Hacks Teknik Sosial dan Akun Tertaut: Bagaimana Melindungi Terhadap Pencurian Identitas

Di zaman sekarang ini, Internet memiliki kaitan erat dengan sebagian besar aspek kehidupan dan identitas kita. Hampir semua orang memiliki profil Facebook, serta kemungkinan akun Twitter, halaman LinkedIn, akun pengecekan online, akun dengan pengecer online, dan mungkin banyak profil lama di situs lain yang hanya mengumpulkan debu virtual. Sebagian besar dari kita telah mempercayai Internet dengan informasi kami. Kami merasa yakin bahwa perusahaan global yang canggih seperti PayPal, Facebook, Amazon, dan semua nama besar lainnya tidak akan membiarkan informasi kami terbuka untuk diretas. Tetapi kemampuan otak kolektif para peretas di seluruh dunia sedang diarahkan untuk menemukan cara-cara baru dan inovatif untuk melanggar sistem perusahaan tersebut.

Sudah dikatakan sebelumnya, tetapi saya akan mengatakannya lagi: keamanan hanya sekuat tautan terlemah Anda. Persisnya seberapa lemah rantai yang mengarah ke informasi pribadi Anda? Ada banyak kerentanan untuk diperhitungkan dalam keberadaan online Anda: beberapa yang mungkin Anda sadari dan orang lain yang belum pernah Anda pikirkan. Perlindungan dan pencegahan adalah kunci dalam proses keamanan online Anda - jauh lebih mudah untuk mencegah peretasan daripada memperbaiki kerusakan setelah terjadi.

Apa itu rekayasa sosial?

Dalam konteks ini, rekayasa sosial adalah metode yang digunakan untuk memanipulasi orang agar membocorkan informasi pribadi. Sebuah artikel baru-baru ini dari Wired Mat Honan memerinci bagaimana dia menjadi korban hack rekayasa sosial yang membuat kehidupan digitalnya runtuh. Kerentanan di Amazon dan protokol keamanan Apple memungkinkan peretas untuk mendapatkan akses ke serangkaian akun penulis. Peretas itu dapat masuk ke akun Amazon-nya, yang memberikan alamat penagihan serta empat digit terakhir nomor kartu kredit. Informasi ini adalah semua yang diperlukan untuk meyakinkan Apple bahwa peretasnya adalah Honan, dan karena itu mengizinkannya untuk mereset kata sandi ID Apple. Dari sana, peretas mendapatkan akses ke akun email Apple-nya, yang kemudian mengarah ke akun Gmail-nya, yang merupakan pusat informasi online lebih banyak lagi. Ini adalah rekayasa sosial di tempat kerja. Bagaimana para peretas mengetahui bahwa Mr. Honan memiliki akun Amazon tidak sepenuhnya jelas, tetapi rantai kejadian yang memberi mereka informasi yang baik tentang kerentanannya patut dicatat:

“Setelah menemukan akun [Twitter] saya, peretas melakukan penelitian latar belakang. Akun Twitter saya yang tertaut ke situs web pribadi saya, di mana mereka menemukan alamat Gmail saya. Menebak bahwa ini adalah alamat surel yang saya gunakan untuk Twitter, Phobia [peretas] pergi ke halaman pemulihan akun Google. Dia bahkan tidak harus benar-benar mencoba pemulihan. Ini hanya misi pengintaian. Karena saya tidak mengaktifkan otentikasi dua faktor Google, ketika Phobia memasukkan alamat Gmail saya, dia dapat melihat email alternatif yang saya siapkan untuk pemulihan akun. Google secara parsial mengaburkan informasi itu, membintangi banyak karakter, tetapi ada cukup banyak karakter yang tersedia, màññ[email protected]. Jackpot."

Pikirkan dua kali tentang akun yang terhubung

String kehidupan digital Anda dimulai dan berakhir di suatu tempat, dan jika kerentanan mudah ditemukan, itu akan dieksploitasi. Amazon sejak mengklaim bahwa mereka telah mengubah prosedur keamanannya sehingga jenis eksploitasi ini tidak mungkin lagi (namun, setelah membaca cerita Wired, sejak itu saya telah menghapus semua informasi saya dari Amazon dan akan memasukkannya secara manual setiap saat dari sekarang. Tidak ada yang namanya terlalu berhati-hati). Apple, di sisi lain, belum mengatakan bahwa mereka telah mengubah kebijakan keamanan apa pun - Apple hanya mengatakan langkah-langkah keamanannya tidak sepenuhnya diikuti. Ada banyak perusahaan lain yang rentan terhadap taktik rekayasa sosial, dan akun Anda yang terhubung memberi tahu mereka dari mana harus memulai. Terkadang eksploitasi yang paling mudah adalah akun Facebook Anda.

Jejak digital yang mengarah kembali ke kehidupan non-digital Anda

Dengan asumsi bahwa profil Facebook Anda bersifat publik, atau bahwa Anda menerima permintaan pertemanan dari orang yang sebenarnya tidak Anda kenal, apakah profil Anda menyertakan ulang tahun lengkap Anda? Alamat email pribadi Anda, alamat rumah dan nomor telepon? Apakah Anda memiliki gambar hewan peliharaan keluarga tua di mana Anda menamai mereka, atau apakah Anda berteman dengan ibu Anda, yang masih menggunakan nama gadisnya? Apakah ada foto Anda dari kelas satu yang menampilkan nama sekolah, Anda dengan pacar pertama Anda, atau BFF Anda?

Ya, dan mengapa saya menanyakan semua pertanyaan pribadi ini? Nah, tanggal lahir dan alamat Anda dapat memberi saya cukup informasi untuk mulai meniru identitas Anda di perusahaan lain atau secara online. Dalam beberapa kasus saya mungkin memerlukan empat digit terakhir dari nomor jaminan sosial Anda, tetapi itu bukan halangan yang Anda pikirkan. Jadi, mengapa hewan peliharaan keluarga pertama Anda, nama gadis ibu Anda, sekolah dasar pertama Anda, pacar pertama, atau nama teman terbaik Anda penting? Semua itu adalah jawaban atas pertanyaan keamanan untuk proses pemulihan akun. Jika - tidak Anda ketahui - saya telah meretas email Anda, tetapi target sebenarnya adalah rekening bank Anda, sekarang saya memiliki jawaban atas pertanyaan keamanan Anda dan saya akan dapat mengubah kata sandi di rekening bank Anda untuk mendapatkan akses.Untuk ukuran yang baik, saya mungkin juga akan mengubah kata sandi di email Anda, atau jika saya selesai mengeksploitasinya, saya dapat menghapus akun sepenuhnya. Tentu saja, ada banyak faktor untuk membuat situasi ini ideal, dan ada metode lain yang dapat digunakan untuk mengambil alih identitas Anda.

Jika Anda memiliki kata sandi yang lemah seperti "bucketKid", sebagai contoh yang benar-benar acak, serangan brute force pada akun Anda akan memakan waktu sekitar delapan hari untuk memecahkan kata sandi Anda (lebih lanjut tentang bagaimana saya tahu itu di bagian Rekomendasi). Cukup menambahkan nomor untuk membuatnya "bucketKid7" menambahkan enam tahun ke waktu yang dibutuhkan hacker untuk memecahkannya.

Mungkin juga informasi Anda mungkin terekspos sebagai kerusakan tambahan dalam peretasan perusahaan lain. Jika Anda menggunakan kata sandi yang sama di beberapa situs, salah satunya termasuk email Anda, inilah saatnya bagi Anda untuk mengubah semua kata sandi Anda dan menyelidiki seberapa jauh kerusakan itu mungkin akan keluar. Sekarang, Anda memiliki skenario terburuk dalam pikiran Anda, mari kita lanjutkan bagaimana Anda dapat benar-benar melindungi diri Anda sendiri.

Rekomendasi situs kami

Jangan pernah menggunakan kata sandi yang sama dua kali! Saya tahu Anda pernah mendengarnya jutaan kali sebelumnya, dan Anda mungkin berpikir tidak praktis untuk memiliki lusinan kata sandi unik di banyak situs. Nah, ada dua hal yang dapat Anda lakukan untuk membuatnya praktis:

Yang pertama adalah Anda dapat menggunakan program untuk membantu Anda membuat dan menyimpan kata sandi unik untuk semua situs Anda. 1Password adalah salah satu program semacam itu - ketika masuk ke salah satu profil online Anda, Anda cukup memilih login yang Anda butuhkan dan 1Password akan menyediakan kata sandi dan memberi Anda akses. Namun, mungkin Anda tidak ingin semua kata sandi disimpan dalam satu basis data - itu adalah masalah yang valid.

Pilihan selanjutnya adalah membuat serangkaian kata sandi terkait. Satu kata sandi dapat berupa “Treez4Eva” “Trees4eVer” berikutnya dan seterusnya. Mengingat situs mana yang menggunakan versi mana yang bisa sedikit rumit, tetapi itu bisa dilakukan dan pasti patut dicoba. Ingat bahwa Anda selalu dapat memulihkan kata sandi yang Anda lupakan. Ini mungkin memakan waktu, tetapi jangan biarkan kata sandi menghentikan Anda untuk membuat yang unik dan aman.

Sekarang ke kata sandi itu sendiri: Anda dapat menggunakan Seberapa Aman Kata Sandi saya sebagai referensi praktis untuk mengukur seberapa aman Anda sebenarnya. Selalu gunakan kombinasi alfanumerik bersama huruf besar dan karakter khusus. Jika situs memungkinkan, gunakan spasi juga. "BucketKid" jauh lebih aman ketika itu "bu (k3t K! 4 15 r3a!" Kata sandi itu akan membutuhkan waktu 3 quintillion tahun untuk dipecahkan, menurut Seberapa Aman Kata Sandi Saya, yang bertahun-tahun kedengarannya palsu. berpikir akan membutuhkan waktu bertahun-tahun untuk mengingat kata sandi seperti itu - tetapi pikirkan tentang bagaimana Anda dapat menggunakan trik memori untuk mempermudah proses. Contoh di atas berbunyi: "anak ember itu nyata", yang harus Anda ingat adalah huruf-huruf mana Anda telah menggunakan huruf besar dan bagaimana Anda mengganti huruf dengan angka atau karakter khusus. Jika Anda masih ingin menggunakan kata sandi yang sama di banyak situs, gunakan kata kunci Anda yang paling kuat, seperti contoh di atas, untuk situs yang sering Anda gunakan seperti email. kata sandi seperti “anak laki-laki payung 15 palsu” untuk situs lain yang jarang Anda gunakan atau rasakan tidak aman.

Selalu gunakan verifikasi dua langkah untuk situs apa pun yang mendukungnya. Ingat akun penulis Wired tentang bagaimana dia diretas karena dia tidak menggunakan verifikasi dua langkah? Jangan membuat kesalahan yang sama. Google mendukungnya, seperti halnya Yahoo dan Facebook. Verifikasi dua langkah berarti bahwa ketika Anda masuk ke akun Anda dari komputer atau alamat IP yang tidak dikenal, Anda akan diminta memasukkan kode yang dikirimkan ke ponsel Anda. Apa yang hebat tentang ini juga adalah itu juga berfungsi sebagai sistem alarm untuk akun Anda. Jika seseorang mencoba mengakses email Anda, dan Anda tiba-tiba mendapat teks yang memberi Anda kode login, Anda tahu bahwa ini saatnya untuk membungkam penetasan.

Terakhir, jika Anda memiliki kekhawatiran tentang keamanan online Anda, periksa Haruskah Saya Mengubah Kata Sandi Saya. Situs ini memungkinkan Anda memasukkan alamat email Anda dan melihat apakah alamat tersebut muncul di daftar apa pun yang diretas oleh peretas setelah meretas situs. Mereka baru saja menambahkan fitur baru tempat Anda dapat menyimpan alamat email Anda dengan mereka dan mereka akan mencontohnya dengan serangan apa pun di masa mendatang.

Ini semua mungkin tampak seperti pergi dari ujung yang dalam dan terlalu paranoid untuk Anda, tetapi menjadi paranoid di Internet terkadang dapat membuat Anda tetap aman. Ada banyak tindakan lain yang harus Anda ambil untuk melindungi diri sendiri, seperti: mengenkripsi hard drive Anda, membuat alamat email dan nama yang dapat dibuang untuk situs yang tidak Anda percayai atau rasa tidak memiliki keamanan dan mengubah kata sandi setiap beberapa bulan. Panduan ini harus diambil sebagai titik lompatan untuk membuat Anda lebih aman, dan jika semua yang Anda lakukan adalah membuat satu kata sandi yang kuat dan mendaftarkan email Anda dengan database Haruskah Saya Mengubah Kata Sandi saya maka itu setidaknya merupakan langkah pertama yang baik untuk melindungi diri Anda sendiri. dari pencurian identitas di Internet.

Rekomendasi Ahli

Ryan Disraeli, VP Layanan Penipuan di TeleSign:

“Rata-rata orang secara mengejutkan sangat dapat diretas, tetapi kenyataannya adalah bahwa peretas akan terlihat menyerang sasaran yang paling mudah. Ini tidak berbeda dengan offline. Akankah seorang pencuri merampok rumah dengan penjaga keamanan 24/7 atau rumah yang selalu membiarkan pintu depan tidak terkunci? Kenyataannya adalah bahwa pencuri yang baik masih bisa merampok rumah dengan keamanan yang luar biasa tetapi akan lebih memilih untuk mengejar korban yang lebih mudah.Sama seperti Anda akan mengambil tindakan pencegahan untuk melindungi properti pribadi Anda, individu harus mencari untuk menambahkan beberapa lapis pencegahan untuk mengamankan identitas online mereka. ”

Dodi Glenn, Manajer produk VIPRE Antivirus dari GFI Software:

“Perlakukan ponsel pintar Anda seperti komputer. Jika Anda melakukan transaksi keuangan apa pun di ponsel Anda, "praktik terbaik" keamanan yang sama akan berlaku seperti pada komputer."

Shuman Ghosemajumder, Wakil Presiden Strategi di Shape Security:

“Perhatikan bagaimana Anda mengakses situs web. Bagian dari memastikan Anda mempercayai situs adalah memverifikasi bahwa organisasi di belakang situs web memiliki reputasi baik. Bagian lain adalah memastikan Anda mempercayai koneksi Anda ke situs web itu. Anda harus memastikan bahwa URL benar, bahwa Anda menavigasi ke situ secara langsung, dan tidak mengeklik tautan dari email yang tidak diminta, IM, atau munculan. Jika Anda bisa, hanya gunakan perangkat dan koneksi Anda sendiri. Anda harus menghindari koneksi WiFi publik dan berbagi komputer umum jika Anda bisa, karena mudah bagi penyerang untuk mengendus lalu lintas jaringan atau memasang keyloggers untuk mengambil kata sandi. Jika Anda harus menggunakan koneksi WiFi publik, pastikan Anda tidak mengirimkan info masuk atau informasi pribadi apa pun ke situs yang tidak menggunakan koneksi HTTPS. ”