Peniruan identitas menjadi inti dari begitu banyak skema kejahatan dunia maya saat ini. Apakah digunakan untuk memicu serangan phishing atau penyebaran malware tradisional, kompromi email bisnis (BEC), penipuan iklan, atau penipuan e-niaga, tidak ada yang lebih efektif daripada membonceng kepercayaan dan niat baik merek untuk memikat orang ke dalam penipuan.
Peniruan identitas merek dapat menjadi masalah yang sangat pelik bagi CISO, terutama ketika ancaman menyimpang dari serangan email berbahaya yang biasa dilawan oleh praktisi keamanan. Saat ini, pengecer, pembuat produk, dan penyedia layanan semakin menghadapi berbagai macam pencurian merek dan tipuan peniruan yang jauh melampaui penipuan phishing biasa.
Penjahat membuat pembunuhan dengan mendirikan situs scam yang menyamar sebagai properti merek untuk menjual barang dagangan palsu atau pasar abu-abu, memagari barang curian, atau memproses pembayaran tetapi tidak pernah mengirim produk. Menurut Komisi Perdagangan Federal AS (FTC), konsumen telah kehilangan lebih dari $2 miliar karena penipuan semacam ini sejak 2017.
Mencuri Merek
Untuk bisnis yang ditiru, situs scam ini paling-paling mengikis kepercayaan dan nilai merek. Paling buruk, mereka mencuri penjualan dan bahkan dapat mengancam keberadaan bisnis kecil atau yang sedang berkembang.
โKami sudah sangat dekat dengan peniruan merek di Code Galaxy, โkata Marliis Reinkort, CEO dan pendiri Code Galaxy, sekolah coding online untuk anak-anak. โSeseorang membuat profil bisnis โ situs web, profil media sosial, dan segalanya โ dengan identitas merek kami sendiri. Mereka pergi untuk mengiklankan layanan yang sama yang kami tawarkan dengan harga yang sangat rendah, hanya saja mereka bahkan tidak menawarkan layanan tersebut. Mereka hanya mengambil uang itu.โ
milik Reinkort tim tidak menyadari penipuan tersebut sampai tidak hanya menipu pelanggan potensial tetapi juga membuat seluruh pasar berpikir bahwa bisnisnya telah memotong harga secara drastis.
โKejadian tunggal itu merupakan peringatan bagi saya,โ katanya. "Kerusakan reputasi memberikan pukulan besar bagi bisnis untuk sementara waktu."
Dapat dimengerti bahwa startup seperti Code Galaxy akan kesulitan mendeteksi peniruan merek karena kendala sumber daya, tetapi bahkan perusahaan dengan fungsi keamanan yang matang dapat mengalami kesulitan secara sistematis membasmi penipu yang merusak merek mereka. Menggunakan teknik seperti pemalsuan situs web kesalahan ketik dan URL yang mirip, serangan peniruan identitas merek seringkali tidak menyerang infrastruktur milik perusahaan โ membuatnya sangat sulit dideteksi oleh penanggap insiden dalam pengaturan pusat operasi keamanan (SOC) menggunakan alat peringatan keamanan tradisional.
โPermukaan serangan eksternal untuk peniruan identitas merek dibangun dan diluncurkan oleh aktor jahat sepenuhnya di Internet,โ kata Ihab Shraim, CTO di CSC Digital Brand Services. โOleh karena itu, tim keamanan SOC tidak memiliki umpan data spesifik [mereka perlu mendeteksi peniruan identitas].โ
Melacak Sebutan, Kata Kunci
Untuk mengurangi kesenjangan tersebut, beberapa perusahaan secara proaktif mencari secara online atau menggunakan alat pelacak merek sederhana. Beginilah tanggapan Reinkort dan timnya sejak sikat mahal Code Galaxy dengan peniruan merek.
โKami secara aktif melacak penyebutan merek dan kata kunci yang terkait dengan bisnis, meskipun salah eja,โ katanya. โPenyebutan merek seharusnya hanya untuk keterlibatan dan pemecahan masalah. Kami akhirnya menemukan dua peniruan identitas merek hanya dengan melacak penyebutan yang mencerminkan kata kunci dan kata akting kami.โ
Tetapi meningkatnya volume pasar online berarti bahwa organisasi yang mencoba memindai kata kunci dan penyebutan cenderung menghadapi masalah skalabilitas.
โPeniruan identitas merek sulit dilacak karena banyaknya pasar digital yang telah terwujud dalam dekade terakhir,โ kata Doug Saylors, mitra dan pemimpin bersama keamanan siber untuk penelitian teknologi global dan firma penasehat ISG. โCukup memindai Internet untuk produk, situs web, dan deskripsi produk dengan nama yang mirip tidak lagi cukup untuk mengidentifikasi dan menghapus informasi penipuan.โ
Pekerjaan Siapa Itu?
Selain itu, karena penyerang pada dasarnya melakukan pelanggaran merek dagang dalam kasus ini, dan karena korban yang marah sering menelepon layanan pelanggan perusahaan palsu untuk meminta produk yang mereka bayar atau untuk mengembalikan produk yang cacat, seringkali tidak jelas di dalam organisasi yang lebih besar yang tanggung jawabnya harus pergi. setelah penipu setelah mereka terdeteksi.
โHal ini sudah lama tidak menjadi ranah praktisi keamanan secara konsisten,โ kata Josh Shaul, CEO Allure Security, perusahaan perlindungan merek online yang merupakan bagian dari kategori perusahaan berkembang yang berfokus pada pendeteksian situs scam dan pemulihan melalui tindakan seperti pencopotan.
Dia menjelaskan bahwa ketika dia pergi ke pasar dan berbicara dengan perusahaan, kadang-kadang mereka akan mengatakan bahwa mereka mendapat respons insiden (IR) untuk melihat masalahnya. Di perusahaan lain, mereka mengatakan tim hukum ada di dalamnya. Di tempat lain lagi, mereka melihatnya sebagai masalah layanan pelanggan atau pemasaran. Sementara itu, serangan terus meningkat, dan perusahaan kesulitan mengatur upaya mitigasi dengan cepat seperti permintaan penghapusan dan komunikasi dengan pendaftar.
CISO perlu mengambil pendekatan yang sistematis dan multidisiplin untuk memecahkan masalah peniruan identitas merek. Itu dimulai dengan mendaftarkan merek dagang dan menyiapkan domain dan kehadiran media sosial untuk merek tersebut. Kemudian diperluas untuk mencakup pemantauan domain dan menggunakan intelijen ancaman untuk mengidentifikasi upaya peniruan identitas.
โAneh karena bagi saya ini semua ada di ranah keamanan [profesional],โ kata Shaul. โMerek dagang adalah bagian yang penting, tetapi ini adalah masalah penipuan dan masalah insiden keamanan. Orang-orang mencuri dari Anda, dan Anda berusaha mencegah pencurian itu.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/edge-articles/why-cisos-should-care-about-brand-impersonation-scam-sites