Phishing atau penipuan melalui email kini semakin canggih dan menyasar karyawan melalui tema kebijakan HRD yang terkesan resmi. Baru-baru ini, Kaspersky mengumumkan munculnya kampanye email HRD palsu, di mana pelaku mengirim pesan-olah dari bagian Sumber Daya Manusia dengan lampiran dokumen kebijakan baru. Data pribadi dan kredensial perusahaan menjadi sasaran utama. Artikel ini menguraikan bagaimana modus tersebut bekerja, mengapa berbahaya, dan langkah-langkah pencegahan yang dapat dilakukan organisasi dan individu.
1. Modus Operandi: Email HRD Palsu yang Mencurigakan
Menurut Technologue.id, pelaku menggunakan teknik phishing canggih dengan email yang disesuaikan secara pribadi. Mereka menggunakan:
-
Nama penerima asli
-
Ikon “pengirim terverifikasi” palsu
-
Lampiran yang tampak seperti dokumen kebijakan HRD terkini (misalnya protokol kerja jarak jauh, izin)
Namun semua isi email adalah gambar, bukan teks, untuk menghindari deteksi filter email
2. Tujuan Penyerang: Mencuri Email Kredensial
Saat pengguna membuka lampiran atau memasukkan kode QR di dalam email, korban diarahkan ke situs palsu yang didesain mirip portal HRD resmi. Target diminta memasukkan nama pengguna dan kata sandi mereka – lengkap!
3. Tingkat Serangan yang Semakin Tinggi
Roman Dedenok, pakar anti-spam Kaspersky, menyatakan bahwa kampanye ini menggunakan otomasi terarah: setiap email dan lampiran disesuaikan dengan nama target, memungkinkan penipuan berskala besar dan efektif, sekaligus menghindari sistem filter tradisional
4. Risiko yang Muncul Jika Terlena
-
Informasi kredensial dicuri → akses sistem perusahaan
-
Data internal terekspos → risiko kebocoran data, reputasi rusak
-
Pelaku bisa melancarkan serangan lanjutan seperti kompromi email bisnis
5. Langkah Aman untuk Perusahaan dan Karyawan
Untuk menanggulangi phishing ini, berikut tindakan perlindungan yang dapat dilakukan:
| Langkah Keamanan | Penjelasan |
|---|---|
| Solusi di server email | Gunakan filter dan mesin deteksi untuk menargetkan phishing. |
| Pelatihan kesadaran siber | Edukasi karyawan soal ciri phishing: pengirim tidak resmi, lampiran sebagai gambar. |
| Verifikasi manual | Jangan langsung buka lampiran atau scan QR; lakukan pengecekan melalui standar HR. |
| Penggunaan autentikasi dua faktor (2FA) | Jika kredensial tercuri, proteksi akun tetap dapat dipertahankan. |
| Lapor cepat | Bila ada email mencurigakan, segera laporkan ke bagian IT atau keamanan. |
6. Rekomendasi dari Kaspersky
Kaspersky menyarankan setiap organisasi untuk menerapkan solusi keamanan tingkat lanjut di sisi server—terutama untuk masuk email. Sistem harus mampu mendeteksi email dengan lampiran gambar yang menipu dan mencegah eksekusi tautan berbahaya.
Kesimpulan
Kampanye phishing berkedok kebijakan HRD ini menunjukkan peningkatan ancaman siber tingkat lanjut. Dengan taktik personalisasi, fitur palsu, dan otomasi yang tersembunyi, banyak orang yang bisa menjadi korban. Oleh karena itu, kesadaran, keamanan pendidikan, dan teknologi proteksi yang mutakhir mutlak diperlukan. Kunci utamanya adalah “verifikasi sebelum bertindak”—jangan tergesa-gesa membuka lampiran atau mengikuti tautan sebelum yakin validitas pengirimnya. Ingat, aman itu lebih baik daripada menyesal!
Sumber : technologue
