Suara.com - Kaspersky telah mengungkap skema phishing yang menimbulkan ancaman terhadap sistem
perusahaan dengan menargetkan karyawan.
Skema penipuan ini menampilkan dirinya sebagai bentuk evaluasi kinerja karyawan yang berasal dari departemen SDM namun memiliki agenda berbahaya yaitu mencuri informasi sensitif.
Merupakan praktik umum dalam organisasi besar dimana karyawan berbagi pemikiran mengenai
aspirasi karir, bidang minat, atau pencapaian di luar deskripsi pekerjaan mereka.
Biasanya, diskusi semacam ini hanya dilakukan setahun sekali pada saat evaluasi kinerja.
Ketika email yang mengundang untuk berpartisipasi dalam evaluasi diri tiba, terutama jika itu dituliskan bersifat “wajib”, para penjahat siber sering kali memanfaatkan kesempatan tersebut tanpa ragu-ragu.
Inilah celah yang dieksploitasi oleh penjahat siber dalam kampanye spear-phishing terbaru mereka.
![Ilustrasi email phising. [Freepik]](https://media.suara.com/pictures/653x366/2022/05/25/33239-ilustrasi-email-phising.jpg)
Dalam skema penipuan ini, penjahat siber mengirimkan email yang dibuat secara meyakinkan agar tampak seolah-olah berasal dari departemen SDM.
Email ini menawarkan formulir evaluasi diri sebagai cara bagi karyawan untuk berinteraksi dengan manajer mereka.
Namun, email-email yang menipu ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas.
Baca Juga: Awas! Penjahat Siber Memanfaatkan Peluncuran iPhone 15 Lalu
Pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal.
Kedua, email tersebut memberikan tekanan dengan menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja, sebuah taktik umum yang digunakan oleh penipu
untuk menciptakan rasa urgensi.
Selain itu, ketika penerima mengklik link yang disediakan, mereka akan menghadapi pertanyaan yang, pada pandangan pertama, tampak tidak berbahaya.
Namun, sifat sebenarnya dari skema tersebut menjadi jelas dalam tiga pertanyaan terakhir, yang meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.
Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses.
Untuk lebih menghindari deteksi, kata "kata sandi/password" disembunyikan, sehingga menambah kecanggihan penipuan.
