Phishing Menyamar dalam Bentuk Email Evaluasi Kinerja Karyawan
- Stock Adobe
VIVA Tekno – Ancaman phishing tengah menargetkan karyawan, menurut temuan Kaspersky. Skema penipuan ini menampilkan virus yang menyamar sebagai bentuk evaluasi kinerja karyawan, mengaku dari departemen SDM (sumber daya manusia).
Faktanya itu memiliki agenda berbahaya yaitu mencuri informasi sensitif. Evaluasi merupakan praktik umum dalam organisasi besar di mana karyawan berbagi pemikiran mengenai aspirasi karir, bidang minat, atau pencapaian di luar deskripsi pekerjaan.
Biasanya diskusi semacam ini hanya dilakukan setahun sekali pada saat evaluasi kinerja. Namun, banyak karyawan yang ingin memiliki lebih banyak kesempatan untuk berkomunikasi dengan manajemen.
Ketika ada email evaluasi, terutama jika dituliskan bersifat 'wajib', para penjahat siber sering kali memanfaatkan kesempatan tersebut tanpa ragu-ragu. Ini merupakan celah yang dieksploitasi oleh penjahat siber dalam kampanye spear-phishing terbaru.
Dalam skema penipuan, penjahat siber mengirimkan email yang dibuat secara meyakinkan agar tampak seolah-olah berasal dari departemen SDM. Email ini menawarkan formulir evaluasi sebagai cara bagi karyawan berinteraksi dengan manajer.
Namun, email-email yang menipu ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas, menurut rilis resmi Kaspersky, Sabtu, 23 September 2023.
Pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal. Kedua, email memberikan tekanan dengan menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja.
Selain itu, ketika penerima mengklik link yang disediakan, mereka akan menghadapi pertanyaan yang pada pandangan pertama, tampak tidak berbahaya. Namun, sifat sebenarnya dari skema tersebut menjadi jelas dalam tiga pertanyaan terakhir, yang meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.
Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata sandi/password disembunyikan, sehingga menambah kecanggihan penipuan.
“Kami menghimbau karyawan perusahaan untuk berhati-hati saat menerima email seperti itu, terutama yang menyerupai komunikasi HR," kata Roman Dedenok, pakar keamanan di Kaspersky.
Untuk melindungi data mereka, sangat penting untuk memverifikasi keaslian permintaan evaluasi diri yang tidak diminta secara langsung dengan departemen SDM mereka.