Berita Terbaru

Strategi Cerdas Menghadapi Serangan Siber di Sektor Pemasaran

Ilustrasi Cyber Security

Ilustrasi Cyber Security

Dalam dunia bisnis yang semakin terhubung secara digital, serangan siber menjadi ancaman yang semakin nyata, bukan hanya terbatas pada keuangan, kekayaan intelektual, dan data pribadi. Aset perusahaan yang dikelola oleh humas dan pemasaran, termasuk email, platform periklanan, saluran media sosial, dan situs promosi, juga menjadi sasaran penjahat siber. Kaspersky, sebagai ahli keamanan siber, memberikan tips bagi perusahaan agar dapat mengamankan aset mereka.

Berbagai jenis serangan siber di dunia pemasaran :

  • Malvertising: Ancaman dari Balik Iklan Berbayar

Fenomena yang mengkhawatirkan telah mengguncang dunia digital, dimana penjahat dunia maya menggunakan iklan berbayar sebagai sarana untuk melakukan serangan siber. Dalam beberapa tahun terakhir, praktik ini telah menjadi semakin umum, mengejutkan banyak orang bahkan para pakar keamanan informasi.

Dikenal dengan istilah malvertising, penjahat dunia maya menggunakan iklan berbayar yang sah sebagai wadah untuk melancarkan serangan mereka. Mereka membayar iklan banner, penempatan pencarian, dan alat promosi perusahaan untuk menyebarkan halaman palsu, kampanye promo palsu, dan skema penipuan lainnya yang ditujukan kepada khalayak luas.

Metode yang paling umum digunakan adalah dengan mencuri kredensial login dan meretas akun iklan perusahaan. Setelah berhasil mengambil alih akun, penjahat mempromosikan situs mereka melalui akun yang telah diretas tersebut. Hal ini memberikan keuntungan ganda bagi para penjahat dunia maya, mereka dapat membelanjakan uang orang lain tanpa meninggalkan jejak yang terlalu mencolok.

Salah satu tantangan utama bagi perusahaan korban adalah kerugian yang ditimbulkan secara berulang, termasuk kemungkinan diblokir oleh platform periklanan karena mendistribusikan konten berbahaya. Selain itu, kerusakan pada akun iklan perusahaan juga menjadi masalah yang harus segera diatasi.

Meskipun ada beberapa kasus di mana penjahat dunia maya membuat akun iklan mereka sendiri dan membayar iklannya, metode ini meninggalkan jejak yang terlalu mencolok, seperti detail pembayaran yang mudah dilacak. Oleh karena itu, mencuri kredensial login dan meretas akun iklan perusahaan menjadi metode yang lebih menarik bagi para penjahat siber.

  • Downvoted and Unfollowed: Pengambilalihan Akun di Media Sosial

Serangan siber terus berkembang, dan kali ini, penjahat dunia maya semakin menggunakan kekhususan platform media sosial untuk melakukan pengambilalihan akun iklan berbayar. Variasi dari skema ini menciptakan masalah tambahan bagi perusahaan yang menjadi target, berbagai variasinya yaitu:

  1. Akses terhadap akun media sosial perusahaan seringkali terkait dengan akun pribadi karyawan. Penyerang dapat dengan mudah membobol komputer pribadi karyawan atau mencuri kata sandi jejaring sosial mereka untuk mendapatkan akses ke akun perusahaan. Dengan menguasai akun, penyerang dapat melakukan berbagai tindakan, termasuk memposting di halaman jejaring sosial perusahaan, mengirim email kepada pelanggan melalui mekanisme komunikasi bawaan, dan memasang iklan berbayar. Memulihkan akses yang telah diretas menjadi tugas yang memakan banyak tenaga, terutama jika karyawan yang disusupi bukanlah administrator utama halaman perusahaan.
  2. Sebagian besar iklan di jejaring sosial berbentuk "postingan promosi" yang dibuat atas nama perusahaan tertentu. Jika penyerang memposting dan mempromosikan penawaran palsu, audiens akan segera mengetahui siapa yang mempublikasikannya dan dapat menyuarakan keluhan mereka langsung di bawah postingan tersebut. Serangan semacam ini tidak hanya merugikan secara finansial bagi perusahaan, tetapi juga merusak reputasi mereka secara nyata.
  3. Di jejaring sosial, banyak perusahaan menyimpan "audiens khusus" yang terdiri dari pelanggan yang tertarik dengan berbagai produk dan layanan, atau yang sebelumnya telah mengunjungi situs web perusahaan. Meskipun informasi ini biasanya tidak dapat dicuri dari jaringan sosial, penjahat dunia maya masih memiliki kemungkinan untuk membuat malvertising yang disesuaikan dengan khalayak tertentu. Dengan demikian, serangan semacam ini dapat menjadi lebih efektif dalam merusak reputasi perusahaan dan merugikan pelanggan.
  • Lingkaran Tidak Terjadwal: Membajak Akun Email

Serangan siber terus berevolusi, dan kali ini penjahat dunia maya menggunakan cara baru yang efektif untuk mendapatkan iklan gratis yaitu, pembajakan akun di penyedia layanan email. Ancaman ini menjadi masalah serius bagi perusahaan yang menjadi target, terutama jika perusahaan tersebut memiliki jutaan pelanggan dalam daftar milisnya.

Ketika perusahaan yang diserang cukup besar, pelaku kejahatan siber dapat mengeksploitasi akses ke daftar email pelanggan dalam beberapa cara. Salah satunya adalah dengan mengirimkan penawaran palsu yang menarik ke alamat email di database pelanggan. Taktik lain termasuk mengganti tautan dalam email iklan yang direncanakan secara diam-diam, atau bahkan mengunduh basis data pelanggan untuk kemudian mengirimkan email phishing dengan cara lain.

Dampak dari serangan semacam ini sangatlah merugikan bagi perusahaan. Kerugian bersifat finansial karena perusahaan harus menanggung biaya untuk mengatasi serangan, reputasi perusahaan dapat tercemar karena pelanggan kehilangan kepercayaan, dan masalah teknis seperti pemblokiran pesan masuk di masa mendatang oleh server email juga dapat terjadi. Khususnya, pemblokiran pesan masuk oleh penyedia email dapat membuat perusahaan sulit untuk berkomunikasi dengan pelanggan secara efektif, karena mereka dianggap sebagai sumber koresponden palsu.

Namun, efek samping yang paling buruk dari serangan semacam ini adalah kebocoran data pribadi pelanggan. Insiden seperti ini tidak hanya dapat merusak reputasi perusahaan, tetapi juga dapat mengakibatkan denda dari regulator perlindungan data. Kebocoran data pribadi merupakan insiden serius yang dapat menimbulkan kerugian finansial dan reputasi jangka panjang bagi perusahaan.

Untuk melawan serangan siber ini, perusahaan harus meningkatkan sistem keamanan mereka, termasuk melakukan pelatihan kesadaran keamanan bagi karyawan dan mengimplementasikan tindakan keamanan yang lebih ketat di semua tingkatan. Selain itu, perusahaan juga perlu menjalin kerja sama dengan penyedia layanan email untuk meningkatkan perlindungan terhadap akun dan data pelanggan.

  • Fifty Shades of Website: Peretasan Situs Web

Peretasan situs web menjadi ancaman yang dapat luput dari perhatian perusahaan kecil, terutama yang menjalankan bisnis melalui jejaring sosial atau offline. Dari perspektif penjahat dunia maya, tujuan peretasan situs web bervariasi tergantung pada jenis situs dan sifat bisnis perusahaan. Kaspersky mengidentifikasi beberapa jenis peretasan situs web yang dapat memberikan dampak serius.

  1. Pelaku ancaman dapat memasang web skimmer di situs e-commerce. Skimmer ini merupakan bagian kecil JavaScript yang disamarkan dengan baik dan tertanam langsung di kode situs web. Tujuannya adalah mencuri detail kartu kredit saat pelanggan melakukan pembelian. Pelanggan tidak menyadari adanya skimmer ini, sehingga proses pembayaran yang seharusnya aman malah dapat membahayakan keamanan finansial mereka.
  2. Penyerang dapat membuat subbagian tersembunyi di situs web dan mengisinya dengan konten berbahaya sesuai keinginan mereka. Halaman ini dapat digunakan untuk berbagai aktivitas kriminal, termasuk penjualan palsu, penyebaran perangkat lunak Trojan, atau hadiah palsu. Praktik ini menjadi lebih meresahkan karena menggunakan situs web yang sah untuk tujuan kriminal, dengan pemilik situs tidak menyadari keberadaan "tamu" tidak diundang ini. Seiring waktu, situs ini mungkin dilupakan, tetapi efek buruknya dapat berlanjut.

Kerugian yang dialami perusahaan akibat peretasan situs web sangat luas. Ini termasuk peningkatan biaya terkait dengan situs karena lalu lintas berbahaya, penurunan jumlah pengunjung sebenarnya karena penurunan peringkat situs SEO, dan potensi perselisihan dengan pelanggan atau penegak hukum terkait tagihan tak terduga pada kartu pelanggan.

  • Hotwired Web Forms: Eksploitasi Formulir Website

Penjahat dunia maya kini semakin kreatif dalam melancarkan serangan mereka, bahkan tanpa harus meretas situs web perusahaan. Salah satu metode baru yang mereka gunakan adalah dengan memanfaatkan formulir web yang ada di situs perusahaan untuk tujuan mereka sendiri. Metode ini dikenal dengan istilah Hotwired web forms dan menjadi ancaman serius bagi keamanan perusahaan dan pengguna situs web.

Fungsi situs web yang menghasilkan email konfirmasi, seperti formulir umpan balik atau formulir janji temu, menjadi target utama penjahat dunia maya. Mereka menggunakan sistem otomatis untuk mengeksploitasi formulir tersebut dengan mengirimkan spam atau pesan phishing kepada korban. Cara kerjanya pun cukup sederhana: Penjahat memasukkan alamat target ke dalam formulir sebagai email kontak, sementara teks email penipuan ditempatkan di kolom Nama atau Subjek. Misalnya, pesan yang mengaku sebagai "Transfer uang Anda siap diterbitkan", dengan tautan yang mencurigakan.

Akibatnya, korban menerima email berbahaya yang terkesan sah, dengan konten yang merugikan dan berpotensi meretas informasi pribadi atau keuangan. Meskipun demikian, platform anti-spam pada akhirnya akan mengidentifikasi email tersebut sebagai spam, namun kerugian sudah terjadi pada perusahaan yang kehilangan sebagian fungsi formulir web mereka.

Satu hal yang memperparah situasi adalah bahwa banyak penerima pesan semacam itu cenderung menganggap perusahaan sama seperti pelaku spam, tanpa memperhitungkan reputasi atau integritas bisnis mereka. Hal ini berdampak pada citra perusahaan yang bisa tercoreng di mata publik.

Untuk melindungi diri dari serangan semacam ini, perusahaan perlu meningkatkan keamanan formulir web mereka. Langkah-langkah seperti verifikasi email, implementasi captcha, dan monitoring aktif atas aktivitas yang mencurigakan dapat membantu mengurangi risiko serangan phishing melalui formulir web.

Kesadaran akan ancaman ini juga penting bagi pengguna internet. Pengguna perlu waspada terhadap email yang mencurigakan dan selalu memverifikasi keaslian pesan sebelum mengklik tautan atau memberikan informasi pribadi.

 

Langkah-langkah Penting Menghadapi Ancaman Siber

Serangan siber semakin beragam dan merambah ke berbagai lapisan bisnis, termasuk departemen PR dan pemasaran. Untuk menghadapi ancaman ini, perusahaan perlu mengambil langkah-langkah perlindungan mendalam guna menjaga integritas aset PR dan pemasaran mereka. Berikut ini beberapa langkah penting yang dapat diambil:

  1. Pelatihan Kesadaran Keamanan Siber: Selenggarakan pelatihan kesadaran keamanan siber di seluruh departemen pemasaran secara teratur. Memastikan bahwa setiap anggota tim memahami risiko siber dan dapat mengidentifikasi potensi serangan.
  2. Praktik Terbaik Kata Sandi: Pastikan seluruh karyawan mengikuti praktik terbaik kata sandi. Gunakan kata sandi yang panjang dan unik untuk setiap platform, dan wajibkan autentikasi dua faktor, terutama untuk jejaring sosial, alat pengiriman surat, dan platform manajemen iklan.
  3. Penghapusan Praktik Penggunaan Satu Kata Sandi: Hapus praktik penggunaan satu kata sandi untuk semua karyawan yang memerlukan akses ke jaringan sosial perusahaan atau alat online lainnya. Ini membantu mencegah risiko penetrasi serangan siber.
  4. Akses dari Perangkat Kerja yang Dilengkapi Perlindungan Penuh: Instruksikan karyawan untuk mengakses alat surat/periklanan dan panel admin situs web hanya dari perangkat kerja yang dilengkapi dengan perlindungan penuh sesuai standar perusahaan, termasuk EDR, keamanan internet, EMM/UEM, dan VPN.
  5. Perlindungan Komprehensif pada Perangkat Pribadi: Dorong karyawan untuk memasang perlindungan komprehensif pada komputer pribadi dan telepon pintar mereka. Ini membantu melindungi informasi sensitif bahkan ketika mereka tidak terhubung ke jaringan perusahaan.
  6. Praktik Wajib LogOut: Perkenalkan praktik wajib keluar atau logout dari platform surat/iklan dan akun serupa bila tidak digunakan. Ini membantu mencegah akses tidak sah.
  7. Mencabut Akses Saat Karyawan Meninggalkan Perusahaan: Pastikan untuk mencabut akses ke jejaring sosial, platform surat/iklan, dan admin situs web segera setelah karyawan meninggalkan perusahaan. Ini mengurangi risiko penyalahgunaan hak akses.
  8. Pemantauan Aktivitas Email dan Iklan: Secara teratur tinjau daftar email yang dikirim dan iklan yang sedang berjalan. Lakukan analisis lalu lintas situs web secara terperinci untuk menemukan anomali pada waktu yang tepat.
  9. Pembaruan Perangkat Lunak: Pastikan semua perangkat lunak yang digunakan di situs web dan komputer kerja, termasuk sistem manajemen konten dan ekstensinya, diperbarui secara berkala dan sistematis ke versi terbaru.
  10. Kerja Sama dengan Kontraktor Pendukung: Bekerja sama dengan kontraktor pendukung situs web untuk menerapkan validasi dan sanitasi formulir. Tetapkan "batas kecepatan" untuk mencegah serangan bot dengan memasukkan captcha cerdas.

Dengan mengimplementasikan langkah-langkah ini, perusahaan dapat meminimalkan risiko serangan siber pada aset PR dan pemasaran mereka. Kesadaran dan tindakan proaktif menjadi kunci untuk menjaga keamanan dalam dunia digital yang terus berkembang.

Bagikan artikel ini

Artikel Terpopuler

LABEL ARTIKEL TERPOPULER

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait