6 Data yang Jadi Favorit Incaran Para Peretas Global, Ternyata Banyak di Luar Dugaan!

Para peretas (hacker) kerap melakukan pembobolan data dari suatu organisasi baik individu, kelompok, badan, hingga sekelas sebuah negara sekali pun. Mereka nantinya pasti akan memanfaatkan data yang dicuri untuk melakukan lebih banyak kejahatan. 

Serangan terus-menerus dari para peretas sangat melelahkan sehingga istilah "kelelahan pelanggaran" telah muncul dalam beberapa tahun terakhir. Itu telah menggambarkan meningkatnya rasa kelelahan publik. 

Baca Juga: Dianggap Sepele, Informasi Pribadi di Medsos Rawan Peretasan

Seringkali, data yang dicuri dari satu organisasi digunakan untuk meretas ke organisasi lain, karena penjahat menargetkan akun pelanggan di banyak platform dan vendor dengan akses ke banyak sistem.

Melansir LMG Security yang mengutip laporan Investigasi Pelanggaran Data Verizon tahun 2021, para peretas melakukan kejahatan pencurian data dimotivasi oleh keuntungan finansial. Angkanya sekitar 90 persen melakukan hal itu.

Misalnya, geng penjahat dunia maya terkenal, ShinyHunters, melelang database yang mereka klaim dicuri dari AT&T. Seharusnya, database berisi informasi pribadi sekitar 70 juta pelanggan AT&T dan dijajakan dengan harga mulai 200,000 dolar AS.

Ketika AT&T menyangkal bahwa data tersebut berasal dari mereka, ShinyHunters mengatakan kepada BleepingComputer, “Saya tidak peduli jika mereka tidak mengakuinya. Saya hanya menjual.”

Pencurian data yang telah terjadi terhadap suatu organisasi tersebut, baik diakui atau tidak diakui sekali pun akan tetap menyajikan fakta bahwa pembobolan terjadi. Lalu apa yang dilakukan oleh para peretas?

1. Kata Sandi

Para peretas menggunakan kata sandi curian untuk melakukan serangan isian kredensial di mana mereka "mengisi" kredensial ke dalam formulir login dari banyak layanan awan (cloud) yang tidak terkait. 

Karena banyak orang menggunakan kembali kata sandi yang sama untuk situs yang berbeda, seringkali kata sandi untuk satu layanan akan berfungsi di layanan lain. Misalnya, di web gelap (darkweb), penyerang dapat membeli daftar kata sandi LinkedIn yang dicuri dan kemudian menggunakan alat otomatis untuk mencoba kata sandi ini di e-niaga populer, perbankan, hosting email, dan layanan lainnya.

Penyerang juga dapat menggunakan sandi curian untuk mendapatkan akses ke lingkungan organisasi sehingga mereka dapat melakukan serangan yang lebih canggih, seperti ransomware, dan menyandera seluruh organisasi.

2. Nomor PIN

Mengingat kembali contoh AT&T, ketika nomor PIN dan kata sandi akun terekspos, itu merupakan ancaman nyata bagi setiap pelanggan yang terkena dampak. Kedua bagian data ini dapat memungkinkan scammer untuk mengubah kartu SIM yang ditautkan ke nomor telepon pengguna menjadi kartu SIM dan perangkat baru, yang secara efektif memungkinkan mereka untuk mengambil alih nomor telepon.

Serangan ini, yang dikenal sebagai SIMjacking, dapat memungkinkan penjahat untuk membajak saluran telepon Anda, masuk ke akun daring Anda, dan mencuri kode otentikasi dua faktor yang dikirim melalui SMS atau telepon.

Ketika Anda memikirkan apa yang dapat dilakukan peretas dengan data yang dicuri, taktik ini sangat mengkhawatirkan karena memungkinkan peretas untuk melewati keamanan otentikasi dua faktor.

Selain itu, banyak orang menggunakan kembali PIN yang sama untuk tujuan lain (termasuk penarikan kartu debit, akses rekening kartu kredit, dan kode keamanan bank), yang berarti PIN itu juga berharga bagi penjahat yang mencari akses ke rekening lain juga.

3. Nomor Jaminan Sosial (SSN) dan Nomor Pajak

Penjahat menggunakan SSN curian untuk memfasilitasi berbagai penipuan. Misalnya, penjahat mungkin menelepon bank dan menggunakan SSN curian untuk mendapatkan akses ke informasi rekening atau melakukan transfer.

Karena jutaan SSN telah dilanggar dan tidak dapat diubah, organisasi beralih dari mengandalkan mereka sebagai satu-satunya bentuk otentikasi --tetapi seringkali, SSN digunakan bersama dengan informasi lain untuk memverifikasi identitas pelanggan.

Baca Juga: Duh! Peretas Klaim Bocorkan Data Pribadi 48,5 Juta Pengguna Aplikasi Covid-19

Saat ini, penjahat menggunakan SSN curian sebagai pengungkit dalam serangan pemerasan, mengancam akan mempublikasikannya kecuali organisasi yang ditargetkan membayar permintaan mereka.

4. Formulir W-2 Karyawan

W-2 yang dicuri adalah emas bagi penjahat dunia maya, yang dapat menggunakan informasi ini untuk mengajukan pengangguran, membuka kartu kredit atas nama korban, mengumpulkan pengembalian pajak, dan banyak lagi.

Anda akan terkejut betapa banyak organisasi yang gagal memperhatikan klaim pengangguran palsu yang terkait dengan orang-orang yang masih bekerja untuk mereka. Semakin besar perusahaan, semakin mudah bagi beberapa klaim palsu untuk terbang di bawah radar.

5. Informasi Kartu Pembayaran

Nomor kartu pembayaran sering dijual dengan harga mulai dari 25-240 dolar AS masing-masing. Ini adalah sumber uang cepat bagi penjahat, yang dapat menjualnya dalam jumlah besar di web gelap atau memonetisasinya dengan melakukan pembelian palsu atau menarik uang tunai. Ketika dipasangkan dengan identitas curian yang cocok, itu bisa menjadi bayaran besar!

6. Rekam Medis

Catatan medis yang dicuri dapat bernilai hingga 250 dolar AS per catatan di web gelap. Ini dianggap sangat berharga karena sering kali menyertakan detail pribadi yang luas yang dapat digunakan untuk penipuan keuangan, penipuan obat resep, pencurian identitas, penipuan asuransi, pemerasan, dan banyak lagi.