JAKARTA (IndoTelko) - Ketika menyerang bisnis, fokus biasanya terletak pada empat aspek: keuangan, kekayaan intelektual, data pribadi, dan infrastruktur TI. Kita tidak boleh lupa bahwa penjahat siber juga dapat menargetkan aset perusahaan yang dikelola oleh humas dan pemasaran (marketing)-termasuk email, platform periklanan, saluran media sosial, dan situs promosi.
Berikut tips bagi perusahaan untuk dapat mengamankan aset mereka :
1. Malvertising
Hal yang sangat mengejutkan banyak orang (bahkan pakar InfoSec), penjahat dunia maya telah aktif menggunakan iklan berbayar yang sah selama beberapa tahun. Dengan satu atau lain cara, mereka membayar iklan banner dan penempatan pencarian, serta menggunakan alat promosi perusahaan. Ada banyak contoh dari fenomena ini, yang dikenal dengan nama malvertising (iklan berbahaya).
Biasanya, penjahat dunia maya mengiklankan halaman palsu dari aplikasi populer, kampanye promo palsu dari merek terkenal, dan skema penipuan lainnya yang ditujukan untuk khalayak luas. Terkadang pelaku ancaman membuat akun iklannya sendiri dan membayar iklannya, namun metode ini meninggalkan terlalu banyak jejak (seperti detail pembayaran).
Metode lain lebih menarik bagi mereka: mencuri kredensial login dan meretas akun iklan perusahaan, lalu mempromosikan situs mereka melalui akun tersebut. Hal ini memberikan keuntungan ganda bagi para penjahat dunia maya: mereka dapat membelanjakan uang orang lain tanpa meninggalkan jejak berlebih. Namun perusahaan korban, selain akun iklannya yang rusak, juga mengalami masalah berulang kali - termasuk kemungkinan diblokir oleh platform periklanan karena mendistribusikan konten berbahaya.
2. Downvoted and unfollowed
Variasi dari skema di atas adalah pengambilalihan akun iklan berbayar di jejaring sosial. Kekhususan platform media sosial menciptakan masalah tambahan bagi perusahaan yang ditargetkan.
Pertama, akses terhadap akun media sosial perusahaan biasanya ditautkan dengan akun pribadi karyawan. Seringkali penyerang cukup membobol komputer pribadi karyawan atau mencuri kata sandi jejaring sosial mereka untuk mendapatkan akses hingga cakupan tindakan yang diberikan oleh perusahaan tempat mereka bekerja. Itu termasuk memposting di halaman jejaring sosial perusahaan, mengirim email ke pelanggan melalui mekanisme komunikasi bawaan, dan memasang iklan berbayar. Mencabut fungsi-fungsi ini dari karyawan yang disusupi sangatlah mudah selama mereka bukan administrator utama halaman perusahaan — dalam hal ini, memulihkan akses akan sangat memakan banyak tenaga.
Kedua, sebagian besar iklan di jejaring sosial berbentuk "postingan promosi" yang dibuat atas nama perusahaan tertentu. Jika penyerang memposting dan mempromosikan penawaran palsu, audiens akan segera melihat siapa yang mempublikasikannya dan dapat menyuarakan keluhan mereka langsung di bawah postingan tersebut. Dalam hal ini, perusahaan tidak hanya akan menderita kerugian finansial namun juga reputasi nyata.
Ketiga, di jejaring sosial, banyak perusahaan menyimpan "audiens khusus" — kumpulan pelanggan khusus yang tertarik dengan berbagai produk dan layanan atau yang sebelumnya pernah mengunjungi situs web perusahaan. Meskipun hal ini biasanya tidak dapat dicuri dari jaringan sosial, sayangnya ada kemungkinan untuk membuat malvertising yang disesuaikan dengan khalayak tertentu sehingga lebih efektif.
3. Lingkaran tidak terjadwal
Cara lain yang efektif bagi penjahat dunia maya untuk mendapatkan iklan gratis adalah dengan membajak akun di penyedia layanan email. Jika perusahaan yang diserang cukup besar, perusahaan tersebut mungkin mempunyai jutaan pelanggan di milisnya.
Akses ini dapat dieksploitasi dalam beberapa cara: dengan mengirimkan penawaran palsu menarik ke alamat email di database pelanggan; kemudian secara diam-diam mengganti tautan dalam email iklan yang direncanakan; atau hanya dengan mengunduh basis data pelanggan untuk kemudian mengirimi mereka email phishing dengan cara lain.
Kerugian yang diderita bersifat finansial, reputasi, dan teknis. Yang Kaspersky maksud dengan "teknis" adalah pemblokiran pesan masuk di masa mendatang oleh server email. Dengan kata lain, setelah pengiriman surat berbahaya, perusahaan korban harus menyelesaikan masalah tidak hanya dengan platform pengiriman surat tetapi juga kemungkinan dengan penyedia email tertentu yang telah memblokir Anda karena dianggap sebagai sumber koresponden palsu.
Efek samping yang sangat buruk dari serangan semacam itu adalah kebocoran data pribadi pelanggan. Ini merupakan insiden tersendiri — tidak hanya dapat menimbulkan kerusakan reputasi tetapi juga membuat Anda dikenakan denda dari regulator perlindungan data.
4. Fifty shades of website
Peretasan situs web bisa saja luput dari perhatian dalam jangka waktu lama — terutama bagi perusahaan kecil yang melakukan bisnis terutama melalui jejaring sosial atau offline. Dari sudut pandang penjahat dunia maya, tujuan peretasan situs web bervariasi tergantung pada jenis situs dan sifat bisnis perusahaan. Terlepas dari kasus-kasus ketika penyusupan situs web merupakan bagian dari serangan siber yang lebih canggih, secara umum Kaspersky dapat membedakannya menjadi beberapa jenis berikut :
Pertama, pelaku ancaman dapat memasang web skimmer di situs e-commerce. Ini adalah bagian kecil JavaScript yang disamarkan dengan baik dan tertanam langsung di kode situs web yang mencuri detail kartu saat pelanggan membayar pembelian. Pelanggan tidak perlu mengunduh atau menjalankan apa pun — mereka cukup membayar barang atau jasa di situs, dan penyerang mengambil uang tersebut.
Kedua, penyerang dapat membuat subbagian tersembunyi di situs dan mengisinya dengan konten berbahaya pilihan mereka. Halaman tersebut dapat digunakan untuk berbagai macam aktivitas kriminal, baik itu hadiah palsu, penjualan palsu, atau mendistribusikan perangkat lunak Trojan. Menggunakan situs web yang sah untuk tujuan ini adalah hal yang ideal, selama pemiliknya tidak menyadari bahwa mereka memiliki "tamu". Faktanya, ada seluruh industri yang berpusat pada praktik ini. Paling populer adalah situs tanpa pengawasan yang dibuat untuk semacam kampanye pemasaran atau acara satu kali dan kemudian dilupakan.
Kerugian yang dialami perusahaan akibat peretasan situs web sangat luas, dan mencakup: peningkatan biaya terkait situs karena lalu lintas berbahaya; penurunan jumlah pengunjung sebenarnya karena penurunan peringkat situs SEO; potensi perselisihan dengan pelanggan atau penegak hukum mengenai tagihan tak terduga pada kartu pelanggan.
5. Hotwired web forms
Bahkan tanpa meretas situs web perusahaan, penjahat dunia maya dapat menggunakannya untuk tujuan mereka sendiri. Hal yang mereka butuhkan hanyalah fungsi situs web yang menghasilkan email konfirmasi: formulir umpan balik, formulir janji temu, dan sebagainya. Penjahat dunia maya menggunakan sistem otomatis untuk mengeksploitasi formulir tersebut untuk mengirim spam atau phishing.
Mekanismenya mudah: alamat target dimasukkan ke dalam formulir sebagai email kontak, sedangkan teks email penipuan itu sendiri ada di kolom Nama atau Subjek, misalnya, "Transfer uang Anda siap diterbitkan (tautan)". Akibatnya, korban menerima email berbahaya yang berbunyi seperti ini: "XXX yang terhormat, transfer uang Anda siap untuk diterbitkan (tautan). Terima kasih sudah menghubungi kami. Kami akan segera menghubungi Anda". Tentu saja, platform anti-spam pada akhirnya tidak lagi mengizinkan email tersebut masuk, dan formulir perusahaan korban kehilangan sebagian fungsinya. Selain itu, semua penerima pesan semacam itu tidak terlalu memikirkan perusahaan, dan menyamakannya dengan pelaku spam.
Bagaimana melindungi aset PR dan pemasaran dari serangan siber
Karena serangan yang dijelaskan cukup beragam, diperlukan perlindungan mendalam. Berikut langkah-langkah yang harus diambil :