Peretas selalu mencari cara baru untuk mencuri informasi rahasia. Terkadang mereka ingin mencuri informasi tertentu. Tetapi bahkan informasi pribadi orang acak berpotensi berharga untuk dijual kembali di web gelap.
Karena itu, hampir semua perusahaan memiliki sesuatu yang ingin didapatkan oleh peretas. Baik untuk penjualan kembali, pelecehan, atau sekadar hiburan, semua bisnis kini menjadi target potensial pencurian data.
Permintaan data darurat palsu sering digunakan untuk tujuan ini. Jadi, apa itu permintaan data darurat, dan bagaimana peretas menggunakannya?
Apa Itu Permintaan Data Darurat?
Permintaan data darurat adalah apa yang digunakan pemerintah ketika mereka ingin mengambil informasi dari perusahaan swasta. Permintaan ini adalah pemberitahuan hukum yang sah yang dikirim oleh departemen kepolisian di seluruh negeri.
Sebagian besar bisnis telah menerimanya dan secara hukum berkewajiban untuk menanggapinya. Sementara undang-undang privasi mencegah informasi pribadi dirilis dalam keadaan lain, perusahaan tidak punya pilihan saat dilayani dengan surat perintah, menjadikannya teknik yang menarik untuk digunakan peretas.
Bagaimana Peretas Menggunakan "Permintaan Data Darurat" Palsu?
Masalah dengan permintaan data darurat adalah tidak selalu sulit untuk dipalsukan. Sebagian besar bisnis juga tidak dikelola oleh ahli hukum.
Penerima hanya akan melihat dari mana permintaan itu berasal. Jika tampaknya dari departemen kepolisian, mereka akan sering memberikan informasi yang diminta.
Karena itu, peretas sekarang mengirim permintaan data darurat palsu ke bisnis mana pun yang ingin mereka curi informasinya.
Alamat email bisa dipalsukan, tetapi metode ini sangat efektif sehingga banyak peretas melangkah lebih jauh. Mereka meretas ke departemen kepolisian dan kemudian menggunakan server polisi untuk mengirimkan permintaan data. Permintaan ini terlihat sah karena sah.
Masalahnya meningkat karena jaringan departemen kepolisian tidak selalu seaman yang diinginkan orang. Peretas dapat mengirim permintaan data dari departemen kepolisian mana pun, termasuk departemen kecil dengan sumber daya TI yang terbatas.
Mengapa Permintaan Data Darurat Palsu Begitu Efektif?
Permintaan data darurat palsu sangat efektif. Juga mudah untuk memahami mengapa sebuah bisnis akan mematuhinya. Ada akibat hukum yang serius jika mengabaikan permintaan yang sah. Sebagian besar perusahaan juga tidak mengetahui penipuan, sehingga mereka tidak memiliki alasan untuk curiga bahwa mereka berbicara dengan siapa pun kecuali polisi.
Seperti banyak penipuan, permintaan data darurat palsu juga bergantung pada rasa urgensi korban. Permintaan sering kali menyertakan catatan yang menyatakan bahwa orang yang sedang diselidiki adalah ancaman serius dan dapat membahayakan orang lain. Hal ini mendorong korban untuk menuruti permintaan tersebut meskipun mereka curiga akan asal-usulnya.
Apa Konsekuensi dari Penipuan Ini?
Biasanya, bisnis yang terjerumus dalam penipuan ini tidak dituntut, karena mereka tidak memberikan informasi rahasia secara sukarela dan malah mematuhi apa yang mereka yakini sebagai permintaan yang sah.
Namun, korban utama penipuan ini adalah pemilik informasi pribadi yang telah dirilis. Bergantung pada jenis data yang dirilis, mereka dapat mengalami pencurian identitas, pelecehan online, dan kemungkinan pembajakan akun.
Reputasi bisnis juga dapat menurun jika serangan yang berhasil dipublikasikan. Orang yang datanya dicuri tidak mungkin peduli bagaimana hal itu terjadi.
Apa yang Dilakukan Pemerintah untuk Mencegah EDR Palsu?
Jenis serangan ini menjadi sangat umum sehingga pemerintah berusaha untuk meloloskan undang-undang yang mengharuskan semua permintaan data darurat untuk ditandatangani secara digital. Penipuan dimungkinkan karena pemberitahuan ini mudah ditiru. Ini berpotensi membuat permintaan lebih mudah untuk diverifikasi.
Terlepas dari kenyataan bahwa itu belum diterapkan, masalah dengan pendekatan ini adalah bahwa bisnis masih perlu mengetahui undang-undang baru. Tanda tangan digital tidak bermanfaat jika tidak ada yang mencarinya.
Solusi potensial lainnya adalah mewajibkan semua permintaan data darurat dikirim dari satu badan pengatur. Dengan menyimpan semuanya dalam satu departemen, akan lebih mudah untuk menegakkan standar keamanan yang kuat dan mencegah akses yang tidak sah.
Masalah dengan pendekatan ini adalah bahwa hal itu akan menyebabkan penundaan yang signifikan setiap kali seorang petugas polisi ingin mengirim permintaan semacam itu untuk tujuan yang sah. Mengingat pentingnya pemberitahuan ini dan fakta bahwa urgensi sering kali benar-benar ada, ini mungkin juga bukan solusi yang dapat diterima.
Bagaimana Melindungi Terhadap Permintaan Data Darurat Palsu
Daripada mengandalkan undang-undang yang belum disahkan, bisnis harus melakukan yang terbaik untuk melindungi diri mereka sendiri. Mereka dapat tetap aman dengan mengikuti dua tindakan pencegahan ini:
Baca Semua Permintaan dengan Hati-hati
Permintaan data darurat palsu sangat bervariasi dalam hal kualitas. Jika Anda menerima EDR, selalu cari kesalahan. Alamat email adalah tempat yang jelas. Periksa variasi ejaan kecil yang akan menunjukkan spoofing email.
Jika Anda pernah menerima permintaan data darurat asli di masa lalu, bandingkan permintaan tersebut. Cari ungkapan aneh yang mungkin menunjukkan bahwa bukan penutur asli yang menulis email. Juga, periksa kesalahan pemformatan atau logo berkualitas buruk yang mungkin disebabkan oleh Photoshop.
Siapapun yang mengirimkan EDR harus mencantumkan nama dan tempat kerjanya. Hubungi departemen mereka secara langsung dan pastikan bahwa seseorang di sana benar-benar membuat permintaan. Ini segera menghentikan penipuan.
Masalahnya adalah banyak bisnis secara otomatis berasumsi bahwa permintaan tersebut valid dan tidak melihat alasan untuk melakukannya. Penting untuk dicatat bahwa penyerang menyadari kemungkinan ini dan akan menyertakan detail kontak mereka sendiri. Oleh karena itu, Anda perlu mencari secara online dan menemukan detail kontak sendiri.
Bisnis Harus Menerima Ancaman Ini dengan Serius
Banyak penipuan online tidak menarik perhatian pemerintah. Fakta bahwa pejabat pemerintah sekarang sedang mendiskusikan EDR palsu merupakan indikasi kuat dari kemampuan mereka untuk menyebabkan kerusakan.
Oleh karena itu, setiap bisnis yang memiliki informasi pribadi, yang sekarang hampir semua bisnis, harus menyadari masalahnya dan bertindak sesuai saat EDR diterima. Melakukannya membutuhkan kesabaran dan mungkin tampak tidak perlu, tetapi itu satu-satunya cara untuk menghindari penipuan ini.
Semua yang Perlu Anda Ketahui Tentang Operasi Aurora
Baca Selanjutnya
Topik-topik yang berkaitan
- Keamanan
- Keamanan cyber
- Keamanan data
Tentang Penulis
Elliot adalah penulis teknologi lepas. Dia terutama menulis tentang fintech dan keamanan siber.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Klik di sini untuk berlangganan