Phishing Telepon
Phone phishing, juga dikenal sebagai vishing atau voice phishing, adalah jenis penipuan yang menggunakan panggilan telepon untuk mencoba mendapatkan akses ke informasi rahasia. Konsep dan pelaksanaannya serupa dengan phishing email, namun alih-alih menggunakan email sebagai vektor serangan, penyerang menggunakan panggilan telepon. Phisher telepon biasanya mencoba membuat korbannya mengungkapkan data pribadi seperti nomor kartu kredit dan kata sandi dengan berpura-pura bahwa mereka berasal dari organisasi yang sah.
Langkah pertama bagi penyerang saat melakukan phish telepon biasanya adalah meneliti target potensial. Hal ini melibatkan pengumpulan informasi tentang orang atau perusahaan yang menjadi target, baik melalui sumber yang tersedia secara publik atau taktik rekayasa sosial seperti menelepon perwakilan layanan pelanggan dari perusahaan lain dan menyamar sebagai seseorang yang bekerja di perusahaan target. Begitu mereka telah mengumpulkan cukup informasi mengenai target mereka, mereka akan mulai melakukan panggilan yang tidak diminta untuk memulai kontak dengan mereka.
Setelah kontak terjalin, penyerang akan mencoba metode berbeda untuk meyakinkan korban agar memberikan data sensitif seperti mencoba menakut-nakuti mereka agar percaya bahwa sesuatu yang buruk mungkin terjadi jika mereka tidak memberikannya (misalnya, “Kami memerlukan nomor kartu kredit Anda di pesan agar kami tidak membekukan akun Anda”). Teknik umum lainnya termasuk menawarkan layanan atau produk gratis jika mereka memberikan rinciannya dan berpura-pura bahwa ada masalah dengan akun mereka yang memerlukan verifikasi sebelum dapat diperbaiki. Namun secara umum, setiap upaya yang dilakukan oleh entitas tak dikenal yang meminta informasi sensitif harus selalu dianggap mencurigakan, tidak peduli seberapa persuasif argumen tersebut pada pandangan pertama.
Untuk melindungi terhadap jenis serangan ini, pengguna tidak boleh memberikan rincian keuangan melalui telepon kecuali benar-benar diperlukan dan hanya setelah memverifikasi dengan siapa sebenarnya Anda berbicara. Jika memungkinkan, mintalah lebih banyak informasi identitas daripada sekadar nama (seperti ID karyawan) sehingga Anda tahu bahwa Anda sedang berbicara dengan seseorang yang berwenang dalam organisasi tersebut. Selain itu, jangan pernah membalas secara langsung melalui email – hal ini dapat dengan mudah menyebabkan penipu mendapatkan akses ke sistem Anda. Selain itu, pertimbangkan untuk menyiapkan autentikasi dua faktor pada semua akun yang memerlukan tindakan keamanan ekstra seperti situs web perbankan atau bursa mata uang kripto di mana sejumlah besar uang berpotensi hilang akibat upaya pencurian seperti yang dijelaskan sebelumnya.
