Bagaimana Penjahat Siber Mengabaikan Pertanyaan Keamanan?

Banyak situs web dan aplikasi mengajukan pertanyaan keamanan saat Anda mendaftar untuk pertama kali. Kemudian mereka menggunakan jawaban yang Anda berikan untuk memverifikasi identitas Anda setiap kali Anda meminta untuk mengubah kata sandi yang hilang. Tetapi penyerang siber sering menemukan cara untuk mengatasi pertanyaan keamanan.

Bagaimana mereka melepaskan jawaban rahasia Anda dan mengakses akun Anda? Bagaimana mereka melewati pertanyaan-pertanyaan ini untuk meretas profil Anda?

Salah satu aspek negatif dari media sosial adalah sulit untuk mengatakan siapa yang asli. Penjahat dunia maya tidak biasa menggunakannya untuk menipu korban agar mengungkapkan jawaban mereka atas pertanyaan keamanan.

Cara umum peretas mencapai ini adalah mereka muncul sebagai teman atau pengikut korban mereka di platform media sosial seperti Facebook, LinkedIn, Instagram, atau Twitter. Menggunakan bentuk manipulasi psikososial, mereka menipu korban agar mempercayai mereka. Ini adalah tingkat lain dari rekayasa sosial.

Setelah penyerang cyber berteman dengan target mereka di media sosial, mereka mengobrol dengan korban dan membocorkan informasi palsu tentang diri mereka terlebih dahulu agar terlihat dapat dipercaya. Dalam apa yang lebih mirip salah satunya penipuan aplikasi kencan, mereka terlibat dalam percakapan tentang minat dan kesukaan korban.

Terkadang, penyerang mungkin berpura-pura memiliki minat, hobi, dan kesukaan yang sama dengan korban, yang mungkin akhirnya berbagi informasi rahasia tanpa disadari—yang, tentu saja, kemungkinan besar mencakup jawaban atas keamanan pertanyaan. Ini mungkin berkisar dari yang mereka gunakan untuk mengakses sumber daya tempat kerja hingga yang digunakan untuk belanja online atau transaksi online sensitif lainnya.

2. Pengelabuan

Phishing dan rekayasa sosial berjalan beriringan. Phishing terjadi ketika peretas menampilkan diri mereka sebagai seseorang yang berbeda, yaitu persona palsu. Misalnya, penyerang mungkin memberi tahu Anda dalam panggilan, SMS, atau email bahwa mereka mewakili perusahaan yang menyimpan salah satu profil Anda.

Mereka mungkin meminta Anda untuk menjawab beberapa pertanyaan dalam jangka waktu tertentu untuk meningkatkan keamanan Anda. Atau mereka bahkan mungkin mengirimi Anda tautan ke formulir online—kebanyakan, replika palsu dari situs web asli tempat Anda memiliki profil. Bahkan ada kasus ketika peretas meminta korbannya untuk mengisi Formulir Google atau kuesioner online apa pun dengan alasan bahwa mereka sedang melakukan penelitian.

Peretas sering menggunakan teknik ini untuk mengeksploitasi individu yang kurang paham keamanan. Tentu saja, begitu mereka mendapatkan informasi yang diperlukan, menjadi mudah untuk melewati pertanyaan keamanan dan mendapatkan kendali tak terbatas atas akun target.

3. Informasi Dari Profil Online Anda

Meskipun pertanyaan keamanan seharusnya bersifat pribadi dan hanya diketahui oleh Anda, Anda mungkin telah meninggalkan banyak petunjuk untuk jawaban mereka di seluruh internet. Seorang peretas dapat dengan mudah menguraikan jawaban atas pertanyaan keamanan Anda jika Anda sering meninggalkan informasi sensitif tentang diri Anda di profil media sosial Anda.

Teknik ini biasanya melibatkan peretas yang melakukan penelitian intensif ke detail Anda secara online. Untuk mencapai ini, mereka mencari Anda di mesin pencari seperti Google dan memeriksa pegangan media sosial Anda, termasuk LinkedIn, Facebook, Twitter, Instagram, dan banyak lagi, untuk petunjuk sebanyak yang mereka bisa ambil.

Saat itu Anda menjawab pertanyaan lelucon di Facebook yang memasangkan nama gadis ibu Anda dengan nama hewan peliharaan pertama Anda? Itu sangat berguna bagi penjahat dunia maya.

Pada titik ini, penyerang kembali ke pertanyaan keamanan untuk menjawabnya berdasarkan informasi yang mereka kumpulkan dari profil publik Anda.

4. Pemaksaan Brute

Meskipun peretas biasanya gunakan serangan brute-force untuk memecahkan kata sandi, tidak banyak yang bisa menghentikan mereka melakukan hal yang sama dengan pertanyaan keamanan. Sementara brute-forcing manual membutuhkan waktu dan kesabaran untuk mencapainya, algoritme brute-forcing modern menyederhanakan prosesnya.

Selain itu, saat memecahkan pertanyaan keamanan, penyerang cyber hanya perlu fokus pada kombinasi kata daripada manipulasi karakter seperti yang dilakukan dengan kata sandi. Hal ini membuat pertanyaan keamanan tidak terlalu sulit untuk dipecahkan karena mudah untuk membuat entri yang bermakna dengan menggabungkan kata-kata yang berbeda.

Selain itu, setelah peretas mengetahui pertanyaan apa yang diajukan situs web, yang perlu mereka lakukan hanyalah memaksa semua kemungkinan jawaban khusus untuk korban. Anda mungkin berpikir ini lebih sulit bagi peretas jika situs web hanya mengizinkan pengguna untuk mengajukan pertanyaan mereka. Sayangnya, itu jauh dari kebenaran, karena pertanyaan yang dibuat pengguna seringkali kurang aman. Oleh karena itu, jawabannya cenderung lebih mudah ditebak.

Cara Tetap Aman

Jadi, Anda telah melihat bagaimana penyerang siber dapat mengabaikan pertanyaan keamanan Anda dan mengakses akun Anda. Tapi bagaimana Anda bisa tetap aman saat online? Berikut adalah beberapa poin yang dapat membantu.

1. Gunakan Otentikasi Dua Faktor

Meskipun peretas dapat melewati otentikasi dua faktor, seringkali lebih teknis untuk dipecahkan daripada pertanyaan keamanan. Selain itu, menggabungkannya dengan pertanyaan keamanan semakin memperkuat akun Anda. Penggabungan protokol keamanan semacam itu membuat penyerang memiliki teka-teki yang lebih rumit untuk dipecahkan. Dalam kasus seperti itu, mereka cenderung menyerah sebelum lama.

Anda beruntung jika penyedia layanan Anda mendukung kedua metode tersebut. Tetapi jika tidak, ada banyak pihak ketiga penyedia otentikasi dua faktor di luar sana.

2. Hindari Menggunakan Pertanyaan dan Jawaban Umum

Banyak pertanyaan keamanan yang mudah ditebak karena korban seringkali memberikan jawaban yang umum. Ini menjadi lebih buruk ketika situs web atau aplikasi memungkinkan pengguna untuk membuat pertanyaan keamanan mereka sendiri.

Jawaban atas pertanyaan seperti hobi, warna favorit, hewan peliharaan, film, musik, atau makanan relatif mudah ditebak. Jadi Anda mungkin ingin menghindarinya. Dan untuk pertanyaan yang lebih spesifik seperti nama gadis ibumu dan sebagainya, kamu juga bisa mencoba memberikan jawaban yang lebih unik; misalnya, ini bahkan tidak harus yang benar, melainkan sesuatu yang Anda kaitkan dengannya.

Jika Anda mungkin lupa jawaban apa yang Anda berikan untuk pertanyaan tertentu karena unik, Anda dapat menguraikannya dalam bentuk aplikasi catatan terenkripsi untuk mencarinya kapan pun Anda membutuhkannya.

3. Hapus Informasi Sensitif Dari Profil Anda

Informasi pribadi di media sosial Anda dan profil online lainnya dapat memberikan petunjuk untuk jawaban keamanan Anda. Seringkali yang terbaik adalah menghapus detail penting seperti itu dari profil Anda untuk memeriksa pelanggaran pertanyaan keamanan. Pada akhirnya, apa gunanya menjawab lelucon round-robin di Facebook, Twitter, dan sejenisnya?

Lindungi Informasi Anda Secara Online

Seperti otentikasi dua faktor, pertanyaan keamanan menambahkan lapisan perlindungan lain ke profil Anda secara online. Beberapa layanan memerlukan pertanyaan keamanan sebelum menyediakan tautan pengaturan ulang kata sandi. Dan untuk beberapa, mereka melakukannya setelah Anda mengatur ulang kata sandi Anda. Semua ini bertujuan untuk mengamankan akun Anda lebih jauh.

Apa pun masalahnya, perisai lapis kedua seperti pertanyaan keamanan adalah hal yang sering dihadapi peretas saat mencoba mengakses akun Anda. Selain itu, cara kita menggunakan internet memengaruhi kekuatan pertanyaan keamanan.

10 Cara Mudah Mengurangi Jejak Online Anda Dengan Beberapa Klik

Baca Selanjutnya

Tentang Penulis