Phishing kredensial adalah jenis tertentu dari phishing serangan siber yang ditujukan agar pengguna membagikan kredensial mereka (biasanya nama pengguna dan kata sandi) sehingga penyerang dapat mencuri dan menggunakannya untuk mendapatkan akses tidak sah ke akun email, sistem bisnis, dan sumber daya aman lainnya. Jenis pencurian kredensial ini merupakan bagian dari phishing secara umum, yang secara lebih luas berusaha mencuri berbagai jenis informasi sensitif - termasuk detail kartu kredit atau rekening bank, nomor Jaminan Sosial, dan informasi organisasi yang berharga, seperti data pelanggan atau kekayaan intelektual.
Phishing kredensial adalah masalah yang terus berkembang, untuk menyatakannya secara halus: satu studi melaporkan sebuah 703% peningkatan dalam phishing kredensial pada paruh kedua tahun 2024, dibandingkan dengan hanya peningkatan sebesar 202% pada ancaman phishing berbasis email secara keseluruhan. (Anda tahu bahwa ada masalah besar ketika peningkatan 202% dianggap relatif rendah). Peningkatan yang sangat besar ini disebabkan oleh kombinasi beberapa faktor:
- Serangan phishing bertenaga AI membuat penjahat siber lebih mudah membuat pesan meyakinkan yang dirancang untuk membuat pengguna tertipu oleh permintaan kredensial palsu.
- Rekayasa sosial, yang sangat efektif dalam mengelabui pengguna untuk mengklik tautan dalam pesan phishing, memainkan peran yang semakin meningkat dalam phishing kredensial.
- Multi-saluran phishing kredensial-yaitu penggunaan tidak hanya email, tetapi juga SMS, media sosial, dan platform kolaborasi-meningkatkan jangkauan penyerang.
Semua hal di atas terjadi dalam konteks fakta bahwa pencurian kredensial telah lama, dan terus menjadi upaya rendah, imbalan tinggi jenis serangan.
Kabar baiknya? Meskipun serangan phishing kredensial semakin meningkat, demikian juga upaya keamanan organisasi dalam mencegah phishing - mulai dari otentikasi tanpa kata sandi dan otentikasi multi-faktor (MFA) hingga alat pertahanan yang didukung AI. Baca terus untuk mengetahui lebih lanjut tentang bagaimana phishing kredensial berkembang dari waktu ke waktu, taktik yang paling umum digunakan dalam jenis serangan ini, dan alat serta strategi yang tersedia untuk memerangi phishing kredensial.
Pertengahan 1990-an: The phishing kredensial paling awal tampaknya terjadi pada pertengahan tahun 1990-an, ketika para penipu menyamar sebagai karyawan AOL untuk mengelabui pengguna agar mengungkapkan kredensial login mereka. Meskipun tampaknya tujuan mereka hanya untuk menghindari pembayaran akses internet, aktivitas mereka membuka jalan bagi penipuan yang lebih canggih, merusak, dan merugikan di masa depan.
Awal tahun 2000-an: Phishing kredensial di awal tahun 2000-an sebagian besar masih relatif tidak canggih, sering kali mengandalkan pesan sederhana yang diproduksi secara massal untuk membuat orang membagikan kredensial login mereka. Tahun 2003 menandai dimulainya sebuah perubahan dalam pola ini, ketika penyerang mulai membuat versi yang hampir sama dari situs yang sah seperti eBay dan PayPal untuk mengelabui pengguna agar memasukkan kredensial mereka.
2010-2020: Spear phishing muncul pada tahun 2010-an untuk mengubah pencurian kredensial, terutama di tingkat organisasi. Ia bekerja dengan menargetkan orang-orang tertentu secara terampil dengan pesan yang dibuat dengan baik yang sering kali berpura-pura berasal dari departemen penting seperti SDM, penagihan, atau dukungan TI. Kompromi email bisnis (BEC) adalah jenis serangan rekayasa sosial yang menggunakan phishing dalam bentuk peniruan email yang sangat canggih (seperti permintaan palsu dari eksekutif tingkat C) untuk menargetkan penerima, yang terkecoh sehingga mengira bahwa mereka menanggapi seseorang di organisasi mereka.
2020-sekarang: Phishing kredensial saat ini semakin mungkin terjadi Digerakkan oleh AI, memungkinkan penyerang membuat email phishing yang secara tata bahasa sempurna, kontekstual sempurna, dan tampak lebih otentik dari sebelumnya. AI generatif juga membuatnya sangat cepat dan mudah untuk membuat pesan-pesan baru yang lebih menarik ini; menurut IBM, penipu yang menggunakan AI generatif dapat membuat pesan yang efektif hanya dalam waktu lima menit (dibandingkan dengan waktu berjam-jam yang dibutuhkan untuk melakukannya secara manual).
Dalam phishing kredensial, penyerang biasanya menyamar sebagai sumber tepercaya (seperti perusahaan pengguna, bank, atau situs web yang sering digunakan) dan mengirimkan email, teks, atau jenis pesan lain kepada pengguna yang bertujuan untuk membuat mereka melakukan suatu tindakan yang akan menyebabkan kompromi terhadap kredensial mereka. Dalam kerangka kerja umum ini, penyerang dapat menggunakan sejumlah taktik yang berbeda untuk melakukan serangan phishing kredensial:
Email yang menipu
Email yang menipu adalah pintu masuk yang umum digunakan untuk serangan phishing kredensial. Jenis email ini sering kali berhasil sebagai sarana untuk phishing kredensial karena email ini tampaknya berasal dari sumber yang dipercaya oleh penerima dan oleh karena itu tidak menimbulkan kecurigaan. Semakin asli sebuah komunikasi email terlihat, semakin sukses pengirimnya dalam upaya mengeksploitasi kepercayaan tersebut.
Karakteristik serangan phishing kredensial yang menggunakan komunikasi yang menipu meliputi:
- Peniruan: Komunikasi seolah-olah berasal dari sumber yang sah yang sudah dikenal oleh penerima.
- Persuasi: Baris subjek dan/atau beberapa kata pertama ditulis untuk mendorong reaksi seperti urgensi, ketakutan, atau bahkan rasa ingin tahu. Penjahat siber tumbuh subur di atas urgensi, karena cenderung mendorong pengguna untuk bereaksi dengan cepat daripada meluangkan waktu untuk mempertimbangkan apakah mereka harus bertindak atau tidak.
- Penipuan: Pesan ini menekankan pada kebutuhan yang tidak ada untuk tindakan yang sangat mendesak.
- Dapat ditindaklanjuti: Email phishing cenderung menyertakan tautan atau lampiran yang memudahkan untuk mengambil langkah selanjutnya.
- Lebih banyak penipuan: Tindakan penerima mengarah ke halaman login palsu di mana kredensial diambil.
Halaman login palsu
Halaman login palsu adalah salah satu alat yang paling umum digunakan dalam serangan phishing kredensial di lingkungan organisasi. Alat ini sangat efektif dalam organisasi yang tidak memiliki MFA yang tahan terhadap phishing.
Serangan menggunakan halaman login palsu dimulai dengan penyerang melakukan pengintaian untuk mencari tahu layanan platform apa yang biasa digunakan oleh sebuah organisasi (Microsoft 365 atau Google Workspace, misalnya) dan seperti apa format dan branding email organisasi tersebut. Dari sana, penyerang dapat membuat email phishing kredensial yang tampaknya berasal dari departemen internal atau vendor yang dikenal dan yang menyertakan baris subjek yang dimaksudkan untuk membangkitkan rasa urgensi ("Kata Sandi Berakhir-Tindakan Segera Diperlukan" atau "Faktur Anda Siap-Lihat dengan Aman") serta tautan yang mencolok ke halaman login palsu.
Setelah seorang karyawan mengklik tautan dan memasukkan kredensial mereka di halaman login yang diklaim, kredensial tersebut diteruskan ke penyerang, yang kemudian dapat menggunakannya untuk masuk ke sistem organisasi dan bergerak secara lateral melalui jaringan-menginfiltrasi data, menanamkan malware, meluncurkan serangan BEC lebih lanjut, atau melakukan phishing dari akun yang telah disusupi.
Taktik multi-saluran
Email bukan satu-satunya cara untuk melakukan phishing kredensial, dan karena pengguna menjadi lebih sadar dan mahir dalam mempertahankan diri dari phishing kredensial berbasis email, penyerang mulai mencari cara lain untuk menyerang, termasuk:
- Smishing (phishing SMS) dapat digunakan untuk mengirim pesan peringatan masuk palsu, pemberitahuan pelacakan paket, atau permintaan autentikasi dua faktor untuk memikat pengguna agar mengklik sebuah tautan.
- Vishing (phishing suara) terdiri dari panggilan yang berpura-pura berasal dari meja bantuan atau tim dukungan TI yang mengarahkan pengguna ke situs web phishing.
- Phishing dari platform kolaborasi menggunakan pesan di Slack, Teams, LinkedIn, atau platform lain untuk membuat pengguna mengklik tautan palsu atau mengunduh lampiran yang tampak sebagai konten terkait pekerjaan.
- Phishing kode QR melibatkan pengiriman email phishing kredensial yang menyertakan kode QR yang menautkan ke situs pemanen kredensial; menggunakan kode QR melewati filter pemindaian tautan tradisional.
Isian kredensial
Credential stuffing, di mana penjahat siber menggunakan kredensial curian dalam jumlah besar untuk mencoba masuk ke berbagai situs, adalah taktik yang bekerja bersama dengan phishing kredensial untuk memaksimalkan kerusakan dari phishing kredensial. Keduanya dapat digunakan bersama dalam serangan berlapis di mana kredensial diambil melalui phishing kredensial dan kemudian diterapkan di seluruh target.
Sebagai contoh, penyerang dapat melakukan phishing kredensial login untuk akun Microsoft 365, dan kemudian menggunakan isian kredensial untuk mencoba kredensial Microsoft di berbagai situs atau layanan lain - misalnya, Salesforce, Google (email, dokumen, pengelola kata sandi). Penyerang pada dasarnya bertaruh bahwa seseorang menggunakan kredensial yang sama di beberapa situs.
Penyemprotan kata sandi
Seperti halnya pengisian kredensial, penyemprotan kata sandi digunakan bersama dengan phishing kredensial untuk memaksimalkan jangkauan dan keberhasilan serangan phishing - terutama di lingkungan organisasi. Dalam jenis skema ini, penyerang:
- Mengumpulkan daftar nama pengguna melalui phishing kredensial
- Menggabungkan nama pengguna dengan kata sandi yang mudah ditebak (seperti kata sandi123 atau selamat datang123) untuk mencoba mengakses beberapa akun
Alasan paling jelas mengapa penyemprotan kata sandi berhasil adalah karena taktik ini mengeksploitasi kebersihan kata sandi yang lemah; jika orang tidak menggunakan kata sandi yang mudah ditebak, taktik ini tidak akan berhasil. Juga sulit untuk dideteksi dalam skala besar tanpa alat pemantauan yang canggih.
Phishing yang memvalidasi secara presisi
Phishing yang memvalidasi secara presisi muncul pada tahun 2025 sebagai cara bagi penyerang untuk memastikan bahwa kredensial yang mereka curi melalui phishing benar-benar terkait dengan akun online yang valid. Ia menggunakan API atau JavaScript terintegrasi untuk mengonfirmasi alamat email secara real time, sebelum upaya phishing terjadi. Phishing yang divalidasi sebelumnya dapat membuat phishing kredensial jauh lebih efisien dan akurat, dengan sedikit usaha atau energi yang terbuang untuk mencoba menggunakan kredensial yang tidak akurat.
Phishing kredensial dapat menimbulkan banyak kerusakan pada sebuah organisasi. Untuk itu Biaya IBM atas Laporan Pelanggaran Data menemukan bahwa phishing adalah salah satu penyebab pelanggaran data yang paling sering dan paling mahal, dengan biaya rata-rata $4,88 juta dan memakan waktu rata-rata 261 hari untuk mengatasinya.
Namun pencegahan phishing kredensial dapat membantu memastikan bahwa upaya phishing kredensial tidak akan pernah berhasil. RSA menawarkan berbagai macam produk dan layanan di bidang-bidang utama yang terkait dengan pencegahan phishing kredensial.
Autentikasi tanpa kata sandi
Ini mungkin terdengar jelas, tetapi perlu dijelaskan: Kejahatan dunia maya yang mengandalkan kredensial yang dicuri tidak akan berhasil jika tidak ada kredensial untuk dicuri. Itulah yang membuat otentikasi tanpa kata sandi sangat berharga dalam menghentikan phishing kredensial.
Sebagai anggota dari Aliansi FIDO, RSA didedikasikan untuk membantu membangun dunia dengan lebih sedikit kata sandi-dan lebih sedikit masalah keamanan terkait kata sandi. Otentikasi tanpa kata sandi RSA melindungi akses yang paling penting: pada titik-titik dalam siklus identitas yang sangat rentan terhadap serangan berbasis kredensial. RSA menghadirkan tanpa kata sandi dengan ketersediaan 99,99%, termasuk kegagalan hibrida yang memungkinkan otentikasi bahkan tanpa koneksi jaringan, dan menyediakan berbagai pilihan tanpa kata sandi:
- kata sandi sekali pakai (OTP)
- kunci sandi, termasuk kunci sandi seluler
- opsi berbasis aplikasi, seperti push to approve
- biometrik
MFA yang tahan phishing
Sama seperti autentikasi tanpa kata sandi yang menghilangkan kredensial yang coba dicuri oleh phishing kredensial, MFA yang tahan phishing menghilangkan mekanisme yang digunakan untuk mencuri kredensial tersebut: phishing.
Seri autentikator RSA iShield Key 2 dirancang khusus untuk melindungi dari serangan berbasis kredensial, menghadirkan MFA berbasis perangkat keras yang tahan phishing dan dilengkapi modul kriptografi bersertifikasi FIPS 140-3 level 3 serta autentikasi perangkat keras AAL3. Manfaat dari seri RSA iShield antara lain:
- Kepatuhan terhadap standar federal terbaru untuk keamanan kriptografi
- Kemampuan keamanan identitas yang memajukan Arsitektur Zero Trust
- Sertifikasi FIDO2 untuk perjalanan tanpa kata sandi yang aman dan tanpa gesekan
- Penyebaran dan pengelolaan kunci sandi yang fleksibel
Sistem masuk tunggal dengan penyedia identitas
Menggunakan layanan autentikasi terpusat dari penyedia identitas untuk masuk ke berbagai situs dan layanan berarti potensi titik masuk penyerang berkurang secara dramatis dari ratusan menjadi hanya satu saja-dan satu titik masuk jauh lebih mudah untuk diamankan dan dipantau daripada puluhan login yang berbeda.
Halaman Saya RSA adalah solusi SSO yang dihosting di cloud yang memberdayakan pengguna untuk mengelola akses dengan cepat dan aman ke aplikasi penting dan sumber daya lainnya melalui satu portal yang mudah digunakan:
- Akses pengguna yang cepat ke beberapa aplikasi dengan satu set kredensial
- Pendaftaran mandiri pengautentikasi yang nyaman dan manajemen mandiri kredensial
- Mengurangi beban dan meminimalkan biaya pada staf helpdesk dan administrator TI
- Waktu tunggu yang lebih singkat ketika ada kebutuhan yang sah untuk bantuan meja bantuan
Passkeys
Passkey memberi pengguna cara untuk masuk ke situs web dan aplikasi tanpa harus memasukkan kata sandi-membuat proses masuk menjadi lebih aman (tidak ada kata sandi yang bisa dicuri) dan lebih nyaman (tidak ada kata sandi yang harus diingat). Passkey jauh lebih aman daripada kata sandi karena tidak pernah digunakan kembali seperti halnya kata sandi, dan karena passkey tahan terhadap phishing (karena menghilangkan kemungkinan seseorang tertipu untuk masuk ke situs web palsu).
Kunci Sandi di Aplikasi RSA Authenticator menyediakan autentikasi tanpa kata sandi dan tahan phishing, yang dikirimkan langsung ke perangkat seluler pengguna. Kemampuan kunci sandi ini:
- Mendukung Zero Trust dengan mengatasi rekayasa sosial dan phishing kredensial
- Membantu organisasi mematuhi persyaratan peraturan untuk MFA tahan phishing
- Mudah diintegrasikan ke dalam lingkungan TI yang ada
- Terikat pada perangkat, sehingga tidak pernah meninggalkan perangkat-memastikan keamanan setinggi mungkin
Nol Kepercayaan
Zero Trust melawan phishing karena hal ini menciptakan lingkungan di mana organisasi selalu memverifikasi kepercayaan mereka yang mencoba mengakses sumber daya organisasi. Organisasi yang beroperasi sesuai dengan prinsip prinsip-prinsip Zero Trust membuatnya jauh lebih sulit bagi pelaku kejahatan yang ingin melakukan phishing untuk mendapatkan kredensial untuk menemukan jalan masuk, atau untuk bergerak ke arah lain di luar kredensial tersebut dan meningkatkan hak istimewa mereka.
RSA mendukung Zero Trust dengan menyediakan komponen manajemen identitas dan akses (IAM) yang sangat penting untuk bekerja dalam kerangka kerja NIST Zero Trust. Komponen-komponen tersebut antara lain:
- MFA
- Tata kelola dan administrasi identitas (IGA)
- Analisis berbasis risiko
- Akses berbasis peran
- Akses berbasis atribut
AI
Meskipun AI telah menjadi anugerah bagi penjahat siber yang melakukan serangan phishing kredensial, AI juga sangat berharga bagi mereka yang berjuang untuk menghentikan phishing kredensial. Menurut laporan Laporan IQ RSA ID 2025, dari organisasi yang disurvei melaporkan memiliki rencana segera untuk menerapkan otomatisasi, pembelajaran mesin, atau bentuk lain dari AI dalam tumpukan keamanan siber mereka.
RSA telah mengembangkan kemampuan berbasis AI dalam autentikasi dan manajemen akses untuk membantu organisasi mendeteksi, merespons, dan mencegah serangan phishing kredensial:
- RSA Risiko AI menggunakan analisis perilaku dan pembelajaran mesin untuk mendeteksi upaya pengambilalihan akun berbasis phishing, sehingga tim TI dapat mengatasinya sebelum menyebabkan kerusakan.
Tata Kelola & Siklus Hidup RSA menggunakan AI untuk mendeteksi anomali dalam permintaan akses, memberikan administrator informasi yang mereka butuhkan untuk mencegah pemberian akses yang berpotensi berisiko.
Phishing kredensial di masa depan kemungkinan besar akan melibatkan AI, teknologi deepfake, dan rekayasa sosial tingkat lanjut, menurut salah satu laporan terbaru. Hal ini tidak mengherankan, mengingat kesuksesan yang dinikmati penjahat siber dalam menggunakan taktik ini dan taktik-taktik lain yang digerakkan oleh teknologi canggih dan baru.
Namun kabar baiknya, mereka akan semakin sering berhadapan dengan organisasi yang sama-sama berdedikasi untuk menerapkan AI dan teknologi lain dalam upaya mereka menangkis serangan.
Korban potensial phishing kredensial saat ini melawan dengan mengadopsi MFA tahan phishing dan solusi tanpa kata sandi, bekerja menuju nol kepercayaan, melawan AI dengan AI, dan mengambil tindakan lain untuk mempertahankan diri. The Laporan IQ RSA ID 2025 menemukan bahwa 80% responden percaya bahwa AI akan membantu organisasi dalam keamanan siber selama lima tahun ke depan-sementara hanya seperlima yang merasa bahwa AI akan melakukan lebih banyak hal untuk membantu para pelaku ancaman pada saat itu.
Saat organisasi Anda terus memerangi phishing kredensial, lihatlah RSA untuk membantu, dengan kemampuan seperti otentikasi tanpa kata sandi (termasuk kunci sandi) dan MFA tahan phishing yang dibantu oleh AI, semuanya digunakan dalam lingkungan pengguna yang mengutamakan keamanan yang mencakup SSO, dan semuanya diintegrasikan ke dalam komitmen menyeluruh terhadap prinsip-prinsip Zero Trust yang sangat penting untuk pertahanan siber saat ini dan akan tetap penting di masa depan.
