Jakarta, PCplus – Dalam dunia bisnis, ada empat aspek yang sering menjadi sasaran utama para penjahat siber, yaitu: keuangan, kekayaan intelektual, data pribadi, dan infrastruktur TI. Namun, tidak hanya itu saja yang harus diwaspadai. Aset perusahaan yang berhubungan dengan humas dan pemasaran (marketing) juga rentan terhadap serangan keamanan marketing.
Baca Juga: Tips Menghindari Hacker di 2024
Malvertising: Iklan Berbahaya yang Mengintai di Internet
Salah satu bentuk serangan keamanan marketing yang paling umum adalah malvertising, yaitu iklan berbahaya yang menyebar melalui internet. Penjahat siber memanfaatkan iklan berbayar yang sah untuk menyebarkan konten berbahaya, seperti halaman palsu, kampanye promo palsu, atau skema penipuan. Tujuan mereka adalah untuk menarik perhatian khalayak luas dan mengelabui mereka untuk mengklik iklan tersebut. Yang kemudian akan mengarahkan mereka ke situs berbahaya yang dapat mencuri data, menginstal malware, atau melakukan hal-hal lain yang merugikan.
Penjahat siber memiliki dua cara untuk melakukan malvertising. Cara pertama adalah dengan membuat akun iklan mereka sendiri dan membayar iklan tersebut. Ini cukup mudah, tetapi juga meninggalkan banyak jejak, seperti detail pembayaran, yang dapat dilacak oleh pihak berwenang.
Cara lain adalah dengan mencuri kredensial login dan meretas akun iklan perusahaan yang sah. Lalu mempromosikan situs mereka melalui akun tersebut. Ini lebih sulit, tetapi juga lebih berbahaya, karena mereka dapat menggunakan uang orang lain tanpa diketahui dan merusak reputasi perusahaan yang akun iklannya diretas. Selain itu, perusahaan yang akun iklannya diretas juga dapat diblokir oleh platform periklanan karena dianggap mendistribusikan konten berbahaya.
Pengambilalihan Akun Iklan Berbayar di Jejaring Sosial: Ancaman bagi Reputasi Perusahaan
Selain platform periklanan, penjahat siber juga dapat menargetkan akun iklan berbayar di jejaring sosial, seperti Facebook, Instagram, Twitter, dan lain-lain. Serangan keamanan marketing ini juga dapat menimbulkan masalah bagi perusahaan yang ditargetkan, terutama dalam hal reputasi.
Ada beberapa hal yang membuat serangan keamanan marketing di jejaring sosial lebih berisiko. Pertama, akses terhadap akun media sosial perusahaan biasanya ditautkan dengan akun pribadi karyawan. Ini berarti bahwa penyerang dapat dengan mudah mendapatkan akses terhadap akun media sosial perusahaan jika mereka berhasil membobol komputer pribadi karyawan atau mencuri kata sandi jejaring sosial mereka.
Dengan akses tersebut, penyerang dapat melakukan berbagai hal yang merugikan. Seperti memposting konten berbahaya di halaman media sosial perusahaan, mengirim email palsu ke pelanggan, atau memasang iklan berbayar yang menyesatkan. Jika karyawan yang akunnya disusupi bukan merupakan administrator utama halaman perusahaan, maka akan sangat sulit untuk mencabut akses tersebut dan memulihkan akun media sosial perusahaan.
Kedua, sebagian besar iklan di jejaring sosial berbentuk “postingan promosi” yang dibuat atas nama perusahaan tertentu. Jika penyerang memposting dan mempromosikan penawaran palsu, audiens akan segera melihat siapa yang mempublikasikannya. Hal ini dapat menyuarakan keluhan mereka langsung di bawah postingan tersebut. Dalam hal ini, perusahaan tidak hanya akan menderita kerugian finansial, tetapi juga reputasi nyata. Audiens yang merasa tertipu atau kecewa dapat memberikan reaksi negatif, seperti downvote, unfollow, atau bahkan mengajukan laporan atau gugatan.
Ketiga, di jejaring sosial, banyak perusahaan menyimpan “audiens khusus”. Yaitu kumpulan pelanggan khusus yang tertarik dengan berbagai produk dan layanan atau yang sebelumnya pernah mengunjungi situs web perusahaan. Audiens khusus ini dapat digunakan untuk membuat iklan yang lebih relevan dan efektif. Namun, sayangnya, penyerang juga dapat memanfaatkan audiens khusus ini untuk membuat malvertising yang lebih menyesuaikan dengan khalayak tertentu. Dengan demikian, penyerang dapat meningkatkan peluang untuk menipu atau merugikan audiens khusus tersebut.
Serangan Tak Terjadwal
Serangan siber tanpa disadari Salah satu metode yang digunakan oleh penjahat siber untuk mendapatkan promosi gratis adalah dengan meretas akun di layanan email. Jika perusahaan yang menjadi sasaran cukup besar, perusahaan itu mungkin memiliki jutaan pelanggan di daftar suratnya.
Akses ini bisa dimanfaatkan dengan beberapa cara. Dengan mengirimkan tawaran palsu yang menarik ke email pelanggan di basis data; lalu mengganti link di email promosi yang sudah direncanakan. Atau dengan mengunduh basis data pelanggan dan mengirimkan email phishing dengan cara lain. Lagi-lagi, kerugian yang ditanggung bersifat keuangan, reputasi, dan teknis. Yang dimaksud dengan “teknis” adalah pemblokiran email masuk di masa depan oleh server email.
Artinya, setelah pengiriman email berbahaya, perusahaan yang menjadi korban harus menangani masalah tidak hanya dengan platform pengiriman email tetapi juga dengan penyedia email tertentu yang telah memblokir perusahaan karena menganggap sebagai pengirim email palsu. Dampak buruk lain dari serangan seperti itu adalah bocornya data pribadi pelanggan. Ini adalah insiden terpisah yang bisa merusak reputasi perusahaan dan membuat perusahaan didenda oleh otoritas perlindungan data.
Peretasan Situs Web
Peretasan situs web sering kali tidak terdeteksi dalam waktu yang lama, terutama oleh perusahaan kecil yang berbisnis melalui media sosial atau offline. Para penjahat dunia maya memiliki berbagai motif dalam meretas situs web, tergantung pada jenis dan karakteristik bisnis perusahaan. Menurut Kaspersky, peretasan situs web secara umum dapat dibagi menjadi beberapa jenis, yaitu:
Web skimmer. Ini adalah kode JavaScript yang tersembunyi dan tertanam di situs web e-commerce, yang bertujuan untuk mencuri data kartu kredit pelanggan saat mereka melakukan pembayaran online. Pelanggan tidak menyadari bahwa data mereka dicuri, karena mereka tidak perlu mengunduh atau menjalankan apapun. Penjahat dunia maya kemudian dapat menggunakan data tersebut untuk kepentingan mereka sendiri.
Subdomain berbahaya. Ini adalah halaman web yang dibuat oleh penjahat dunia maya di bawah situs web yang sah, yang berisi konten yang merugikan. Halaman ini dapat digunakan untuk berbagai kegiatan kriminal, seperti penipuan, penjualan barang palsu, atau penyebaran malware. Penjahat dunia maya memanfaatkan situs web yang sah, karena pemiliknya tidak mengetahui adanya “tamu” yang tidak diundang. Praktik ini sangat umum, terutama di situs web yang tidak terawat, yang dibuat untuk keperluan pemasaran atau acara tertentu dan kemudian ditinggalkan.
Penyalahgunaan formulir web
Ini adalah cara penjahat dunia maya untuk menggunakan situs web perusahaan tanpa harus meretasnya. Mereka hanya membutuhkan fungsi situs web yang mengirimkan email konfirmasi, seperti formulir umpan balik, formulir janji temu, dan sejenisnya. Mereka menggunakan sistem otomatis untuk memanfaatkan formulir tersebut untuk mengirim email spam atau phishing. Caranya adalah dengan memasukkan alamat email target sebagai email kontak, dan menulis teks email penipuan di kolom Nama atau Subjek.
Misalnya, “Transfer uang dan siap terbitkan (tautan)”. Akibatnya, korban menerima email berbahaya yang berisi: “XXX yang terhormat, transfer uang Anda siap diterbitkan (tautan). Terima kasih sudah menghubungi kami. Kami akan segera menghubungi Anda”. Tentu saja, email tersebut akan diblokir oleh platform anti-spam, dan formulir situs web perusahaan akan kehilangan fungsinya. Selain itu, semua penerima email tersebut akan memiliki citra buruk terhadap perusahaan, dan menganggapnya sebagai pelaku spam.