Anda membagikan detail tentang identitas Anda setiap kali Anda membuat akun secara online. Bagaimana Anda dapat melindungi informasi ini?
Anda membuat akun setiap kali mendaftar di situs web, jejaring sosial, atau aplikasi. Sebagai pengguna internet aktif, Anda pasti pernah membuat beberapa akun yang beberapa di antaranya sudah Anda lupakan.
Banyak platform tidak menghapus akun pengguna. Ini berarti informasi pribadi Anda masih ada di platform meskipun Anda sudah lama tidak menggunakannya. Membuat banyak akun online memungkinkan penjahat dunia maya mengambil informasi pribadi Anda melalui serangan berbasis identitas. Bagaimana tepatnya mereka melakukan serangan ini, dan apa yang dapat Anda lakukan untuk menghentikannya?
Apa itu Serangan Berbasis Identitas?
Serangan berbasis identitas terjadi ketika penjahat dunia maya menargetkan sistem komputer, jaringan, atau akun Anda untuk mengambil informasi pribadi Anda untuk aktivitas ilegal atau berbahaya. Juga dikenal sebagai serangan peniruan identitas, pelaku ancaman memanfaatkannya untuk mengumpulkan data sensitif, mencuri uang, dan merusak reputasi target.
5 Jenis Serangan Berbasis Identitas dan Cara Kerjanya
Penjahat dunia maya menggunakan strategi berikut untuk melanggengkan serangan berbasis identitas.
1. Pengelabuan
Phishing adalah saat penyusup menghubungi Anda melalui email, pesan teks, atau pesan instan di media sosial untuk mendapatkan informasi berharga dengan menyamar sebagai orang atau institusi yang sah. Informasi yang mereka inginkan dapat berupa detail perbankan dan kartu kredit, kata sandi akun, dan informasi pengenal pribadi lainnya.
Ada peringatan umum untuk mengidentifikasi upaya phishing. Olahpesan biasanya memiliki rasa urgensi bagi Anda untuk segera mengirim informasi, berisi hyperlink yang mereka ingin Anda klik, atau memiliki dokumen yang dilampirkan ke email yang mereka ingin Anda buka. Ada juga trik lama dalam membuat penawaran yang terlalu bagus untuk menjadi kenyataan.
2. Isian Kredensial
Isian kredensial adalah mengumpulkan data dari satu platform dan mencobanya di platform lain untuk melihat apakah itu akan valid. Misalnya, penyerang mengambil atau membeli satu set data termasuk nama pengguna dan kata sandi yang valid di Facebook dan mencoba kredensial login di Twitter. Mereka akan berhasil jika korban menggunakan kredensial login yang sama di kedua platform.
Penelitian menunjukkan bahwa isian kredensial memiliki tingkat keberhasilan yang rendah, tetapi bergantung pada konteks. Volume data yang diperoleh penyerang untuk isian kredensial mencapai jutaan dan miliaran nama pengguna. Bahkan dengan tingkat keberhasilan 0,1, mereka akan mencatat keberhasilan nyata. Akun Anda dapat menjadi salah satu entri yang valid.
3. Serangan Man-in-the-Middle
Menguping adalah cara yang efektif untuk mendapatkan informasi pribadi orang tanpa persetujuan mereka. Inilah yang terjadi dengan serangan Man-in-the-Middle. Penjahat dunia maya secara strategis memposisikan diri mereka di antara saluran komunikasi Anda. Saat Anda mengirim data pribadi dari satu aplikasi ke aplikasi lainnya, mereka mencegatnya.
Man-in-the-Middle efektif untuk serangan berbasis identitas karena ketidaktahuan korban terhadap perangkat pencegat. Pelaku ancaman dapat mengganti data dalam perjalanan dengan pesan berbahaya. Penerima mendapatkan pesan penyerang dan menindaklanjutinya, mengira itu dari pengirim asli.
4. Penyemprotan Kata Sandi
Jika Anda lupa kata sandi dan memasukkan beberapa kata sandi yang salah beberapa kali, Anda mungkin diblokir di platform untuk sementara. Dan itu karena sistem mencurigai adanya kecurangan. Penjahat dunia maya menggunakan penyemprotan kata sandi untuk menghindari pemblokiran saat mencoba meretas akun. Mereka memasangkan kata sandi umum dengan beberapa nama pengguna di jaringan yang sama. Sistem tidak akan mencurigai adanya pelanggaran karena akan terlihat seperti banyak pengguna yang gagal masuk.
Pelaku ancaman memiliki kepercayaan tinggi terhadap password spraying karena orang-orang menggunakan kata dan frasa umum sebagai kata sandi mereka. Dari ratusan nama pengguna, tidak mengherankan jika beberapa orang memiliki kata yang sama sebagai kata sandinya.
5. Pass-the-Hash
Serangan pass-the-hash adalah proses di mana penyerang membajak cetak biru kata sandi Anda. Mereka tidak perlu mengetahui atau mendapatkan teks biasa kata sandi Anda tetapi salinan "hash" yang terdiri dari karakter acak.
Peretas dapat mengambil kata sandi hash dengan memanipulasi protokol New Technology LAN Manager (NTLM). Hash kata sandi sama bagusnya dengan kata sandi itu sendiri. Kecuali Anda mengubah kata sandi, hash tetap sama. Penyerang dapat menggunakannya untuk mengakses sistem Anda dan mengambil informasi pribadi Anda dalam serangan berbasis identitas.
Bagaimana Cara Mencegah Serangan Berbasis Identitas?
Mencegah serangan berbasis identitas adalah tentang menjaga informasi pribadi Anda jauh dari penyusup yang mencarinya. Berikut adalah beberapa cara untuk melakukannya.
1. Nonaktifkan Akun Dormant
Ini bukan praktik umum untuk mengawasi semua sistem online tempat Anda mendaftar. Biasanya untuk melanjutkan saat Anda tidak membutuhkan akun lagi tanpa menghapusnya. Namun tanpa Anda ketahui, akun yang ditinggalkan adalah jalan bagi vektor ancaman untuk mengakses data Anda. Menghapus akun Anda yang tidak aktif membantu Anda meminimalkan paparan data pribadi.
Membuat spreadsheet dari semua akun Anda adalah cara yang baik untuk melacaknya. Anda dapat memeriksa pengelola kata sandi penyedia email Anda untuk melihat semua akun Anda dan kata sandinya. Nonaktifkan akun yang sudah bertahun-tahun tidak Anda gunakan.
2. Mengadopsi Otentikasi Multi-Faktor
Otentikasi Multi-Faktor membuat pengguna mencoba mengakses sistem Anda melalui beberapa verifikasi. Artinya, peretas yang mendapatkan nama pengguna dan kata sandi Anda yang valid tidak cukup untuk mengakses akun Anda. Mereka perlu memverifikasi identitas mereka melalui alamat email, nomor telepon, atau perangkat Anda.
Otentikasi multi-faktor adalah pertahanan yang kuat terhadap serangan berbasis identitas karena penyusup perlu memiliki akses ke beberapa akun atau perangkat Anda untuk lolos verifikasi. Meskipun ada beberapa kerentanan otentikasi multi-faktor yang dapat dieksploitasi oleh peretas, umumnya aman dan sulit dikalahkan.
3. Terapkan Kontrol Akses Hak Istimewa Terkecil
Menggunakan sistem autentikasi untuk memvalidasi pengguna di titik masuk tidak berarti semua orang yang lulus pemeriksaan tidak berbahaya. Hak istimewa terkecil adalah prinsip kontrol akses yang memungkinkan Anda memperlakukan semua lalu lintas dan pengguna ke jaringan Anda sebagai tersangka. Alih-alih membuka semua area untuk sembarang orang, batasi akses mereka ke hal-hal yang menjadi perhatian mereka.
Jaga kerahasiaan data pribadi Anda dari pengguna lain termasuk personel keamanan siber yang melakukan pemeliharaan dan perbaikan sistem. Jika Anda harus memberi mereka akses, pantau aktivitas mereka dan minta pertanggungjawaban mereka atas perilaku mencurigakan apa pun.
4. Tingkatkan Budaya Kata Sandi
Banyak serangan berbasis identitas sangat bergantung pada kata sandi agar berhasil. Jika Anda dapat mengamankan kata sandi Anda, Anda berada di luar radar perpetuates. Kata sandi Anda bisa apa saja tetapi tidak mudah ditebak. Hindari kata-kata umum dan angka yang berafiliasi dengan Anda.
Agar lebih aman, pilih frasa daripada kata sebagai kata sandi Anda. Lebih penting lagi, jangan gunakan satu kata sandi di lebih dari satu akun. Membuat kata sandi unik untuk banyak akun bisa jadi sulit untuk diingat. Anda bisa melewati rintangan ini menggunakan pengelola kata sandi yang aman.
5. Menumbuhkan Kesadaran Keamanan Siber
Salah satu pertahanan keamanan siber terbesar yang dapat Anda bangun adalah memperoleh pemahaman dan keahlian.. Bahkan jika Anda menerapkan alat keamanan tercanggih, Anda tidak akan mendapatkan hasil maksimal tanpa mengetahui cara menggunakannya.
Biasakan diri Anda dengan teknik serangan siber, cara kerjanya, dan cara mencegahnya. Misalnya, jika Anda terbiasa dengan phishing, Anda akan berpikir dua kali sebelum mengklik atau membuka tautan dan lampiran yang aneh. Tidak menggunakan kata sandi yang sama di banyak akun juga menyelamatkan Anda dari isian kredensial.
Serangan berbasis identitas dimulai dari Anda. Pelaku ancaman tidak dapat menargetkan Anda dengan cara ini jika mereka tidak memiliki informasi pribadi Anda. Mereka memiliki pengaruh atas Anda saat mereka mendapatkan informasi pribadi Anda.
Memperhatikan jejak digital Anda membantu Anda mengontrol apa yang dapat mereka akses tentang Anda. Mereka tidak dapat mengambil apa yang tidak tersedia.