Pembaca seperti Anda membantu mendukung MUO. Saat Anda melakukan pembelian menggunakan tautan di situs kami, kami dapat memperoleh komisi afiliasi. Baca selengkapnya.

Banyak serangan siber dimulai dengan penyerang mendapatkan akses ke jaringan Anda. Mereka mungkin tidak diterima, tetapi penjahat dunia maya tidak memerlukan izin Anda untuk masuk.

Dengan teknik seperti serangan pencacahan, mereka bisa lolos dari pertahanan Anda. Tanggung jawab ada pada Anda untuk mempersulit mereka, jika bukan tidak mungkin. Apa sebenarnya serangan pencacahan itu? Bagaimana mereka bekerja? Dan bagaimana Anda bisa mencegahnya?

Apa itu Serangan Pencacahan?

Serangan pencacahan adalah teknik peretasan yang digunakan penyerang untuk mendapatkan akses tidak sah ke dalam sistem dengan menebak kredensial masuk pengguna. A bentuk serangan brute force, peretas mencoba berbagai nama pengguna dan kata sandi hingga mendapatkan kombinasi yang benar.

Bagaimana Cara Kerja Serangan Enumerasi?

Sistem rata-rata memiliki autentikasi atau otorisasi bawaan yang harus dijalani pengguna untuk mendapatkan akses. Ini seringkali dalam bentuk jendela masuk untuk pengguna yang sudah ada, jendela pendaftaran untuk pengguna baru untuk mendaftar, dan tab “Lupa Kata Sandi” untuk pengguna lama yang mungkin lupa kata sandinya.

instagram viewer

Peretas memanfaatkan fitur yang disebutkan di atas untuk meluncurkan serangan pencacahan dengan cara berikut.

1. Menebak Nama Pengguna Yang Ada Dengan Brute Force

Tahap pertama serangan pencacahan meminta peretas memasukkan kredensial login apa pun untuk mendapatkan umpan balik dari sistem. Misalnya, katakanlah Nama pengguna A ada di database aplikasi web Anda. Jika penyerang memasukkannya bersama dengan kata sandi, mereka akan mendapat pemberitahuan bahwa kata sandi yang mereka masukkan benar tetapi kata sandinya salah. Dan jika Nama pengguna A tidak ada di basis data Anda, mereka akan mendapat pemberitahuan bahwa nama pengguna atau kata sandi tidak ada.

Penyerang bertujuan untuk mendapatkan nama pengguna yang valid sebanyak mungkin. Untuk setiap username invalid yang mereka dapatkan, mereka mencoba berbagai variasi username dengan brute force.

Karena pengguna web biasanya membuat nama pengguna yang dikenal atau dapat dihubungkan dengan orang lain, dari sekian banyak variasi nama pengguna yang dimasukkan penyerang ke dalam sistem, beberapa akan valid.

2. Memasangkan Nama Pengguna Yang Ada Dengan Kemungkinan Kata Sandi

Menebak nama pengguna dengan benar hanyalah setengah dari pekerjaan. Untuk mengakses sistem Anda, penyerang juga harus memberikan kata sandi yang benar dari nama pengguna. Mereka menggunakan kekerasan untuk menghasilkan beberapa variasi kata sandi, berharap menemukan kecocokan untuk setiap nama pengguna.

3. Menggunakan Credential Stuffing untuk Menemukan Nama Pengguna dan Kata Sandi yang Valid

Penyerang memanfaatkan isian kredensial untuk mengeksekusi serangan pencacahan dengan memanfaatkan pasangan nama pengguna dan kata sandi yang mereka curi dari jaringan lain untuk mengakses jaringan Anda.

Menggunakan nama pengguna dan kata sandi yang sama di lebih dari satu aplikasi web tidak sehat dan dapat membuat Anda terkena banyak peretasan. Jika kredensial masuk Anda jatuh ke tangan yang salah, yang harus mereka lakukan adalah mencobanya di aplikasi web lain yang Anda gunakan.

Meskipun semua kredensial login yang diambil penyerang dari situs web lain mungkin tidak valid, beberapa ternyata valid, terutama karena beberapa orang mengulang nama pengguna dan sandi yang sama.

4. Menggunakan Rekayasa Sosial untuk Mengumpulkan Kredensial Login Lengkap

Peretas yang gigih dapat memanfaatkan rekayasa sosial untuk melakukan serangan pencacahan. Bagaimana? Setelah menggunakan kekerasan untuk mendapatkan nama pengguna yang valid pada aplikasi web, jika upaya lain untuk mendapatkan kata sandi yang benar untuk nama pengguna tersebut gagal, mereka mungkin resor untuk rekayasa sosial untuk mendapatkan password langsung dari para pengguna.

Dengan nama pengguna yang valid, peretas dapat mengirim pesan jahat kepada pengguna melalui email atau pesan teks, menyamar sebagai operator platform. Mereka bisa mengelabui pengguna untuk memberikan kata sandi mereka sendiri. Pesan semacam itu mungkin tampak sah bagi korban yang tidak menaruh curiga karena penjahat dunia maya sudah memiliki nama pengguna yang benar.

Bagaimana Anda Mencegah Serangan Enumerasi?

Serangan pencacahan berkembang pesat pada respons yang mereka terima dari aplikasi web saat pengguna mencoba masuk. Jika Anda mengeluarkan informasi itu dari persamaan, mereka lebih sulit dieksekusi karena penjahat dunia maya hanya memiliki sedikit atau tidak ada informasi untuk dikerjakan. Jadi, bagaimana Anda bisa mencegah serangan ini atau mengurangi kemunculannya seminimal mungkin?

1. Cegah Umpan Balik Masuk Dengan Otentikasi Multi-Faktor

Yang perlu dilakukan penyerang untuk mengetahui validitas nama pengguna pada aplikasi web adalah memasukkan hampir semua nama pengguna, dan server akan memberi mereka informasi yang mereka butuhkan. Anda dapat mencegah mereka mendapatkan informasi itu dengan mudah menerapkan otentikasi multi-faktor.

Saat pengguna, atau penyerang dalam hal ini, memasukkan kredensial login mereka untuk mengakses aplikasi Anda, minta mereka memverifikasi identitasnya dengan berbagai cara seperti menyediakan One-Time Password (OTP), kode email, atau menggunakan aplikasi autentikasi.

2. Kurangi Upaya Masuk Dengan CAPTCHA

Penjahat dunia maya memiliki kebebasan untuk meluncurkan serangan pencacahan ketika mereka memiliki upaya masuk yang tidak terbatas. Jarang bagi mereka untuk menebak pasangan nama pengguna dan kata sandi yang benar hanya dengan beberapa upaya login.

Terapkan CAPTCHA untuk memperlambat mereka dan menggagalkan upaya mereka. Karena mereka tidak dapat mengabaikan CAPTCHA secara otomatis, kemungkinan besar mereka akan merasa frustrasi saat memverifikasi bahwa mereka adalah manusia setelah beberapa kali mencoba.

3. Mengadopsi Pembatasan Tarif untuk Memblokir Banyak Login

Aktor pencacahan berkembang pesat pada beberapa upaya login yang tersedia di aplikasi web. Mereka bisa menebak username dan password sepanjang hari sampai mereka menemukan kecocokan.

Jika Anda memiliki batas kecepatan di jaringan Anda, mereka hanya dapat mencoba masuk beberapa kali. Jika mereka tidak berhasil dalam upaya tersebut, jaringan Anda akan memblokir alamat IP atau nama pengguna mereka.

Kelemahan dari pembatasan tarif adalah hal itu memengaruhi pengguna yang sah yang mungkin benar-benar tidak mengingat kredensial login mereka. Anda dapat mengurangi ini dengan memberikan alternatif bagi pengguna tersebut untuk mendapatkan kembali akses.

4. Instal Firewall Aplikasi Web

Firewall aplikasi web adalah alat yang memblokir beberapa upaya login dari alamat IP berbahaya atau mencurigakan. Ini bekerja dengan serangkaian standar keamanan untuk memeriksa lalu lintas ke server jaringan Anda, memenuhi persyaratan keamanan HTTPS dan SSL yang diuraikan.

Dengan adanya firewall aplikasi web, aktor pencacahan tidak memiliki banyak waktu untuk meretas sistem Anda.

Amankan Kredensial Login Anda untuk Mencegah Serangan Enumerasi

Serangan pencacahan menimbulkan kekhawatiran tentang akses jaringan dan kegunaan. Anda ingin pengguna jaringan Anda dapat memperoleh akses tanpa kesulitan. Namun dalam melakukannya, Anda harus mengambil tindakan yang tidak akan membuat jaringan Anda terkena ancaman dan serangan dunia maya.

Jangan menembak diri sendiri dengan membantu aktor dunia maya dengan kredensial login jaringan Anda. Buatlah kewajiban untuk menyembunyikan informasi tersebut sebanyak yang Anda bisa. Jika mereka tidak mengetahuinya, mereka akan berada dalam kegelapan di mana mereka seharusnya berada.