Waspada, Bahaya Mengintai Karyawan yang Kerja dari Rumah, Kenali Gejala dan Cara Menghindarinya

TRIBUNPEKANBARU.COM - Selama masa pandemi Covid-19, kebanyakan karyawan bekerja dengan metode jarak jauh (work from home/ WFH) dengan mengandalkan video ataupun voice call untuk berkomunikasi hingga meeting.

Masifnya penggunaan panggilan video ataupun suara selama pandemi ini ternyata ikut dimanfaatkan oleh para penjahat siber (cyberciminal) untuk melakukan " vishing" alias voice phising.

Sesuai namanya, vishing adalah upaya manipulasi psikologis di mana penjahat menghubungi korban melalui video atau voice call, dengan berpura-pura menjadi orang -misalnya staf TI- dari perusahaan tempat kerja atau pihak resmi lainnya.

Tujuannya adalah menggali informasi tertentu, biasanya kredensial login.

Biro Investigasi Federal AS ( FBI) mengingatkan bahwa cybercriminal belakangan makin sering menggunakan vishing untuk mendapat akses ke data sensitif perusahaan.

Baca juga: Lagu DJ Imut Tiktok, Viral, Download MP3 Lagu DJ Always Tiktok Viral Versi DJ Remix Slow

Baca juga: Arti Kode Angka 530, Ragam Kamus Bahasa Gaul 2021, 530 Artinya, Mukbang, Mantam-mantap Artinya

Menurut FBI dan Cybersecurity and Infrastructure Security Agency (CISA), pada pertengahan Juli 2020, para kriminal siber melancarkan serangan vishing besar-besaran dengan sasaran karyawan perusahaan AS yang bekerja dari rumah.

Para aktor ini mencuri kredensial untuk login ke jaringan-jaringan korporasi, lalu menjual informasi tersebut ke kelompok kriminal lain.

Cara kerja vishing

Sebagaimana dihimpun dari ZDnet, FBI dan CISA mengungkapkan sebelum melancarkan serangan vishing, para penjahat ini akan melakukan beberapa persiapan terlebih dahulu.

Pertama, mereka akan membuat situs palsu dengan domain yang mirip dengan perusahaan tempat sang korban bekerja.

Para penjahat kemudian membuat situs phising di domain tersebut, yang didesain agar semirip mungkin dengan halaman login di jejaring internal perusahaan, sehingga kerap kali korban tidak menyadari sedang ditipu.

Situs phising itu mampu mengumpulkan otentikasi dua faktor (2FA), biasanya berupa password akun dan kode khusus yang dikirim melalui SMS.

Selain itu, situs phising ini juga bisa mengumpulkan kode One Time Password atau OTP sekali pakai.

Baca juga: Bareskrim Segera Periksa Ambroncius Nababan Soal Ujaran Kebencian, Polri Janji Bakal Transparan

Baca juga: Wanita Ini Bergantung di Kap Mobil dan Sempat Terseret, Polisi Cari Tahu Pemilik Mobil

Setelah membuat situs phising, cybercriminal juga akan mengumpulkan informasi pribadi terkait sang calon korban, bisa dari jejaring sosial, database publik, bahkan melalui layanan pemeriksaan latar belakang yang tersedia untuk umum.

Informasi yang mereka kumpulkan meliputi nama, alamat rumah, nomor ponsel, posisi di perusahaan, hingga durasi bekerja di perusahaan.

Ini nantinya digunakan untuk meyakinkan korban ketika dihubungi.

Setelah mendapatkan data-data korban, penjahat ini kemudian melancarkan vishing dengan menelepon korban menggunakan nomor telepon Voice-over-IP (VoIP) acak.

"Dalam beberapa kasus, penjahat juga menyamar sebagai karyawan TI tempat korban bekerja dan menggunakan data-data tadi untuk meyakinkannya," kata FBI dan CISA, dihimpun KompasTekno dari ZDNet, Senin (25/1/2021).

Kemudian, mereka menggiring korban untuk mengakses domain phising.

"Para aktor kemudian meyakinkan bahwa tautan VPN baru akan dikirim dan korban perlu melakukan login, termasuk menggunakan 2FA atau OTP," kata FBI dan CISA.

Ketika korban mengakses situs phising dan melakukan proses login, cybercriminal pun mengumpulkan informasi kredensial akun tersebut secara real-time.

Kredensial login ini bisa digunakan untuk memeras korban atau dijual kepada penjahat lainnya.

Baca juga: 6 Warganya Tewas Keracunan Gas PT SMGP, tapi Bupati Madina Tak Diizinkan Masuk oleh Perusahaan

Baca juga: VIDEO Fakta Acara Lamaran Vicky Prasetyo, Ibu Kalina Tak Hadir Hingga Sempat Kontak Deddy Corbuzier

Cara menghindari vishing

Ada beberapa tips agar karyawan terhindar dari vishing ini.

Yang paling utama adalah harus selalu waspada jika ada pihak yang meminta informasi pribadi, termasuk kode OTP akun.

Bersikaplah curiga ketika menerima panggilan telepon, kunjungan, atau e-mail dari orang tak dikenal dan mengaku dari organisasi resmi.

Lalu, pastikan hanya mengakses halaman internal akun resmi milik perusahaan.

Perhatikan apakah ada kejanggalan seperti domain tidak dikenal atau salah eja di alamat URL situs.

Jika ada telepon yang memberitahukan bahwa halaman internal perusahaan telah berubah, jika memungkinkan, coba verifikasi identitas penelepon secara langsung ke perusahaan.

Selanjutnya,  berhati-hatilah menyebarkan informasi pribadi di jejaring sosial karena ini bisa dimanfaatkan oleh para penjahat siber untuk melancarkan aksinya.(*)

Artikel ini telah tayang di Kompas.com dengan judul "FBI Ingatkan Bahaya "Vishing" Mengintai Karyawan yang Kerja dari Rumah",