Saat ini hampir semua orang sering menggunakan layanan yang ada di internet, mulai dari layanan belanja online, keuangan, ojek online, produktivitas, nonton film hingga bermain game.Untuk mengakses berbagai layanan tersebut, biasanya akan dibutuhkan akun yang berisi username dan password. Oleh karena itu, penting menjaga akun kita, terutama password agar tidak diketahui oleh orang lain seperti penjahat siber.
Pasalnya dengan mengetahui password Anda, penjahat siber tidak hanya dapat memperoleh akun, data, uang, dan bahkan identitas pribadi; mereka juga dapat memanfaatkan Anda sebagai rantai lemah untuk menyerang teman online, kerabat, atau bahkan perusahaan tempat Anda bekerja atau miliki.
Lalu, bagaimana caranya penjahat siber dapat mengetahui password dari akun milik seseorang? Menurut perusahaan keamanan siber Kaspersky, inilah beberapa cara yang biasa digunakan:
- Phishing
Ini memang salah satu metode pengumpulan kredensial (seperti password) yang sebagian besar mengandalkan kesalahan manusia.
Ratusan situs phishing, dibantu oleh ribuan email yang mengarah ke sana, muncul setiap hari. Namun, jika Anda berpikir bahwa tidak akan pernah tertipu oleh phishing โ Anda salah.
Metode ini hampir setua usia internet yang kita gunakan sekarang, sehingga penjahat siber memiliki banyak waktu untuk mengembangkan berbagai trik rekayasa sosial dan taktik penyamaran.
Bahkan para profesional terkadang tidak dapat membedakan email phishing dari yang asli secara sekilas.
- Malware
Cara umum lainnya untuk mencuri kredensial Anda adalah dengan malware. Menurut statistik Kaspersky, sebagian besar malware aktif terdiri dari pencuri Trojan, yang tujuan utamanya adalah menunggu hingga pengguna masuk ke beberapa situs atau layanan, dan menyalin kata sandi mereka dan mengirimkannya kembali ke pembuatnya.
Jika tidak menggunakan solusi keamanan, Trojan dapat bersembunyi di komputer tanpa terdeteksi selama bertahun-tahun โ Anda tidak akan tahu bahwa ada sesuatu yang salah, karena tidak menyebabkan kerusakan yang terlihat, cukup dengan melakukan tugasnya secara diam-diam.
Dan faktanya, Trojan Stealer bukan satu-satunya malware yang memburu password. Terkadang penjahat siber menyuntikkan skimmer web di situs dan mencuri apa pun yang dimasukkan oleh pengguna, termasuk kredensial, nama, detail kartu pembayaran, dan sebagainya.
- Kebocoran pihak ketiga
Anda tidak selalu membuat kesalahan yang sama sendiri. Dengan menjadi pengguna layanan internet yang tidak aman atau klien perusahaan yang membocorkan database dengan data pelanggannya cukup menempatkan diri Anda dalam risko.
Perusahaan yang menganggap keamanan siber secara serius tidak menyimpan password pengguna sama sekali, atau setidaknya melakukannya dalam bentuk terenkripsi.
Tetapi Anda tidak pernah bisa yakin bahwa ada langkah-langkah yang pasti dan terukur untuk menghindari hal tersebut.
- Broker akses awal
Dan di sini kita sampai pada sumber password curian lainnya โ pasar gelap (dark market). Penjahat dunia maya modern lebih suka berspesialisasi dalam bidang tertentu.
Mereka mungkin mencuri password pengguna, tetapi belum tentu menggunakannya: lebih menguntungkan untuk menjualnya secara grosir.
Membeli basis data kata sandi semacam itu sangat menarik bagi penjahat siber, karena memberi mereka semua-dalam-satu: pengguna cenderung menggunakan password yang sama di sejumlah platform dan akun, seringkali mengikat semuanya ke email yang sama.
Dengan demikian, hanya memiliki password dari satu platform, penjahat siber dapat memperoleh akses ke banyak akun korban lainnya โ dari akun game hingga email pribadi atau bahkan akun pribadi di situs web dewasa.
Basis data perusahaan yang bocor yang mungkin mengandung atau tidak mengandung kredensial juga dijual di pasar gelap yang sama.
Harga basis data semacam itu bervariasi tergantung pada jumlah data dan industri organisasi: beberapa data password dapat dijual seharga ratusan dolar.
Ada layanan tertentu di darknet yang menggabungkan password dan basis data yang bocor, dan kemudian mengaktifkan akses berbasis satu kali atau langganan berbayar ke koleksi mereka.
Pada Oktober 2022, grup ransomware terkenal LockBit meretas sebuah perusahaan perawatan kesehatan, dan mencuri basis data pengguna mereka dengan informasi medis.
Mereka tidak hanya menjual langganan informasi ini di darknet – mungkin mereka membeli akses awal di pasar gelap yang sama.
- Serangan brute-force
Dalam beberapa kasus, penjahat siber bahkan tidak memerlukan basis data yang dicuri untuk mengetahui password dan meretas akun Anda.
Mereka dapat menggunakan serangan brute-force, dengan kata lain mencoba ribuan varian password biasa hingga salah satunya berfungsi.
Kedengarannya tidak meyakinkan, tetapi mereka tidak perlu mengulangi semua kemungkinan kombinasi karena ada alat khusus yaitu Generator Daftar Kata (Wordlist Generators) yang dapat menghasilkan daftar probabilitas password umum (yang disebut kamus brute-force) berdasarkan informasi pribadi korban.
Program semacam itu terlihat seperti kuesioner mini tentang pengguna yang ditargetkan. Mereka menanyakan nama depan, nama belakang, tanggal lahir, informasi pribadi tentang pasangan, anak, bahkan hewan peliharaan.
Penyerang bahkan dapat menambahkan password tambahan yang mereka ketahui tentang target yang dapat dimasukkan ke dalam kombinasi.
Dengan menggunakan campuran kata, nama, tanggal, dan data lainnya ini, pembuat daftar kata membuat ribuan varian password, yang kemudian dicoba oleh penyerang saat masuk.
Untuk menggunakan metode tersebut, penjahat siber perlu melakukan penelitian terlebih dahulu โ dan saat itulah basis data yang bocor itu mungkin berguna.
Mereka mungkin berisi informasi seperti tanggal lahir, alamat, atau jawaban atas “pertanyaan rahasia”. Sumber data lainnya adalah berbagi secara berlebihan di jejaring sosial.
Sesuatu yang terlihat sangat tidak penting, seperti foto dengan judul โhari ini adalah hari ulang tahun Anak kesayanganโ.
Tips untuk Melindungi Password Anda
Ada beberapa tips yang bisa dilakukan untuk melindungi password agar tidak dicuri dan disalahkan oleh para penjahat siber. Berikut di antaranya:
- Jangan menggunakan kembali password yang sama untuk beberapa akun;
- Buat password yang panjang dan kuat dan simpan dengan aman;
- Mengubah password segera setelah mendengar berita pertama kali tentang pelanggaran data di layanan atau situs web yang Anda gunakan;
- Gunakan software (perangkat lunak) pengelola password yang dapat membantu Anda dengan semua tugas tersebut. Software ini banyak tersedia baik untuk pengguna PC/laptop atau smartphone.
- Aktifkan autentikasi dua faktor jika memungkinkan. Ini memberikan lapisan keamanan tambahan dan akan mencegah peretas mengakses akun โ bahkan jika seseorang berhasil mendapatkan login dan password Anda.
- Siapkan jejaring sosial untuk privasi yang lebih baik. Ini akan membuat lebih sulit untuk menemukan informasi tentang Anda, dan karenanya mempersulit penggunaan kamus brute force untuk menyerang akun Anda.
- Berhenti membagikan informasi pribadi secara berlebihan, meskipun hanya dapat dilihat oleh teman. Ingat, teman hari ini bisa menjadi musuh esok harinya.
ย Jadi tetaplah berhati-hati dan bijak dalam berselancar di dunia maya. Jangan mudah percaya dengan informasi-informasi yang tidak jelas asal usulnya dan tidak ada hubungannya dengan Anda.