Phishing Menyamar dalam Bentuk Email Evaluasi Kinerja Karyawan

Ilustrasi scam/hacker/peretasan.
Sumber :
  • Stock Adobe

VIVA Tekno – Ancaman phishing tengah menargetkan karyawan, menurut temuan Kaspersky. Skema penipuan ini menampilkan virus yang menyamar sebagai bentuk evaluasi kinerja karyawan, mengaku dari departemen SDM (sumber daya manusia).

Indonesia Waspada, Serangan Ini Meningkat Drastis

Faktanya itu memiliki agenda berbahaya yaitu mencuri informasi sensitif. Evaluasi merupakan praktik umum dalam organisasi besar di mana karyawan berbagi pemikiran mengenai aspirasi karir, bidang minat, atau pencapaian di luar deskripsi pekerjaan. 

Biasanya diskusi semacam ini hanya dilakukan setahun sekali pada saat evaluasi kinerja. Namun, banyak karyawan yang ingin memiliki lebih banyak kesempatan untuk berkomunikasi dengan manajemen. 

Phishing, Pretexting, hingga Baiting: Ragam Modus Social Engineering yang Mengintai

Ketika ada email evaluasi, terutama jika dituliskan bersifat 'wajib', para penjahat siber sering kali memanfaatkan kesempatan tersebut tanpa ragu-ragu. Ini merupakan celah yang dieksploitasi oleh penjahat siber dalam kampanye spear-phishing terbaru.

Dalam skema penipuan, penjahat siber mengirimkan email yang dibuat secara meyakinkan agar tampak seolah-olah berasal dari departemen SDM. Email ini menawarkan formulir evaluasi sebagai cara bagi karyawan berinteraksi dengan manajer. 

Cara Meningkatkan Kolaborasi Tim dalam Perusahaan

Namun, email-email yang menipu ini menunjukkan beberapa tanda-tanda phishing yang sangat jelas, menurut rilis resmi Kaspersky, Sabtu, 23 September 2023.

Peretas atau hacker.

Photo :
  • ABC News

Pertama, alamat email pengirim tidak sesuai dengan alamat perusahaan, sehingga menimbulkan kecurigaan sejak awal. Kedua, email memberikan tekanan dengan menegaskan bahwa setiap orang harus melengkapi formulir pada akhir hari kerja.

Selain itu, ketika penerima mengklik link yang disediakan, mereka akan menghadapi pertanyaan yang pada pandangan pertama, tampak tidak berbahaya. Namun, sifat sebenarnya dari skema tersebut menjadi jelas dalam tiga pertanyaan terakhir, yang meminta alamat email korban, kata sandi, dan konfirmasi kata sandi.

Pendekatan yang menipu ini membuat korban lengah karena meminta informasi sensitif menjelang akhir proses. Untuk lebih menghindari deteksi, kata sandi/password disembunyikan, sehingga menambah kecanggihan penipuan.

“Kami menghimbau karyawan perusahaan untuk berhati-hati saat menerima email seperti itu, terutama yang menyerupai komunikasi HR," kata Roman Dedenok, pakar keamanan di Kaspersky.

Untuk melindungi data mereka, sangat penting untuk memverifikasi keaslian permintaan evaluasi diri yang tidak diminta secara langsung dengan departemen SDM mereka.

Halaman Selanjutnya
Halaman Selanjutnya