Scammers dan penjahat dunia maya terus mencari cara untuk membahayakan keamanan Anda, meretas akun Anda, dan menguras tabungan Anda yang diperoleh dengan susah payah ke dalam pundi-pundi mereka sendiri. Anda perlu mengambil setiap tindakan pencegahan untuk melindungi informasi pribadi Anda—baik secara online, maupun di dunia digital. Ini termasuk alamat email Anda, yang dengannya orang-orang yang tidak pernah berhasil dapat mencapai banyak hal.
Jadi apa yang bisa dilakukan penjahat dunia maya hanya dengan alamat email Anda?
Apakah Scammers Benar-benar Setelah Alamat Email Saya?
Iya itu mereka. Pada 16 Agustus 2022, penyedia penyimpanan cloud DigitalOcean terpaksa mengungkapkan pelanggaran data dan menghubungi semua pelanggannya dengan berita bahwa, "sejumlah alamat email pelanggan DigitalOcean mungkin telah dilihat oleh individu yang tidak berwenang."
Pelanggaran data email adalah kejadian yang cukup umum. Terkadang, alamat fisik dan kata sandi atau hash kata sandi bocor di samping alamat email. Bahkan jika tidak ada informasi lain yang diungkapkan, alamat email yang valid dapat memberikan banyak peluang bagi scammer untuk memanfaatkan Anda. Begini caranya...
1. Kebocoran Menunjukkan Alamat Email Sedang Digunakan
Ada kemungkinan jumlah alamat email yang praktis tidak terbatas. Jika Gmail adalah satu-satunya penyedia email di dunia, batas nama pengguna 30 karakter berarti ada 30 ^ 36 atau 30 undecillion kemungkinan kombinasi. Penyedia lain memiliki batas yang jauh lebih tinggi, dan jumlah total penyedia email di seluruh dunia tidak diketahui.
Saat scammer mencari calon korban, mengirimkan email ke alamat acak tidak akan berhasil. Sebagian besar alamat email potensial tidak digunakan, tidak pernah digunakan, dan tidak akan pernah digunakan. Mereka dapat meningkatkan peluang sedikit dengan memasukkan kata-kata umum, frasa, dan angka dalam upaya mereka.
Memverifikasi bahwa alamat email digunakan secara aktif akan menghemat banyak usaha dan uang penipu (mengirim email massal tidak selalu murah), itulah sebabnya basis data alamat email dibeli dan dijual secara terbuka on line. Jika alamat email Anda terbuka, setidaknya Anda dapat mengharapkan peningkatan yang signifikan dalam upaya surat sampah, spam, dan phishing.
2. Email Anda Bisa Menjadikan Anda Target Spear Phishing
Spear Phishing adalah istilah untuk upaya phishing ketika scammer menyesuaikan email phishing untuk penerima tertentu. Semakin banyak scammer tahu tentang targetnya, semakin besar kemungkinan usahanya akan berhasil.
Pengungkapan pelanggaran DigitalOcean datang sebagai bagian dari upaya scammers untuk menargetkan pengguna cryptocurrency, menurut Mailchimp. Ini, dengan sendirinya, memberi pengguna email palsu sudut serangan untuk spear phishing, dan insentif untuk mencoba.
Informasi lebih lanjut tentang target dapat diperoleh dari alamat email itu sendiri. Banyak orang menggunakan nama lengkap dan tahun lahir mereka sebagai bagian dari alamat email mereka, memungkinkan penyerang mendapatkan lebih banyak wawasan yang dapat digunakan untuk melawan korban.
Terakhir, jika alamat email Anda—atau bagian dari alamat email Anda—adalah nama pengguna untuk akun media sosial (jika nama pengguna Anda adalah "[email protected]" dan nama pengguna Twitter Anda adalah "yeezydave1992", misalnya), mereka akan dapat melihat semua aspek kehidupan Anda, hubungan Anda, hobi, selera musik, dan kemudian memahat email untuk menjebak Anda.
Sedikit riset dapat mengungkapkan orang lain yang mungkin Anda kenal: ibu Anda, bos Anda, klien Anda. Ini adalah orang-orang yang mungkin berharap untuk menerima email dari Anda dan tidak akan terlalu khawatir untuk menemukan pesan dari alamat Anda di kotak masuk mereka.
Misalnya, seseorang mungkin mengatakan bahwa Anda sekarang menganggap alamat "[email protected]" belum dewasa, dan meminta mereka untuk menghubungi Anda di "[email protected]" yang jauh lebih terhormat. Atau mungkin mereka dapat mengirim email kepada klien yang menyatakan bahwa detail perbankan Anda telah berubah dan selanjutnya meminta mereka untuk mengirim pembayaran berikutnya ke akun lain.
Memalsukan email sangatlah mudah dan dapat dilakukan dalam waktu sekitar lima menit dengan Telnet. Berdasarkan pengalaman kami, setiap email yang dikirim dengan cara ini memiliki peluang sekitar 20 persen untuk lolos melalui filter spam tingkat pertama Gmail. Kemanjuran pertahanan penyedia lain akan bervariasi.
4. Alamat Email Anda Setengah dari Login Anda
Untuk mendapatkan akses ke banyak dan beragam akun online Anda, dalam banyak kasus penyerang hanya memerlukan dua informasi: alamat email dan kata sandi. Jika mereka sudah memiliki alamat email Anda, itu berarti satu-satunya hal yang perlu mereka ketahui adalah kata sandi Anda.
Saat membuat akun online, ada persyaratan minimum tertentu untuk kekuatan kata sandi. Ini mungkin termasuk panjang minimum, penggunaan huruf besar dan kecil, angka, dan simbol.
Tetapi kata sandi sulit diingat—terutama ketika Anda perlu mengingat kata sandi yang berbeda untuk layanan yang berbeda. Itu paling kata sandi umum yang digunakan saat ini adalah "123456", dengan tempat kedua adalah "123456789", dan ada daftar kata sandi umum yang beredar di web, apalagi web gelap.
Yang perlu dilakukan penyerang hanyalah mencocokkan kata sandi umum dengan alamat email yang sudah diketahui. Meskipun kami tidak menyarankan bahwa kata sandi Anda lemah, ini mungkin bermanfaat memilih kata sandi baru yang kuat untuk melindungi akun Anda.
5. Penyerang Dapat Memalsukan Alamat Email Anda Dengan Unicode
Memalsukan alamat email untuk mengelabui kenalan target cepat dan mudah dilakukan, tetapi memiliki tingkat keberhasilan yang rendah, dan balasan email akan terlihat oleh orang yang menyamar. Jauh lebih baik (dari sudut pandang kriminal) untuk membuat alamat email yang tampak identik, tetapi sebenarnya berbeda. Tidak hanya sedikit berbeda tapi tak terlihat.
Pertimbangkan dua karakter berikut: "а" dan "a". Apakah mereka terlihat berbeda bagi Anda? Salah satunya adalah karakter Cyrillic, "а", yang sama sekali berbeda dengan karakter Latin, "a".
Spoofing Unicode memungkinkan penyerang—atau pihak berkepentingan lainnya—untuk membuat nama domain yang terlihat identik dengan domain yang sah. Menerima email dari "[email protected]" sama sekali berbeda dengan yang diterima dari "david@mаkeuseof.com". Karakter lain yang mudah dipalsukan termasuk, о,, ,, .
Penyerang yang membeli nama domain itu akan dapat mengirim email yang tampaknya berasal dari yang sah sumber, dan untuk itu mereka dapat menerima balasan dan berkorespondensi seolah-olah mereka benar-benar makeuseof.com staf.
Anda seharusnya tidak merasa aman hanya karena alamat email Anda dengan penyedia utama juga. Sementara beberapa domain spoofable yang lebih jelas tidak lagi tersedia, ada banyak domain tingkat atas alternatif untuk dijual.
Ya, email Anda dapat dipalsukan agar berhasil menipu orang, dan penyerang akan menelan biaya kurang dari $10.
Anda tidak dapat menghindari memberikan email Anda sepenuhnya—bagaimanapun juga, itu ada untuk digunakan. Tetapi Anda harus menjaga alamat email utama Anda, yaitu alamat email yang Anda gunakan bersama dengan rekening bank dan PayPal Anda berbeda dari yang Anda gunakan untuk mendaftar dan layanan digital.
Idealnya, Anda harus memiliki alamat email yang berbeda untuk diberikan kepada setiap orang atau organisasi yang Anda hubungi. Ini akan membatasi kerusakan jika alamat email Anda pernah diungkapkan. Jika Anda tidak punya waktu untuk itu, pertimbangkan untuk menggunakan alias.