- Whaling (whale phishing) adalah phishing yang menargetkan individu yang memiliki jabatan penting dalam perusahaan sebagai sasaran penyamaran untuk memeras, mencuri uang, atau mencuri data perusahaan
- Pelaku perlu melewati tahap profiling, spoofing, dan social engineering dalam melakukan whaling
- Lima jenis whaling attack paling sering dalam bisnis: CEO fraud, CFO fraud, executive whaling, attorney impersonation, dan HR whaling
- Lakukan edukasi cyber, terapkan protokol verifikasi offline dan MFA, serta beralih ke tanda tangan digital untuk mencegah serangan whaling
Pernah menerima email dari “bos” yang meminta sesuatu dengan sangat mendesak? Karena instruksi datang dari atasan, rasanya harus langsung dilakukan. Namun, jika diteliti lagi, sering kali ada kejanggalan; mulai dari pertanyaan yang tidak lazim atau domain email yang sedikit berbeda. Jika tidak waspada, Anda bisa terjebak dalam skema penipuan yang sangat rapi.
Itulah whaling, jenis serangan siber yang kini semakin cerdik dalam memalsukan identitas atasan. Artikel ini akan membahas pengertian whaling, dampaknya bagi perusahaan, hingga cara efektif untuk mencegahnya.
Apa Itu Whaling?
Whaling (Whale Phishing) adalah jenis phishing yang khusus menargetkan individu dengan jabatan penting dalam perusahaan, misalnya CEO, CFO, COO, atau jajaran eksekutif lain. Pelaku berpura-pura menjadi “bos” dan bisa memeras, mencuri uang, hingga mengintimidasi karyawan lain.
Serangan whaling bertujuan untuk mengakses data atau informasi penting perusahaan. Istilah “whale” atau ikan paus dipakai karena skala targetnya lebih besar dan strategis daripada “ikan kecil” pada serangan phishing biasa.
Dampak Whaling dalam Bisnis
Karena menargetkan pemegang keputusan tertinggi, whale phishing bisa sangat merugikan bagi finansial maupun privasi perusahaan seperti berikut:
- Kerugian finansial skala besar: Pelaku bisa menyamar sebagai CEO yang meminta transfer dana darurat kepada tim keuangan. Karena instruksi datang dari “atasan”, karyawan sering terkecoh dan langsung transfer tanpa verifikasi lanjut.
- Pencurian data rahasia & intelektual: Eksekutif memiliki akses ke data paling sensitif, seperti strategi bisnis, laporan keuangan yang belum rilis, hingga rahasia dagang.
- Kerusakan reputasi & kepercayaan: Jika pelaku whaling bisa meretas sistem perusahaan, kepercayaan investor dan klien akan hilang.
- Risiko pemerasan (blackmail): Setelah mendapat akses ke data penting, pelaku bisa mengancam untuk membocorkan informasi sensitif tersebut ke publik kecuali perusahaan membayar uang tebusan.
Baca Juga: Awas Peretas Mode Senyap: Man in the Middle
Bagaimana Cara Kerja Whaling?
Whaling attack dilakukan melalui pesan berisi permintaan informasi sensitif atau pemberian instruksi palsu kepada karyawan. Karena target korban eksekutif, nada pesan biasanya sangat profesional dan formal.
Namun, pelaku perlu melewati tiga tahap berikut untuk bisa melakukan whaling:
- Profiling → Pelaku meriset atau profiling untuk mengumpulkan informasi terkait korban, biasanya melalui LinkedIn atau artikel di blog resmi perusahaan. Informasi yang dicari bisa berupa riwayat kerja, relasi, gaya bicara, hingga tanggung jawab terbarunya.
- Spoofing → Pelaku membuat alamat email yang mirip dengan alamat atau perusahaan asli korban agar korban percaya.
- Social Engineering → Kunci utama whaling; Pelaku menyamar sebagai rekan kerja dan mengirim email yang sudah disesuaikan, biasanya bersifat urgent agar korban panik dan melakukan permintaan sesuai pesanan.
Jenis Whaling Attack dalam Bisnis
Berikut lima jenis serangan whaling paling sering terjadi dalam perusahaan yang perlu Anda perhatikan.
| Jenis | Target Penyamaran | Contoh |
| CEO Fraud | CEO | Mengirim email palsu berisi instruksi tindakan penting atau permintaan transfer dana |
| CFO Fraud | CFO atau pejabat keuangan | Pesan palsu berisi permintaan informasi keuangan perusahaan |
| Executive Whaling | Jajaran eksekutif lainnya | Kirim pesan berisi permintaan informasi sensitif atau verifikasi tanda tangan suatu dokumen |
| Attorney Impersonation | Pengacara suatu perusahaan | Mengirim pesan palsu berisi permintaan informasi rahasia |
| Human Resources Whaling | Tim HRD perusahaan | Email palsu untuk mendapat akses login atau informasi gaji karyawan |
Tips Cegah Whaling Attack
Lakukan tips berikut untuk mencegah serangan whaling:
- Edukasi cyber: Berikan pelatihan keamanan cyber atau literasi digital bagi semua karyawan perusahaan agar lebih jeli.
- Pantau aktivitas email mencurigakan: Rutin cek email yang masuk, filter email dengan isi mencurigakan, terutama yang berhubungan dengan permintaan transfer atau tindakan penting.
- Verifikasi Multi-Langkah (MFA): Pastikan setiap akses ke akun sensitif dan otorisasi transaksi keuangan menggunakan Multi-Factor Authentication.
- Terapkan protokol verifikasi offline: Buat kebijakan setiap instruksi transfer dana besar atau pengiriman dokumen rahasia melalui email wajib dikonfirmasi ulang melalui telepon atau pertemuan tatap muka.
- Gunakan tanda tangan digital: Dengan tanda tangan digital tersertifikasi dari platform legal, perusahaan bisa memverifikasi keaslian dokumen tanpa risiko pemalsuan identitas dari serangan whaling.
Baca Juga: Standar ISO 27001, Penting untuk Bisnis
Kewaspadaan terhadap whaling attack bukan lagi sekadar pilihan, melainkan keharusan bagi setiap pemimpin bisnis. Dengan memahami teknik manipulasi psikologis dan memperketat protokol verifikasi internal, Anda dapat memastikan bahwa aset strategis serta reputasi perusahaan tetap aman dari intaian para peretas profesional.
Sementara itu, Mekari Sign adalah aplikasi persetujuan dokumen digital bagian dari ekosistem Mekari yang telah tersertifikasi ISO/IEC 27001:2022. Melalui teknologi verifikasi identitas yang ketat dan tanda tangan digital tersertifikasi, Mekari Sign memastikan setiap instruksi atau persetujuan dokumen berasal dari pihak yang sah dan terlindungi dari risiko whaling.
Setujui dokumen perusahaan dengan aman melalui Mekari Sign!
