‘Kotak penyalahgunaan’ dan metode lain yang dapat digunakan bank untuk melawan phishing

Pada hari Selasa, konsorsium bank menerbitkan kerangka kerja untuk mengurangi risiko phishing yang dihadapi konsumen. Kerangka kerja ini membantu tiga bank besar mengurangi laporan penipuan rata-rata 50%, menurut kelompok tersebut.

Pusat Pembagian dan Analisis Informasi Jasa Keuangan (FS-ISAC) merinci kerangka kerjanya di laporan delapan halaman yang mencakup panduan khusus tentang teknologi yang dapat diterapkan bank untuk mencegah penjahat memalsukan nomor telepon bank dan panduan tingkat tinggi tentang cara melacak kemanjuran program anti-phishing.

Ketika laporan tersebut dirilis, konsorsium tersebut menegaskan kembali pendiriannya bahwa phishing – seperti kejahatan dunia maya dan masalah lain yang menjadi fokus kelompok tersebut – paling baik ditangani oleh industri secara kolektif, melalui “pengetahuan bersama dan intelijen yang terkoordinasi,” menurut Linda Betz, eksekutif wakil presiden keterlibatan komunitas global di FS-ISAC.

“Phishing telah menjadi epidemi global yang mempengaruhi jutaan orang, namun dengan bekerja sama, perusahaan keuangan dapat mengembangkan pertahanan yang sangat efektif,” kata Betz dalam siaran pers.

Kepala petugas keamanan informasi di PNC Bank, Susan Koski, mendukung laporan tersebut, dengan mengatakan bahwa kerangka kerja tersebut memberikan “langkah-langkah nyata untuk membantu mengurangi insiden phishing” dan dapat membantu bank beradaptasi dengan strategi phishing baru.

Empat tindakan melawan phishing

Laporan ini berfokus pada empat tindakan penting. Yang pertama adalah mengumpulkan dan berbagi intelijen. Hal ini melibatkan pembuatan proses pelaporan sederhana yang dapat digunakan pelanggan untuk melaporkan serangan phishing dengan cepat dan efektif. Proses ini harus memastikan bank memperoleh informasi penting tentang penipuan phishing atau penipuan yang memengaruhi atau mengancam nasabah — detail transaksi, alamat email, nomor telepon, tanggal dan waktu interaksi dengan penipu, dan banyak lagi.

Tindakan kedua adalah mendidik karyawan dan pelanggan tentang taktik phishing yang digunakan untuk melawan mereka. Bank dapat menganalisis serangan phishing yang menargetkan nasabahnya untuk menyesuaikan pendidikan ini dengan institusi tersebut, dan dapat melibatkan wawasan yang diperoleh dari analisis phishing yang dibagikan oleh FS-ISAC dan anggotanya.

Tindakan ketiga adalah membuat katalog saluran komunikasi. Mengawasi nomor telepon dan domain email yang digunakan bank atau mitra pihak ketiganya untuk menghubungi nasabah secara langsung dapat memastikan bank mengambil tindakan anti-spoofing untuk melindungi saluran-saluran ini.

Tindakan keempat adalah penerapan teknologi anti-phishing, yang seringkali melibatkan kerja sama dengan perusahaan telekomunikasi. Sebagai contoh, jika sebuah bank mempunyai nomor telepon yang hanya digunakan untuk panggilan masuk – tidak pernah untuk panggilan keluar – bank dapat mendaftarkan nomor telepon tersebut ke register Do Not Originate, yang memastikan bahwa perusahaan telekomunikasi yang menggunakan registrasi tersebut tidak pernah mengirimkan panggilan yang mengaku berasal dari nomor-nomor di register tersebut.

Solusi teknologi untuk phishing

Laporan tersebut merinci banyak solusi teknologi yang dirancang untuk memitigasi phishing, dengan fokus pada cara mencegah nasabah menerima panggilan dan SMS yang tampaknya berasal dari bank. Betz mengatakan penekanan ini “menggarisbawahi meningkatnya penggunaan saluran ini untuk melakukan serangan phishing.”

Meskipun bank tidak dapat mengendalikan setiap strategi yang digunakan para penipu untuk berpura-pura menjadi bank konsumen, ada cara untuk memitigasi skema yang paling kurang ajar tersebut.

Salah satu contoh skema kurang ajar ini melibatkan spoofing ID penelepon, yang melibatkan panggilan telepon dan membuat penerima seolah-olah panggilan tersebut berasal dari nomor telepon yang digunakan oleh bank. Seperti disebutkan sebelumnya, registri Do Not Originate dapat mengurangi hal ini.

Teknologi lain untuk memitigasi phishing panggilan suara juga ada. STIR/SHAKEN adalah kerangka kerja untuk mengautentikasi ID penelepon yang Komisi Komunikasi Federal telah diperlukan penyedia layanan suara untuk mengadopsinya, meskipun belum secara universal. Kerangka kerja tersebut berada di balik pemeriksaan verifikasi yang muncul di ponsel ketika ada panggilan terautentikasi masuk, dan label “Kemungkinan Penipuan” yang muncul untuk penelepon yang tidak diautentikasi.

Selain memitigasi panggilan telepon palsu, bank juga dapat memburu situs web yang menargetkan pelanggan mereka (baik dengan meniru situs asli atau lainnya) dengan melaporkannya ke Google, menurut Al Pascual, CEO dan salah satu pendiri layanan perlindungan penipuan Scamnetic.

Kedua Google dan apel menggunakan data dari Penjelajahan Aman Googleyang merupakan proyek yang mengelola daftar situs web mencurigakan, untuk memberikan peringatan kepada pengunjung tentang sifatnya. Sebagai bagian dari proyek ini, Google “mengelola salah satu gudang terbesar domain berbahaya, termasuk domain yang digunakan untuk tujuan penipuan,” menurut Pascual.

Banyak praktik standar yang dapat dipraktikkan konsumen dan dapat direkomendasikan oleh bank untuk mengamankan rekening juga berlaku, menurut Teri Williams, presiden dan chief operating officer OneUnited Bank. Hal ini termasuk melindungi akun konsumen dengan autentikasi multifaktor. Memang, otentikasi multi-faktor diperlukan oleh keduanya federal Dan negara regulator.

“Bank juga dapat mendorong nasabah untuk membuat pemberitahuan push dan/atau peringatan ketika dana ditarik atau pembelian dilakukan,” kata Williams. “Meskipun pemberitahuan ini bersifat ‘setelah kejadian’, namun dapat mengurangi kerusakan jika phishing telah terjadi.”

Kotak penyalahgunaan, untuk laporan konsumen tentang phishing

Salah satu rekomendasi utama dalam makalah FS-ISAC adalah bahwa bank harus membuat “kotak penyalahgunaan” – sarana bagi konsumen untuk melaporkan upaya penipuan. Ini bisa berupa formulir online, kotak masuk khusus (seperti penyalahgunaan@bank-website.com), atau metode penerimaan lainnya yang dianggap tepat oleh bank. Bank kemudian harus secara jelas mengiklankan formulir atau alamat email tersebut sehingga konsumen tahu untuk melaporkan email, SMS, panggilan, atau upaya phishing lainnya yang mencurigakan.

Inti dari kotak penyalahgunaan adalah untuk mengumpulkan laporan phishing dari konsumen secara langsung dan terpusat. Hal ini memberikan bank informasi mengenai ancaman yang dihadapi nasabah, yang kemudian dapat dibagikan dan digabungkan dengan data dari tim penipuan, keamanan siber, dan risiko bank sesuai kebutuhan.

Laporan FS-ISAC merekomendasikan agar bank “merancang infrastruktur kotak penyalahgunaan dan program pelatihan yang memaksimalkan wawasan dan memudahkan berbagi informasi.” Data yang dikumpulkan bank antara timnya dan informasi yang diterima dari kotak penyalahgunaan dapat membantu bank menerapkan “tindakan pencegahan”, seperti pelaporan yang disebutkan sebelumnya.