REPUBLIKA.CO.ID, JAKARTA -- Data simulasi phishing dari Kaspersky Security Awareness Platform menunjukkan bahwa karyawan cenderung tidak menyadari bahaya laten dari email dengan subjek terkait masalah perusahaan dan pemberitahuan masalah pengiriman email. Satu dari lima karyawan (16-18 persen) masih mengeklik template email yang meniru serangan phishing.
Berdasarkan perkiraan, dari seluruh serangan siber yang ada, 91 persen dimulai dengan email phishing, dan dari seluruh kebocoran data 32 persen disebabkan oleh penggunaan teknik phishing yang tepat. Kaspersky menganalisa data yang dikumpulkan dari simulator phishing, yang diberikan secara sukarela oleh pengguna.
Statistik berdasarkan hasil simulasi dari 29.597 karyawan di 100 negara. Tidak semua template phishing dikirim ke karyawan peserta simulasi. Data yang ditampilkan mencakup template email yang dikirim ke lebih dari 100 karyawan. Kegiatan simulasi phishing dilakukan pada Januari 2021 hingga Mei 2022.
Berdasarkan kegiatan simulasi phishing di atas, lima jenis email phishing paling efektif adalah:
· Subject: Failed delivery attempt - Unfortunately, our courier was unable to deliver your item. Sender: Mail delivery service. Jumlah klik (membuka email): 18,5 persen.
· Subject: Emails not delivered due to overloaded mail servers. Sender: The Google support team. Jumlah klik: 18 persen.
· Subject: Online employee survey: What would you improve about working at the company. Sender: HR Department. Jumlah klik: 18 persen.
· Subject: Reminder: New company-wide dress code. Sender: Human Resources. Jumlah klik: 17,5 persen.
· Subject: Attention all employees: new building evacuation plan. Sender: Safety Department. Jumlah klik: 16 persen.
Email phishing lain yang banyak diklik karyawan adalah konfirmasi pemesanan layanan (11 persen), pemberitahuan tentang masuknya pesanan (11 persen), dan pengumuman kontes IKEA (10 persen).
Di sisi lain, email yang membahayakan penerimanya, atau menawarkan keuntungan tertentu, sepertinya tidak begitu menarik karyawan. Template email dengan subjek “I hacked your computer and know your search history” hanya diklik oleh dua persen karyawan. Sementara penawaran Netflix gratis dan uang tunai hanya mendapatkan perhatian satu persen karyawan.
“Simulasi phishing adalah salah satu cara termudah untuk mengetahui ketahanan siber karyawan dan mengevaluasi efisiensi dari pelatihan keamanan siber mereka. Namun, ada aspek penting yang harus dipertimbangkan saat memutuskan untuk melakukan kegiatan ini agar hasilnya betul-betul terasa,” ujar Elena Molchanova, Head of Security Awareness Business Development, Kaspersky, melalui siaran pers yang diterima Republika pada Senin (4/7/2022).