Cyberthreat.id - Perusahaan kereta West Midlands Trains di Inggris dikritik setelah melakukan pengujian email phising ke karyawannya.

Dikutip dari The Guardian, West Midland Trains dikecam oleh serikat pekerja kereta api karena email pengujian yang menjanjikan bonus kepada pekerja yang telah menjalankan kereta selama pandemi. Padahal, email itu merupakan bagian dari ujian kesadaran keamanan siber perusahaan.

Email pengujian phising itu dikirim perusahaan kepada sekitar 2.500 karyawan. Dalam email itu, Direktur Pelaksana West Midland Trains, Julian Edwards, ingin berterima kasih atas kerja keras mereka selama setahun terakhir di bawah Covid-19. Karena itu, perusahaan menjanjikan bonus.

Untuk mendapatkan  bonusnya, tulis email itu, karyawan diminta mengklik sebuah tautan. Namun, alih-alih mendapat bonus betulan, karyawan yang mengklik tautan itu kemudian mendapatkan balasan email yang memberitahu bahwa itu adalah "uji simulasi phising" yang dirancang perusahaan dan tidak akan ada bonus.

"Ini adalah tes yang dirancang oleh tim TI kami untuk membujuk Anda mengklik tautan dan menggunakan janji terima kasih dan imbalan finansial," tulis email balasan itu, dikutip dari Guardian, Selasa (11 Mei 2021).

Pemimpin serikat asosiasi gaji staf transportasi (TSSA) mengatakan email itu "kasar dan tercela", mengingat bahwa ada satu pekerja di perusahaan telah meninggal karena Covid-19 dan banyak lainnya yang terkena covid-19.

"Ini adalah aksi sinis dan mengejutkan oleh West Midlands Trains, yang dirancang untuk mengelabui karyawan yang telah berada di garis depan selama pandemi mengerikan ini - memastikan pekerja penting dapat melakukan perjalanan," kata Sekretaris Jenderal TSSA, Manuel Cortes.

Menurut Manuel, perusahaan seharusnya menggunakan dalih atau kedok lain sebagai uji simulasi phising bukannya malah menggunakan klaim bonus kerja sebagai bagian dari ujian keamanan mereka.

"Hampir tidak dapat dipercaya bahwa mereka memilih untuk menawarkan bonus secara tidak benar kepada pekerja yang telah melakukan banyak hal dalam memerangi virus ini. " katanya.

Manuel pun mendorong perusahaan meminta maaf kepada karyawannya dan membayar bonus yang sebenarnya untuk menebus kesalahan. "Dengan cara itu perusahaan dapat mulai memperbaiki kesalahan yang telah menyebabkan begitu banyak kerugian," tuturnya.

Juru bicara perusahaan West Midlands Trains mengatakan perusahaan menangani keamanan siber dengan sangat serius, termasuk dengan pelatihan rutin untuk menguji ketahanan siber karyawannya.

"Rancangan email hanyalah jenis yang akan digunakan organisasi kriminal - dan untungnya itu adalah latihan tanpa konsekuensi dari serangan nyata." kata juru bicara perusahaan.

Sebelumnya, pada akhir April lalu, sistem milik pengelola jaringan kereta api Merseyrail di Inggris mengalami serangan dunia maya setelah geng ransomware menggunakan sistem email perusahaan untuk mengirimkan email kepada karyawan dan jurnalis tentang serangan itu. (Lihat: Jaringan Kereta Api Inggris Merseyrail Alami Serangan Ransomware)

Dalam email itu, pelaku ancaman berpura-pura menjadi Direktur Merseyrail yang memberi tahu karyawannya bahwa pemadaman listrik akhir pekan sebelumnya telah diremehkan dan bahwa mereka mengalami serangan ransomware di mana peretas mencuri data karyawan dan pelanggan.

Email itu juga melampirkan tautan ke gambar yang menunjukkan informasi pribadi karyawan yang diduga dicuri oleh geng ransomware Lockbit selama serangan itu.[]