Teknologi.info – Pada tahun 2023 ini, kebanyakan dari kita masih menganggap bahwa kata sandi adalah metode otentikasi layanan online paling umum. Namun bagi penjahat dunia maya, kata sandi merupakan jalan pintas untuk mengakses kehidupan orang lain, alat penting, dan barang dagangan yang dapat dijual. Dengan mengetahui kata sandi, penjahat siber dapat memperoleh akun, data, uang, dan bahkan identitas pribadi seseorang. Mereka juga dapat memanfaatkan Anda untuk menyerang teman online, kerabat, atau bahkan perusahaan tempat Anda bekerja atau miliki (sering kan ada kasus tiba-tiba ada akun teman yang minjam duit tapi nomor rekeningnya bukan milik teman kita).
Untuk mencegah hal ini, Kaspersky ingin menyegarkan kembali ingatan para pengguna untuk melindungi identitas pribadi dan memahami bagaimana orang asing dapat mengetahui kata sandi dari awal.
Daftar Isi
Bagaimana Password Anda bisa jatuh ke tangan penjahat dunia maya?
Ada beberapa cara, di antaranya adalah melalui phishing dan malware.
Phishing
Phishing adalah salah satu metode pengumpulan kredensial yang sebagian besar mengandalkan kesalahan manusia. Ratusan situs phishing, dibantu oleh ribuan email yang mengarah ke sana, muncul setiap hari. Namun, jika Anda berpikir bahwa tidak akan pernah tertipu oleh phishing, Anda salah. Metode ini hampir setua usia internet yang kita gunakan sekarang, sehingga penjahat dunia maya memiliki banyak waktu untuk mengembangkan berbagai trik rekayasa sosial dan taktik penyamaran. Bahkan para profesional terkadang tidak dapat membedakan email phishing dari yang asli secara sekilas.
Malware
Malware juga merupakan cara umum untuk mencuri info kredensial. Menurut statistik Kaspersky, sebagian besar malware aktif terdiri dari pencuri Trojan, yang tujuan utamanya adalah menunggu hingga pengguna masuk ke beberapa situs atau layanan, dan menyalin kata sandi mereka dan mengirimkannya kembali ke pembuatnya. Jika tidak menggunakan solusi keamanan, Trojan dapat bersembunyi di komputer tanpa terdeteksi selama bertahun-tahun – Anda tidak akan tahu bahwa ada sesuatu yang salah, karena tidak menyebabkan kerusakan yang terlihat, cukup dengan melakukan tugasnya secara diam-diam.
Dan Trojan stealer bukan satu-satunya malware yang memburu kata sandi. Terkadang penjahat dunia maya menyuntikkan skimmer web di situs dan mencuri apa pun yang dimasukkan oleh pengguna, termasuk kredensial, nama, detail kartu pembayaran, dan sebagainya.
Kebocoran Data dari Pihak Ketiga
Anda tidak selalu harus melakukan kesalahan sendiri untuk bisa tercuri password-nya. Menjadi pengguna suatu layanan internet juga bisa menjadi sebab bocornya data kata sandi dari pengguna. Terutama pada peruhaaan yang lemah sistem keamanannya. Namun, bagi perusahaan yang menganggap keamanan siber secara serius tidak akan menyimpan kata sandi pengguna sama sekali, atau setidaknya, jika pun mereka menyimpan, maka mereka akan melakukannya dalam bentuk terenkripsi.
Broker Akses Awal
Sumber kata sandi curian lainnya adalah pasar gelap (dark market). Penjahat dunia maya modern lebih suka berspesialisasi dalam bidang tertentu. Mereka mungkin mencuri kata sandi pengguna, tetapi tidak selalu menggunakannya; lebih menguntungkan untuk menjualnya secara grosir. Membeli basis data kata sandi seperti itu sangat menarik bagi penjahat dunia maya, karena memberi mereka akses ke sejumlah akun korban. Pengguna cenderung menggunakan kata sandi yang sama di sejumlah platform dan akun, seringkali mengikat semuanya ke email yang sama. Dengan demikian, hanya dengan memiliki kata sandi dari satu platform, penjahat dunia maya dapat memperoleh akses ke banyak akun korban lainnya, mulai dari akun game hingga email pribadi atau bahkan akun pribadi di situs web dewasa.
Kami pernah melihat sebuah “iklan” dari forum peretas yang kurang lebih berisi:
seseorang menawarkan 280 ribu nama pengguna dan kata sandi untuk berbagai platform game dengan harga US$4.000
Basis data perusahaan yang bocor, yang mungkin atau tidak mungkin mengandung kredensial, juga dijual di pasar gelap. Harga basis data tergantung pada jumlah data dan industri organisasi: beberapa data kata sandi dapat dijual seharga ratusan dolar. Ada layanan tertentu di darknet yang menggabungkan kata sandi dan basis data yang bocor, kemudian mengaktifkan akses berbasis satu kali atau langganan berbayar ke koleksi mereka.
Sebagai contoh, pada Oktober 2022, grup ransomware terkenal LockBit meretas sebuah perusahaan perawatan kesehatan dan mencuri basis data pengguna mereka yang berisi informasi medis. Mereka tidak hanya menjual langganan informasi ini di darknet, tetapi mungkin juga membeli akses awal di pasar gelap yang sama. Ada juga layanan darknet yang menyediakan akses berbayar ke basis data dengan data curian.
Serangan brute-force
Dalam beberapa kasus, penjahat dunia maya bahkan tidak memerlukan basis data yang dicuri untuk mengetahui kata sandi dan meretas akun Anda. Mereka dapat menggunakan serangan brute-force, dengan kata lain mencoba ribuan varian kata sandi biasa hingga salah satunya berfungsi. Kedengarannya tidak meyakinkan, tetapi mereka tidak perlu mengulangi semua kemungkinan kombinasi karena ada alat khusus yaitu Generator Daftar Kata (Wordlist Generators) yang dapat menghasilkan daftar probabilitas kata sandi umum (yang disebut kamus brute-force) berdasarkan informasi pribadi korban.
Program semacam itu terlihat seperti kuesioner mini tentang pengguna yang ditargetkan. Mereka menanyakan nama, nama belakang, tanggal lahir, informasi pribadi tentang pasangan, anak, bahkan hewan peliharaan. Penyerang bahkan dapat menambahkan kata kunci tambahan yang mereka ketahui tentang target yang dapat dimasukkan ke dalam kombinasi. Dengan menggunakan campuran kata, nama, tanggal, dan data lainnya ini, pembuat daftar kata membuat ribuan varian kata sandi, yang kemudian dicoba oleh penyerang saat masuk.
Untuk menggunakan metode tersebut, penjahat dunia maya perlu melakukan penelitian terlebih dahulu — dan saat itulah basis data yang bocor itu mungkin berguna. Mereka mungkin berisi informasi seperti tanggal lahir, alamat, atau jawaban atas “pertanyaan rahasia”. Sumber data lainnya adalah berbagi secara berlebihan di jejaring sosial. Sesuatu yang terlihat sangat tidak penting, seperti foto dari tanggal 6 Desember dengan judul “hari ini adalah hari ulang tahun anjing kesayangan”.
Kemungkinan konsekuensi dari kata sandi yang bocor
Ada beberapa konsekuensi yang jelas: penjahat dunia maya dapat mengambil alih akun dan menahannya untuk tebusan, menggunakannya untuk menipu kontak dan teman online Anda, atau, jika mereka bisa mendapatkan kata sandi ke situs atau aplikasi perbankan, terburuknya mengosongkan rekening Anda. Namun, terkadang niat mereka tidak sesederhana itu.
Misalnya, dengan semakin banyaknya game yang memperkenalkan mata uang dalam game dan transaksi mikro, semakin banyak pengguna yang metode pembayarannya ditautkan ke akun mereka. Ini membuat para gamer menjadi target yang menarik bagi para peretas. Dengan memperoleh akses ke akun game, mereka dapat mencuri barang berharga dalam game seperti skin, item langka, atau mata uang game internal, hingga menyalahgunakan data kartu kredit korban.
Basis data dan informasi yang bocor yang dapat diperoleh saat mencari akun Anda dapat digunakan tidak hanya untuk keuntungan finansial tetapi juga untuk merusak reputasi dan jenis kerusakan sosial lainnya, termasuk doxing. Jika Anda seorang selebritas, Anda dapat diperas dan menghadapi pilihan: pengungkapan informasi pribadi (yang dapat memengaruhi reputasi Anda) atau kehilangan uang.
Bahkan jika Anda bukan selebritas, Anda bisa menjadi korban doxing — tindakan mengungkap informasi identitas seseorang secara online — seperti nama asli, alamat rumah, tempat kerja, telepon, keuangan, dan informasi pribadi lainnya. Serangan doxing dapat berkisar dari yang relatif tidak berbahaya, seperti mendaftar ke milis yang tak terhitung jumlahnya atau pesanan pengiriman pizza palsu atas nama Anda, hingga yang jauh lebih berbahaya, seperti berbagai bentuk cyberbullying, pencurian identitas, atau bahkan menguntit secara langsung.
Baca juga: Cara Hack Facebook
Terakhir, jika Anda menggunakan kata sandi yang sama untuk akun pribadi dan kantor, penjahat dunia maya dapat mengambil alih email perusahaan Anda dan menggunakannya untuk skema penyusupan email bisnis atau bahkan serangan yang ditargetkan.
Bagaimana melindungi akun Anda dari akses yang tidak diinginkan
- Jangan menggunakan kembali kata sandi yang sama untuk beberapa akun;
- Buat kata sandi Anda panjang dan kuat dan simpan dengan aman;
- Mengubahnya segera setelah mendengar berita pertama tentang pelanggaran data di layanan atau situs web yang Anda gunakan.
- Gunakan Password Generator, setting 20 karakter, gunakan huruf besar, huruf kecil, angka dan simboil. Password Generator ini tersedia gratis sebagai bagian dari solusi keamanan untuk UMKM dan pengguna rumahan.
- Aktifkan autentikasi dua faktor jika memungkinkan. Ini memberikan lapisan keamanan tambahan dan akan mencegah peretas mengakses akun — bahkan jika seseorang berhasil mendapatkan login dan kata sandi Anda.
- Siapkan jejaring sosial untuk privasi yang lebih baik. Ini akan membuat lebih sulit untuk menemukan informasi tentang Anda, dan karenanya mempersulit penggunaan kamus brute force untuk menyerang akun Anda.
- Berhenti membagikan informasi pribadi secara berlebihan, meskipun hanya dapat dilihat oleh teman. Teman hari ini dapat menjadi musuh esok harinya.