6 Data yang Jadi Favorit Incaran Para Peretas Global, Ternyata Banyak di Luar Dugaan!

Warta Ekonomi, Jakarta -

Para peretas (hacker) kerap melakukan pembobolan data dari suatu organisasi baik individu, kelompok, badan, hingga sekelas sebuah negara sekali pun. Mereka nantinya pasti akan memanfaatkan data yang dicuri untuk melakukan lebih banyak kejahatan. 

Serangan terus-menerus dari para peretas sangat melelahkan sehingga istilah "kelelahan pelanggaran" telah muncul dalam beberapa tahun terakhir. Itu telah menggambarkan meningkatnya rasa kelelahan publik. 

Baca Juga: Dianggap Sepele, Informasi Pribadi di Medsos Rawan Peretasan

Seringkali, data yang dicuri dari satu organisasi digunakan untuk meretas ke organisasi lain, karena penjahat menargetkan akun pelanggan di banyak platform dan vendor dengan akses ke banyak sistem.

Melansir LMG Security yang mengutip laporan Investigasi Pelanggaran Data Verizon tahun 2021, para peretas melakukan kejahatan pencurian data dimotivasi oleh keuntungan finansial. Angkanya sekitar 90 persen melakukan hal itu.

Misalnya, geng penjahat dunia maya terkenal, ShinyHunters, melelang database yang mereka klaim dicuri dari AT&T. Seharusnya, database berisi informasi pribadi sekitar 70 juta pelanggan AT&T dan dijajakan dengan harga mulai 200,000 dolar AS.

Ketika AT&T menyangkal bahwa data tersebut berasal dari mereka, ShinyHunters mengatakan kepada BleepingComputer, “Saya tidak peduli jika mereka tidak mengakuinya. Saya hanya menjual.”

Pencurian data yang telah terjadi terhadap suatu organisasi tersebut, baik diakui atau tidak diakui sekali pun akan tetap menyajikan fakta bahwa pembobolan terjadi. Lalu apa yang dilakukan oleh para peretas?

1. Kata Sandi

Para peretas menggunakan kata sandi curian untuk melakukan serangan isian kredensial di mana mereka "mengisi" kredensial ke dalam formulir login dari banyak layanan awan (cloud) yang tidak terkait. 

Karena banyak orang menggunakan kembali kata sandi yang sama untuk situs yang berbeda, seringkali kata sandi untuk satu layanan akan berfungsi di layanan lain. Misalnya, di web gelap (darkweb), penyerang dapat membeli daftar kata sandi LinkedIn yang dicuri dan kemudian menggunakan alat otomatis untuk mencoba kata sandi ini di e-niaga populer, perbankan, hosting email, dan layanan lainnya.

Penyerang juga dapat menggunakan sandi curian untuk mendapatkan akses ke lingkungan organisasi sehingga mereka dapat melakukan serangan yang lebih canggih, seperti ransomware, dan menyandera seluruh organisasi.

2. Nomor PIN

Mengingat kembali contoh AT&T, ketika nomor PIN dan kata sandi akun terekspos, itu merupakan ancaman nyata bagi setiap pelanggan yang terkena dampak. Kedua bagian data ini dapat memungkinkan scammer untuk mengubah kartu SIM yang ditautkan ke nomor telepon pengguna menjadi kartu SIM dan perangkat baru, yang secara efektif memungkinkan mereka untuk mengambil alih nomor telepon.

Serangan ini, yang dikenal sebagai SIMjacking, dapat memungkinkan penjahat untuk membajak saluran telepon Anda, masuk ke akun daring Anda, dan mencuri kode otentikasi dua faktor yang dikirim melalui SMS atau telepon.

Ketika Anda memikirkan apa yang dapat dilakukan peretas dengan data yang dicuri, taktik ini sangat mengkhawatirkan karena memungkinkan peretas untuk melewati keamanan otentikasi dua faktor.

Selain itu, banyak orang menggunakan kembali PIN yang sama untuk tujuan lain (termasuk penarikan kartu debit, akses rekening kartu kredit, dan kode keamanan bank), yang berarti PIN itu juga berharga bagi penjahat yang mencari akses ke rekening lain juga.