Logo PT Digital Solusi Grup New Color White 2024
CONTACT US

Cara Mengatasi Phising di Perusahaan dengan Sistem Tiga Lapis Keamanan

cara mengatasi phising di perusahaan

Daftar Isi

Phising masih salah satu penyebab utama insiden keamanan di perusahaan karena pelaku menyerang manusia dan proses kerja, bukan hanya sistem. 

Mereka mengirim email phising, spear phising, atau business email compromise (BEC) seolah dari vendor dan atasan, lalu memancing karyawan untuk klik tautan atau pengiriman data. 

Bagaimana cara mengatasi phising di perusahaan seperti ini? Simak artikel ini untuk mendapatkan jawabannya!

Kenapa Phising Bisa Masuk ke Sistem Perusahaan? 

Phising adalah metode penipuan yang dilakukan pelaku dengan menyamar sebagai pihak terpercaya, misalnya vendor, rekan kerja, atau layanan resmi. 

Tujuannya agar penerima melakukan tindakan tertentu, seperti mengklik tautan, membuka lampiran, mengisi kata sandi, atau mengirim data penting. 

Di lingkungan perusahaan, phising sering datang dalam bentuk email phising, dan bisa berkembang menjadi spear phising (serangan yang lebih tertarget) agar terlihat semakin meyakinkan.

Lalu, mengapa phising masih bisa masuk ke sistem meskipun perusahaan sudah menggunakan berbagai tools keamanan? 

Jawabannya adalah karena pelaku tidak selalu mencoba membobol sistem. Mereka lebih sering memanfaatkan celah proses dan kebiasaan kerja. 

Contohnya, perusahaan terbiasa memproses invoice lewat email, berbagi dokumen melalui tautan, atau menyetujui permintaan dengan cepat karena dikejar waktu. Kondisi ini membuat pelaku membuat email palsu yang rapi terlihat seperti aktivitas normal.

Selain itu, Banyak organisasi memakai aplikasi cloud, bekerja hybrid, dan berkomunikasi dengan banyak pihak eksternal. Akibatnya, volume email meningkat, konteks komunikasi semakin beragam, dan risiko salah klik pun ikut naik. 

Ada juga Business Email Compromise (BEC) atau penipuan yang memanfaatkan email untuk mengarahkan korban melakukan transaksi atau tindakan bisnis yang merugikan, misalnya mengubah rekening pembayaran vendor atau mentransfer dana ke rekening pelaku. 

BEC masuk dalam kategori social engineering, yaitu teknik manipulasi psikologis yang mendorong seseorang mengambil keputusan tanpa verifikasi yang memadai. Pelaku meniru gaya bahasa atasan, memanfaatkan momen sibuk, dan menambahkan unsur urgensi sehingga karyawan tidak menyadarinya. 

Jika perusahaan tidak memiliki proses verifikasi yang tegas misalnya kebijakan konfirmasi ulang melalui kanal lain untuk perubahan rekening, maka serangan dapat lolos meski sistem teknis sudah cukup kuat.

Baca Juga : Jangan Sampai Jadi Korban, Ini Cara Mengetahui Link Phising!

Cara Mengatasi Phising di Perusahaan dengan Menerapkan 3 Lapisan Anti Phising 

3 Lapis Anti-Phishing yang Efektif

Untuk mengatasi phising secara menyeluruh, perusahaan tidak cukup hanya mengandalkan pelatihan karyawan atau memasang satu jenis tools keamanan saja. 

Pendekatan yang dilakukan haruslah berlapis atau defense in depth. Artinya, perusahaan harus membangun perlindungan dari hulu ke hilir dengan cara mencegah serangan masuk, mendetek

si yang lolos, dan merespons dengan cepat sebelum berdampak luas.

Berikut tiga lapisan anti phising yang terbukti efektif dan realistis untuk diterapkan di lingkungan perusahaan: 

1. Prevent: Mencegah phising Sebelum Masuk dan Disalahgunakan

Lapisan pertama fokus pada pencegahan, yaitu mengurangi kemungkinan email phising mencapai karyawan atau meminimalkan dampaknya jika kredensial bocor.

Beberapa kontrol utama yang perlu perusahaan terapkan:

a. DMARC, SPF, dan DKIM

Ketiga konfigurasi ini berfungsi untuk memverifikasi bahwa email yang mengatasnamakan domain perusahaan benar-benar dikirim dari sumber resmi.

  • SPF menentukan server mana yang berhak mengirim email atas nama domain
  • DKIM menambahkan tanda tangan digital untuk menjamin integritas pesan
  • DMARC menetapkan kebijakan jika email gagal verifikasi (monitor, karantina, atau tolak)

Tanpa konfigurasi ini, pelaku dapat dengan mudah melakukan spoofing domain perusahaan untuk menipu karyawan atau mitra bisnis.

b. Email Gateway dan Proteksi Link/Lampiran

Email gateway modern kini telah mampu memindai tautan berbahaya, menjalankan lampiran dalam sandbox, serta menandai email eksternal. Hal ini bisa membantu menyaring ancaman sebelum sampai ke inbox utama.

c. Multi-Factor Authentication (MFA)

MFA menambahkan lapisan verifikasi tambahan selain kata sandi. Jika kredensial karyawan dicuri melalui phising, MFA dapat mencegah pelaku langsung mengambil alih akun. Namun, MFA tetap harus dikombinasikan dengan kebijakan akses yang ketat agar efektif.

2. Detect: Mendeteksi Aktivitas Mencurigakan Sejak Dini

Tidak ada sistem yang mampu menyaring 100% serangan. Karena itu, perusahaan harus memiliki mekanisme deteksi dini untuk mengidentifikasi tanda-tanda kompromi akun atau email. Berikut beberapa praktik deteksi yang wajib dilakukan untuk mengatasi phising: 

a. Monitoring Anomali Login

Perusahaan perlu memantau akses login dari lokasi yang tidak biasa, perangkat baru, atau pola akses yang tidak wajar. Anomali ini sering menjadi indikator awal bahwa akun telah disalahgunakan.

b. Deteksi Mailbox Rule dan Forwarding Mencurigakan

Dalam banyak kasus email compromise, pelaku membuat aturan otomatis untuk meneruskan atau menghapus email tertentu agar aktivitasnya tidak terdeteksi. Maka dari itu, pemantauan terhadap perubahan rule dan forwarding eksternal sangat krusial.

c. Alert dan Logging yang Ditindaklanjuti

Log keamanan tidak akan berguna tanpa proses peninjauan dan tindak lanjut. Perusahaan perlu memastikan bahwa setiap alert yang relevan benar-benar dianalisis dan tidak diabaikan.

Lapisan deteksi ini bertujuan memperpendek waktu antara insiden terjadi dan insiden diketahui (time to detect).

3. Respond: Merespons Cepat untuk Membatasi Dampak

Respons yang cepat dan terstruktur dapat mencegah satu email phising berkembang menjadi insiden besar.

Perusahaan sebaiknya memiliki playbook incident response phising yang jelas, termasuk:

  • Prosedur mengamankan akun yang terdampak (reset kredensial, memutus sesi aktif)
  • Pemeriksaan aktivitas akun dan aturan email
  • Pemblokiran domain atau tautan berbahaya
  • Komunikasi internal untuk mencegah korban tambahan
  • Dokumentasi dan evaluasi pasca-insiden

Tanpa workflow yang terdokumentasi, respons sering kali bergantung pada inisiatif individu dan berisiko terlambat.

Dengan menerapkan tiga lapisan ini Prevent, Detect, dan Respond, maka perusahaan telah membangun sistem anti phising yang tak hanya bergantung pada kewaspadaan karyawan, tetapi juga didukung oleh kontrol teknis dan proses yang terukur. 

Program Awareness Phising untuk Karyawan

Program awareness phising adalah rangkaian edukasi dan kebiasaan kerja yang perusahaan bangun agar karyawan mampu mengenali, melaporkan, dan menghindari upaya penipuan seperti email phising, spear phising, dan BEC. 

Program ini sangat penting karena pelaku phising seringkali menargetkan keputusan manusia, misalnya saat karyawan memproses invoice, membuka tautan dokumen, atau menanggapi permintaan yang terlihat mendesak. 

Karena itu, awareness yang efektif tidak cukup dilakukan sekali setahun. Perusahaan perlu menjadikannya program yang berkelanjutan, terukur, dan mudah diikuti.

Berikut komponen program awareness yang biasanya memberikan dampak nyata.

1. Simulasi Phising dan Penilaian yang Adil

Simulasi phising adalah latihan terkontrol yang meniru pola serangan phising di dunia nyata. Tujuannya bukan untuk melatih kewaspadaan dan memperbaiki pola respons.

Perusahaan bisa membuat skenario yang relevan, misalnya email invoice palsu, permintaan reset akun, atau tautan login yang menyerupai layanan internal.

Agar simulasi berjalan efektif, maka perlu ada penilaian yang adil. Perusahaan dapat mengukur apakah karyawan mengklik tautan, memasukkan data, atau justru langsung melaporkan email mencurigakan tersebut. 

Hasil simulasi ini bisa digunakan untuk menentukan materi edukasi berikutnya, bukan untuk mempermalukan individu.

2. Kebijakan Pelaporan dan Siklus Apresiasi

Prosedur pelaporan email mencurigakan harus sederhana karena jika karyawan perlu langkah yang panjang, mereka cenderung mengabaikannya. 

Idealnya, perusahaan menyediakan tombol “Laporkan phising” di email atau kanal pelaporan yang jelas, seperti helpdesk atau chat internal.

Selain itu, perusahaan perlu memberikan umpan balik yang cepat kepada pelapor, misalnya “Email ini memang phising, terima kasih sudah melapor.” Apresiasi kecil seperti ini membantu membentuk kebiasaan positif dan mempercepat deteksi insiden.

Baca Juga : Kasus Phising Paling Mengguncang Dunia dan Indonesia

Panduan Tanggap Darurat 30 Menit Pertama Saat Terkena Phising di Perusahaan 

Ketika ada karyawan yang mengklik tautan phising atau memasukkan kata sandi pada halaman palsu, perusahaan perlu bertindak cepat. 

Dalam banyak kasus, kerusakan terjadi bukan karena klik pertama, tetapi karena respons yang terlambat. Karena itu, 30 menit pertama sangat menentukan untuk menghentikan penyalahgunaan akun, mencegah korban tambahan, dan membatasi dampak bisnis.

Berikut langkah tanggap darurat yang dapat Anda jalankan.

1. Amankan Korban dan Kumpulkan Informasi Singkat (0–5 menit)

Pastikan siapa yang terdampak dan apa yang terjadi. Minta karyawan menyampaikan:

  • email atau pesan yang diklik (subjek, pengirim, tautan/lampiran)
  • tindakan yang dilakukan (klik saja, mengunduh file, atau mengisi kata sandi)
  • waktu kejadian

Pada tahap ini, minta karyawan untuk tidak menghapus email phising agar mudah dilacak dan dianalisis.

2. Putus Akses Pelaku secepatnya (5–15 menit)

Jika karyawan memasukkan kata sandi, selalu anggap bahwa kredensial sudah bocor. Lakukan tindakan berikut:

  • ganti kata sandi akun yang terkait
  • keluarkan akun dari semua sesi login yang aktif (logout semua perangkat)
  • pastikan MFA aktif dan gunakan metode yang lebih kuat jika tersedia

Jika serangan terjadi di akun email perusahaan, prioritaskan pengamanan email karena akun ini bisa menjadi pintu masuk ke layanan lain.

3. Periksa Tanda Email Compromise (15–25 menit)

Phising seringkali diikuti tindakan lanjutan, misalnya pelaku membuat aturan otomatis agar bisa memantau email korban. Karena itu, lakukan pemeriksaan cepat:

  • cek mailbox rules dan forwarding ke alamat eksternal
  • cek folder “Sent Items” untuk memastikan tidak ada email aneh terkirim
  • cek apakah ada akses aplikasi pihak ketiga yang tidak dikenal

Jika Anda menemukan forwarding atau rule mencurigakan, segera nonaktifkan.

4. Cegah Korban Tambahan dan Mulai Investigasi Ringkas (25–30 menit)

Terakhir, cegah serangan menyebar ke karyawan lain dengan cara:

  • berikan peringatan internal singkat tentang email yang beredar
  • minta karyawan melaporkan email serupa melalui prosedur pelaporan
  • blokir pengirim, domain, atau tautan berbahaya di email gateway jika memungkinkan.

Jika kasus phising ini terkait dengan pembayaran atau permintaan perubahan rekening (indikasi BEC), segera hentikan transaksi dan lakukan verifikasi melalui kanal resmi, seperti panggilan telepon ke kontak vendor yang sudah terdaftar.

Dengan menjalankan langkah-langkah ini, perusahaan dapat menurunkan risiko pengambilalihan akun dan memperkecil dampak insiden. 

Setelah situasi stabil, Anda perlu melakukan evaluasi penyebab dan memperkuat lapisan Prevent Detect Respond agar kejadian serupa tidak terulang.

DSG Siap Melindungi Perusahaan Anda dari Serangan Phising

Cara mengatasi phising di perusahaan tidak cukup dengan memasang tools atau menyusun SOP. Perusahaan perlu memastikan kontrol berjalan konsisten setiap hari, alert ditindaklanjuti, dan respons dilakukan cepat saat insiden terjadi. 

Namun, banyak tim internal terbentur prioritas operasional, proyek pengembangan, dan keterbatasan jam kerja. Akibatnya, pengelolaan keamanan sering bersifat reaktif, sehingga email berbahaya sempat menimbulkan dampak.

Karena itu, Anda dapat mempertimbangkan layanan Managed Service Provider (MSP). MSP membantu perusahaan menjalankan keamanan sebagai proses yang berkelanjutan. Anda tetap memegang kendali kebijakan dan prioritas bisnis, sementara MSP mengelola operasional keamanan harian agar lebih stabil dan terukur.

Dengan MSP, perusahaan dapat menjaga monitoring dan tindak lanjut alert tetap konsisten, termasuk mendeteksi anomali login, indikasi email compromise, serta aturan forwarding yang mencurigakan. 

Saat insiden terjadi, MSP bisa mendukung respons yang cepat dan terstandar melalui playbook incident response phishing, sehingga penanganan tidak bergantung pada siapa yang sedang tersedia. 

Di sisi human risk, MSP juga membantu memastikan program security awareness training dan simulasi phishing berjalan berkelanjutan, lengkap dengan metrik seperti report rate dan time-to-report untuk melihat peningkatan dari waktu ke waktu.

Jika Anda ingin memastikan perlindungan anti-phishing berjalan konsisten, Anda bisa mempertimbangkan layanan managed security dari DSG. 

Tim kami dapat membantu assessment awal, merapikan konfigurasi, dan menjalankan proses operasional keamanan agar risiko phishing turun secara terukur. Hubungi kami sekarang untuk konsultasi gratis sesuai kebutuhan perusahaan Anda!

Isi form berikut! Tim kami segera menghubungi Anda.

Konsultasi Keamanan Data DSG
Picture of Nadia Kamila

Nadia Kamila

Promo Bitdefender GravityZone September 2024

Temukan kami di Google News

Google News PT Digital Solusi Grup

Postingan Terbaru

Kosakata Cyber

Event DSG