Simulasi Phishing Kaspersky Buktikan Masih Ada Karyawan Perusahaan Keamanan Siber yang Tertipu

JAKARTA - Data simulasi phishing dari Kaspersky Security Awareness Platform menunjukkan bahwa karyawan cenderung tidak menyadari bahaya laten dari email dengan subjek terkait masalah perusahaan dan pemberitahuan masalah pengiriman email

Itu terbukti karena masih ada satu dari lima karyawan (16-18%) masih mengklik template email yang meniru serangan phishing.

Berdasarkan perkiraan, dari seluruh serangan siber yang ada, 91% dimulai dengan email phishing, dan dari seluruh kebocoran data 32% disebabkan oleh penggunaan teknik phishing yang tepat.

Untuk memberikan insight yang lebih dalam dari ancaman ini, Kaspersky menganalisa data yang dikumpulkan dari simulator phishing, yang diberikan secara sukarela oleh pengguna.

Terintegrasi dalam Kaspersky Security Awareness Platform, tool ini membantu perusahaan mengecek apakah karyawan mereka bisa membedakan email asli dengan email phishing tanpa membahayakan data perusahaan. 

Simulasi ini dimulai dari administrator perusahaan yang memilih dari daftar template yang ada, kemudian meniru skenario umum phishing, atau membuat template baru, lalu mengirim email itu ke sekelompok karyawan tanpa peringatan simulasi. 

Hasilnya, sejumlah besar karyawan ternyata mengklik email phishing dan ini menjadi indikasi bahwa perusahaan memerlukan pelatihan keamanan siber tambahan untuk karyawan.

Berdasarkan kegiatan simulasi phishing di atas, adapun lima jenis email phishing paling efektif adalah: 

  • Subjek: Failed delivery attempt - Unfortunately, our courier was unable to deliver your item. Sender: Mail delivery service. Jumlah klik (membuka email): 18.5%
  • Subjek: Emails not delivered due to overloaded mail servers. Sender: The Google support team. Jumlah klik: 18%
  • Subjek: Online employee survey: What would you improve about working at the company. Sender: HR Department. Jumlah klik: 18%
  • Subjek: Reminder: New company-wide dress code. Sender: Human Resources. Jumlah klik: 17.5% 
  • Subjek: Attention all employees: new building evacuation plan. Sender: Safety Department. Jumlah klik: 16%

Email phishing lain yang banyak diklik karyawan adalah konfirmasi pemesanan layanan (11%), pemberitahuan tentang masuknya pesanan (11%), dan pengumuman kontes IKEA (10%).

Di sisi lain, email yang membahayakan penerimanya, atau menawarkan keuntungan tertentu, sepertinya tidak begitu menarik karyawan.

Menurut Elena Molchanova, Head of Security Awareness Business Development Kaspersky, simulasi phishing adalah salah satu cara termudah untuk mengetahui ketahanan siber karyawan dan mengevaluasi efisiensi dari pelatihan keamanan siber mereka. 

"Namun, ada aspek penting yang harus dipertimbangkan saat memutuskan untuk melakukan kegiatan ini agar hasilnya betul-betul terasa,” ujarnya dalam siaran pers Kaspersky, Senin, 4 Juli. 

Namun, Molchanova melanjutkan, karena metode yang digunakan penjahat siber terus berubah, selain menggunakan skenario umum kejahatan siber, simulasi juga harus meniru tren rekayasa sosial terbaru. 

"Penting untuk dicatat bahwa simulasi serangan dilakukan secara rutin dan didukung dengan pelatihan yang tepat, sehingga karyawan bisa meningkatkan kewaspadaan yang memungkinkan mereka terhindar dari serangan tertarget atau spear-phishing," tuturnya.