen setelah kehilangan USD8,7 juta dalam sebuah serangan whaling. Serangan tersebut dipicu hanya oleh satu klik pada tautan undangan pertemuan Zoom palsu yang dikirimkan kepada pendirinya.
Tautan tersebut memasukkan malware yang memungkinkan peretas mengendalikan sistem email perusahaan dan menginstruksikan transfer dana ilegal. Kejadian ini membuktikan bahwa bahkan para profesional di sektor keuangan yang sangat terlatih sekalipun bisa menjadi korban jika serangan tersebut dirancang dengan sangat meyakinkan.
Whaling sering kali menjadi pintu masuk bagi Business Email Compromise (BEC). Setelah peretas berhasil menguasai akun email seorang eksekutif, mereka tidak langsung mencuri data.
Sebaliknya, mereka akan memantau percakipan selama berbulan-bulan, mempelajari jadwal vendor, dan memahami bagaimana transaksi keuangan dilakukan. Pada saat yang tepat, mereka akan menyisipkan instruksi pembayaran palsu yang tampak sangat sah karena dikirim dari alamat email asli milik eksekutif tersebut.
Laporan Splunk menekankan bahwa perlindungan terhadap eksekutif harus lebih ketat dibandingkan pengguna biasa karena profil risiko mereka yang jauh lebih tinggi. Langkah-langkah yang disarankan meliputi:
1. Prosedur Verifikasi Luar Jalur (Out-of-Band): Setiap permintaan transfer dana atau perubahan data sensitif harus dikonfirmasi melalui saluran komunikasi kedua yang berbeda (misalnya panggilan telepon langsung), bukan hanya melalui email.
2. Pelatihan Kesadaran Khusus Eksekutif: Tim C-level memerlukan pelatihan simulasi phishing yang dirancang khusus untuk skenario tingkat tinggi yang mereka hadapi sehari-hari.
3. Teknologi Anti-Spoofing: Mengimplementasikan protokol keamanan email seperti DMARC untuk mencegah penyerang memalsukan domain perusahaan.
Di mata peretas, identitas kita adalah hadiah terbesar. Keamanan siber bukan lagi tugas yang bisa didelegasikan sepenuhnya ke departemen IT. Itu adalah tanggung jawab pribadi yang dimulai dari setiap klik di kotak masuk email Anda sendiri.
Cek Berita dan Artikel yang lain di
Google News
(MMI)
