Apa itu Hack?

Sebelum menjawab pertanyaan Anda, maka sebaiknya kita pahami terlebih dahulu pengertian dari hack.

Hack jika diartikan ke dalam Bahasa Indonesia berarti meretas. Menurut KBBI, meretas adalah menggunakan komputer, atau perangkat teknologi lainnya untuk mengakses data milik orang atau organisasi lain secara tidak sah.

Hacking menurut Black’s Law Dictionary adalah tindakan untuk diam-diam membobol komputer, jaringan, server, atau database orang atau organisasi lain. Sedangkan menurut Oxford Dictionary of Law, hacking adalah mendapatkan akses tidak sah ke suatu sistem komputer. Sedangkan hacker adalah orang yang melakukan tindakan hacking tersebut. 

Hacking merupakan salah satu contoh kasus cybercrime atau kejahatan siber. Cybercrime sendiri merupakan kejahatan berbasis komputer yang melibatkan jaringan atau networking. Menurut DebaratiHalder dan K. Jaishankar, cybercrime merupakan kejahatan yang dilakukan terhadap perorangan atau sekelompok individu dengan motif kriminal, dengan intensi untuk sengaja merusak reputasi korban atau menyebabkan kerugian fisik, mental, dan kerugian kepada korban baik secara langsung maupun tidak langsung, menggunakan jaringan telekomunikasi modern seperti internet (chat room, email, notice boards) dan telepon genggam (SMS/MMS).

Ciri-ciri Akun Instagram ke-hack

Untuk meretas atau meng-hack akun Instagram, peretas atau hacker biasanya menggunakan aplikasi hack akun Instagram tertentu secara ilegal. Adapun ciri-ciri akun Instagram Anda diretas yaitu:

1. ada kemungkinan Anda tidak dapat melakukan log-in atau masuk ke akun Instagram Anda. Artinya, hal ini dapat menjadi bukti ada yang mengubah password atau email yang didaftarkan untuk meretas Instagram;
2. jika akun Instagram Anda mengunggah hal yang tidak pernah Anda unggah sebelumnya, maka akun tersebut di-hack oleh pihak tak bertanggung jawab;
3. Instagram akan mengirimkan notifikasi berisi peringatan melalui email, jika terjadi aktivitas log-in atau unggahan tidak wajar dari akun Anda;
4. jika akun Anda di-hack, maka ada kemungkinan perubahan data seperti foto profil, bio, dan username Instagram yang berubah.

Cara Memulihkan Akun Instagram Yang Di-hack Orang

Jika akun Instagram di-hack, berikut adalah cara untuk memulihkan akun Anda yang diretas:

1. periksa akun email Anda untuk melihat pesan dari Instagram;
2. kirim permintaan tautan masuk dari Instagram, kemudian pilih opsi “get help logging in” atau “forgotten password”;
3. kirim permintaan kode keamanan atau support dari Instagram;
4. verifikasi identitas Anda;
5. jika Anda berhasil mengakses akun Instagram Anda, maka sebaiknya Anda merubah password dan email

Sanksi Pidana Meng-hack Akun Instagram Orang Lain

Untuk dapat menggunakan layanan Instagram, maka pengguna terlebih dahulu melakukan pendaftaran (sign up) untuk membuat akun dengan nama pengguna/email (username) dan kata sandi (password) yang spesifik.

Penggunaan username dan password dalam layanan Instagram merupakan bentuk sederhana metode pengamanan sistem, yang membatasi akses terhadap akun Instagram agar hanya pemilik akun saja yang dapat mengakses akun tersebut.

Aturan mengenai hack atau peretasan di Indonesia diatur dalam Pasal 30 ayat (3) UU 11/2008 yang berbunyi:

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Berdasarkan pasal tersebut, ada beberapa kata kunci yang penting untuk diketahui. Pertama, sistem elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.

Sedangkan yang dimaksud dengan sistem pengamanan adalah sistem yang membatasi akses komputer atau melarang akses ke dalam komputer dengan berdasarkan kategorisasi atau klasifikasi pengguna beserta tingkatan kewenangan yang ditentukan.

Perbuatan yang memenuhi unsur-unsur ketentuan Pasal 30 ayat (3) UU 11/2008 ini dipidana dengan pidana penjara paling lama delapan tahun dan/atau denda paling banyak Rp800 juta sebagaimana diatur dalam Pasal 46 ayat (3) UU 11/2008.

Berkaitan dengan pertanyaan Anda, jika akun Instagram di-hack dan email diganti, maka penggantian email tersebut memenuhi Pasal 32 ayat (1) UU 11/2008 sebagai berikut:

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.

Perbuatan yang memenuhi unsur-unsur ketentuan Pasal 32 ayat (1) UU 11/2008 ini dipidana dengan pidana penjara paling lama sembilan tahun dan/atau denda paling banyak Rp3 miliar sebagaimana diatur dalam Pasal 48 ayat (2) UU 11/2008.

Prosedur Pelaporan Tindak Pidana

Adapun prosedur untuk menuntut secara pidana terhadap perbuatan akses tanpa hak, secara sederhana dapat dijelaskan sebagai berikut:

1. pemilik akun yang merasa haknya dilanggar atau melalui kuasa hukumnya, datang langsung membuat laporan kejadian kepada penyidik Polri pada unit/bagian cybercrime atau kepada penyidik Pejabat Pegawai Negeri Sipil (“PPNS”) pada Sub Direktorat Penyidikan dan Penindakan, Kementerian Komunikasi dan Informatika. Selanjutnya, penyidik akan melakukan penyelidikan yang dapat dilanjutkan dengan proses penyidikan atas kasus bersangkutan berdasarkan hukum acara pidana dan ketentuan dalam UU ITE;
2. setelah proses penyidikan selesai, maka berkas perkara oleh penyidik akan dilimpahkan kepada penuntut umum untuk dilakukan penuntutan di muka pengadilan. Apabila yang melakukan penyidikan adalah PPNS, maka hasil penyidikannya disampaikan kepada penuntut umum melalui penyidik Polri.

Selain prosedur tersebut, berdasarkan laman Patroli Siber, Anda juga dapat melaporkan tindak pidana siber dengan cara sebagai berikut:

1. siapkan bukti yang cukup seperti tangkapan layar (screenshot), url, foto, video yang akan di laporkan. Data tersebut dapat Anda kumpulkan dalam media penyimpanan seperti flashdisk, hardisk, cd/dvd, dan lainnya;
2. datangi kantor polisi. Anda dianjurkan setidaknya datang ke tingkat Polres untuk tindak pidana siber;
3. menuju ke ruang Sentra Pelayanan Kepolisian Terpadu (“SPKT”) untuk menyampaikan laporan dan bukti ke petugas;
4. petugas akan mengajukan sejumlah pertanyaan yang berhubungan dengan laporan, dan mencetak bukti pelaporan;
5. menunggu pemberitahuan selanjutnya dari polisi.

Kesimpulannya, jika orang lain dengan tanpa hak atau dapat dimaknai tanpa persetujuan pemilik akun, mengakses akun Instagram dengan cara memecahkan/menjebol/meretas kombinasi username dan password akun tersebut yang memungkinkan untuk menerobos sistem pengamanan, merupakan bentuk kejahatan siber yang berdasarkan UU ITE merupakan dapat dikenakan pidana denda hingga pidana penjara.

Berdasarkan UU ITE dan KUHAP, Anda dapat membuat laporan kejadian kepada penyidik Polri pada unit atau bagian cybercrime, atau kepada penyidik PPNS pada Sub Direktorat Penyidikan dan Penindakan, Kementerian Komunikasi dan Informatika.

Perkaya riset hukum Anda dengan analisis hukum terbaru dwi bahasa, serta koleksi terjemahan peraturan yang terintegrasi dalam Hukumonline Pro.

Demikian penjelasan dari kami tentang hukum hack akun instagram orang lain, semoga bermanfaat.

Sumber: hukumonline.com

Pengertian Peretasan Kata Sandi

Peretasan kata sandi (juga disebut peretasan kata sandi) adalah sebuah vektor serangan yang melibatkan peretas yang mencoba memecahkan atau menentukan kata sandi untuk autentikasi yang tidak sah. Peretasan kata sandi menggunakan berbagai teknik terprogram, langkah manual, dan otomatisasi menggunakan alat khusus untuk membobol kata sandi. Alat peretas kata sandi ini disebut sebagai 'peretas kata sandi'. Semakin banyak alat ini yang memanfaatkan AI untuk meningkatkan kecepatan dan efisiensi peretasan kata sandi. Kata sandi juga dapat dicuri melalui taktik lain, seperti dengan malware pengikis memori, penjelajahan bahu, pembobolan pihak ketiga, dan alat seperti pencuri kata sandi Redline.
Kata sandi bisa merujuk pada rangkaian karakter atau rahasia apa pun yang digunakan untuk mengautentikasi pengguna yang sah ke sebuah sumber daya. Kata sandi biasanya dipasangkan dengan nama pengguna atau mekanisme lain untuk memberikan bukti identitas. Kombinasi ini disebut sebagai kredensial.

Kata sandi yang dikompromikan terlibat dalam sebagian besar pelanggaran saat ini. Faktanya, Laporan Ancaman Cakrawala 2023 Google Cloud menemukan bahwa 86% pelanggaran memanfaatkan kredensial yang dicuri. Dan, menurut IBM X-Force Threat Intelligence Index 2024, terdapat peningkatan 71% dari tahun ke tahun dalam volume serangan yang menggunakan kredensial yang valid. Hal ini mencerminkan tren penyerang yang beralih ke serangan berbasis identitas daripada eksploitasi kerentanan tradisional karena permukaan serangan identitas telah berlipat ganda dan tumbuh dengan lompatan dalam kompleksitas.
Ketika akun yang disusupi memiliki hak istimewa, pelaku ancaman dapat dengan mudah menghindari kontrol keamanan lainnya, melakukan pergerakan lateral, dan mengkompromikan kata sandi lainnya. Inilah sebabnya mengapa kredensial dengan hak istimewa adalah yang paling penting dari semua kredensial yang harus dilindungi. Dengan demikian, hampir semua identitas saat ini akan memiliki jalur menuju hak istimewa melalui berbagai akun SaaS, yang mengaburkan definisi dari apa yang dimaksud dengan identitas istimewa saat ini.
Blog mendalam ini menyoroti kerentanan kata sandi dan risiko yang memberikan keuntungan bagi para penyerang, dan memberikan gambaran umum tentang motif, teknik, alat, dan pertahanan pembobolan kata sandi.

Kata Sandi: Pelajaran Sejarah Singkat

Manusia telah mengandalkan kata sandi sejak masa awal peradaban. "Kata Sandi" adalah sebuah kata yang memungkinkan pengguna untuk melewati pos pemeriksaan keamanan dan sudah ada sejak zaman Kekaisaran Romawi. Tidak seperti sekarang ini, kata sandi akan sama untuk semua orang. Kata sandi bukanlah bukti identitas, tetapi sama saja dengan kontrol akses berbasis peran. Dengan kata lain, kata sandi ini merupakan 'klaim' bahwa Anda memiliki wewenang untuk mengakses sumber daya, tetapi tidak dapat memvalidasi identitas Anda yang sebenarnya. Masalahnya adalah metode ini sepenuhnya bergantung pada mereka yang mengetahui kata sandi untuk merahasiakannya.

Kata sandi telah lama dikenal sebagai kelemahan keamanan identitas, dan kematian kata sandi serta munculnya masa depan tanpa kata sandi telah diprediksi selama beberapa dekade. Namun, jumlah identitas perusahaan terus meningkat, terutama didorong oleh ledakan identitas mesin. Sebuah studi Venafi memperkirakan jumlah identitas mesin mencapai 250.000 per perusahaan, menyusul peningkatan 41% dari tahun ke tahun. Berbagai penelitian lain dalam beberapa tahun terakhir memperkirakan jumlah identitas mesin melebihi jumlah identitas manusia dengan rasio beberapa lusin banding 1.

Meskipun pendekatan tanpa kata sandi mendapatkan momentum, pendekatan ini tetap menjadi ceruk bagi sistem modern, mengalami kesulitan untuk diadaptasi ke teknologi lama, dan sering kali memiliki karakteristik kata sandi itu sendiri. Namun, satu perubahan yang disambut baik adalah, saat ini, kata sandi kecil kemungkinannya untuk digunakan sebagai satu-satunya mekanisme keamanan karena teknologi seperti biometrik dan otentikasi multifaktor (MFA).

Memahami Psikologi Peretasan Kata Sandi

Kredensial yang valid (nama pengguna dan kata sandi) memungkinkan pengguna biasa untuk mengautentikasi sebuah sumber daya. Jika sebuah nama pengguna diketahui oleh pelaku ancaman, mendapatkan kata sandi akun tersebut menjadi sebuah latihan peretasan.
Sering kali, pelaku ancaman pertama-tama akan menargetkan administrator sistem karena kredensial mereka mungkin memiliki hak istimewa untuk mengakses data dan sistem sensitif secara langsung. Kredensial istimewa seperti itu memungkinkan penjahat siber untuk bergerak secara lateral, sambil menimbulkan sedikit atau tanpa kecurigaan, dan bahkan mengkompromikan akun lain untuk mempertahankan kegigihan. Setelah seorang pelaku ancaman telah mengkompromikan kredensial, segala sesuatu yang diistimewakan pada akun itu sekarang menjadi permainan yang adil bagi penyerang.
Kredensial yang dikompromikan untuk akun yang paling sensitif (domain, administrator basis data, dll.) dapat menjadi peristiwa "game over" bagi beberapa perusahaan. Akun-akun tersebut, dan kredensial mereka, merupakan vektor serangan utama untuk serangan eskalasi hak istimewa.

Penyerang Memiliki Keuntungan

Penyerang biasanya memiliki setidaknya dua keuntungan dibandingkan dengan pembela:
1. Waktu di tangan mereka, karena mereka sering mengambil pendekatan menyebar untuk mendapatkan akses versus serangan sekaligus yang dapat memicu beberapa alarm keamanan.
2. Perangkat pembobol kata sandi otomatis, yang semakin didukung oleh pembelajaran mesin (M/L) dan AI, yang akan menjalankan serangan secara mandiri menggunakan teknik untuk menghindari deteksi.
Pembobol kata sandi dapat mencoba kata sandi dengan kecepatan yang lambat dan terukur untuk menghindari pemicuan penguncian akun pada masing-masing akun. Jika peretas kata sandi hanya mencoba satu kata sandi setiap 10 menit per akun, 100.000 kata sandi akan membutuhkan waktu yang lama. Dengan bijaksana, penyerang siber akan mencoba setiap kata sandi pada setiap akun yang mereka ketahui dengan urutan yang mungkin acak (serangan acak). Pendekatan ini efektif karena hanya sedikit sistem yang melacak percobaan kata sandi di seluruh akun. Bahkan ketika Sistem Informasi Keamanan dan Pemantauan Peristiwa (SIEM) atau Analisis Perilaku Pengguna dan Entitas (UEBA) aktif, tindakan defensif yang dilakukan masih terbatas. Anda tidak bisa mengunci semua akun. Memblokir alamat IP sumber akan menghasilkan IP baru yang akan menerima serangan, jika IP tersebut belum terdistribusi ke 100 atau bahkan 1000 alamat IP.

Pertahanan optimal terhadap serangan semacam ini adalah dengan tidak menggunakan kata sandi dalam daftar. Perubahan kata sandi yang sering memicu kemalasan kita, sehingga "kata sandi" menjadi "p@ssw0rd" dan "Kata Sandi!" Setiap pembobol kata sandi menyadari praktik kata sandi yang buruk ini. Mengganti huruf dengan angka dan simbol juga merupakan praktik yang mudah ditebak. Sebagai contoh, 3 untuk E, 4 untuk A dan @ untuk a. Alat pembobol kata sandi mempersiapkan diri untuk variasi yang umum ini.
Penyerang berusaha mempelajari informasi dasar tentang kompleksitas kata sandi, seperti panjang kata sandi minimum dan maksimum, serta kompleksitas kata sandi. Sebagai contoh, apakah kata sandi memiliki huruf besar dan kecil, angka, simbol, atau kombinasi? Penyerang juga tertarik untuk mempelajari pembatasan pada kata sandi. Parameter-parameter ini bisa berupa:

• Termasuk huruf besar
• Tidak dimulai dengan angka atau simbol
• Membutuhkan jumlah minimum jenis karakter atau bahasa tertentu

Dengan membatasi pengulangan karakter, kontrol pembuatan kata sandi ini mengurangi jumlah kombinasi yang harus dipertimbangkan oleh penyerang, dan dengan demikian, melemahkan keefektifan kata sandi. Alat peretasan kata sandi memiliki opsi untuk menentukan pembatasan ini untuk mempercepat proses serangan.
Untuk pengguna perorangan dan akun pribadi, kecil kemungkinan serangan semacam ini berhasil. Serangan pada satu akun kemungkinan besar akan memicu penguncian. Sebuah serangan brute-force dengan kecepatan rendah dapat memakan waktu lama untuk menemukan kombinasi login yang tepat, bahkan untuk kata sandi yang relatif pendek.
Alat peretasan kata sandi ideal untuk menebak kata sandi otomatis pada beberapa akun, tetapi juga mahir dalam menelusuri data untuk mencari tema, frasa, dan informasi yang umum.

Metode Serangan Kata Sandi yang Umum

Pada bagian ini, kita akan melihat teknik-teknik peretasan kata sandi yang umum. Beberapa teknik ini mungkin tumpang tindih dalam hal alat dan metodologi. Penyerang sering kali menggabungkan beberapa taktik yang saling melengkapi untuk meningkatkan peluang keberhasilan mereka.

Serangan Menebak Kata Sandi

Salah satu teknik serangan kata sandi yang paling populer adalah menebak kata sandi.
Sebagian besar sistem saat ini mengampuni manusia karena kita memiliki banyak sekali kata sandi yang harus diingat. Sistem-sistem ini mengizinkan kita untuk melakukan beberapa kesalahan, tanpa mengunci akun kita. Ketika penguncian terjadi, umumnya berlangsung kurang dari 30 menit.

1. Tebakan Acak

Nama pengguna adalah bagian dari kredensial yang tidak berubah, dan juga sangat mudah ditebak, biasanya berbentuk inisial pertama ditambah nama keluarga. Nama pengguna biasanya berupa alamat email, sesuatu yang dikomunikasikan secara luas. Seorang penyerang sekarang sudah memiliki separuh detail yang dibutuhkan untuk masuk ke banyak sistem Anda. Yang kurang hanyalah kata sandi.
Tebakan kata sandi acak jarang berhasil kecuali jika kata sandi itu umum atau berdasarkan kata dalam kamus. Mengetahui informasi tentang identitas target akan meningkatkan kemungkinan berhasilnya tebakan oleh pelaku ancaman. Informasi ini dikumpulkan dari media sosial, interaksi langsung, percakapan yang menipu, atau bahkan data yang dikumpulkan dari pelanggaran sebelumnya.
Varian yang paling umum untuk kata sandi yang rentan ditebak termasuk skema umum ini:

• Kata "kata sandi" atau turunan dasar seperti "p@ssw0rd"
• Turunan dari nama pengguna pemilik akun, termasuk inisial. Ini mungkin termasuk variasi yang tidak kentara, seperti angka dan karakter khusus.
• Ulang tahun yang diformat ulang atau eksplisit untuk pengguna atau kerabat mereka, biasanya, keturunan atau tanggal khusus lainnya
• Tempat atau peristiwa yang berkesan
• Nama kerabat dan turunannya dengan angka atau karakter khusus, ketika disajikan bersama
• Hewan peliharaan, warna, makanan, atau barang penting lainnya bagi individu

Walaupun alat peretas kata sandi otomatis tidak diperlukan untuk serangan menebak kata sandi, alat ini akan meningkatkan tingkat keberhasilan.
Serangan menebak kata sandi cenderung meninggalkan bukti di log peristiwa dan mengakibatkan penguncian otomatis akun setelah "n" kali percobaan. Ketika pemilik akun menggunakan ulang kata sandi di berbagai sumber daya dengan praktik kebersihan kata sandi yang buruk, risiko penebakan kata sandi dan pergerakan lateral meningkat secara dramatis.

2. Serangan Kamus

Serangan kamus adalah teknik otomatis yang menggunakan daftar kata sandi terhadap akun yang valid untuk mengungkapkan kata sandi. Daftar itu sendiri adalah sebuah kamus kata. Pembobol kata sandi dasar menggunakan daftar kata tunggal yang umum, seperti "baseball", untuk membobol kata sandi, meretas akun, dan melancarkan misi jahat pelaku ancaman.
Jika pelaku ancaman mengetahui panjang kata sandi akun yang ditargetkan dan persyaratan kerumitannya, maka kamus kata sandi akan disesuaikan dengan target. Pembobol kata sandi tingkat lanjut sering kali menggunakan kamus dan mencampurkan angka dan simbol untuk meniru kata sandi dunia nyata dengan persyaratan kerumitan.
Alat serangan kamus yang efektif memungkinkan pelaku ancaman:

• Menetapkan persyaratan kerumitan untuk panjang, persyaratan karakter, dan rangkaian karakter
• Menambahkan kata dan kombinasi kata/nama secara manual yang disesuaikan dengan target
• Menargetkan kesalahan eja yang umum pada kata-kata yang sering digunakan yang mungkin memiliki simbol yang diganti atau ditambahkan
• Beroperasi dalam berbagai bahasa

Kelemahan dari serangan kamus adalah bahwa mereka bergantung pada kata-kata yang sebenarnya dan turunannya yang disediakan oleh pengguna kamus default. Jika kata sandi yang sebenarnya adalah fiktif, menggunakan banyak bahasa, atau menggunakan lebih dari satu kata atau frasa, maka seharusnya dapat menggagalkan serangan kamus.
Metode yang paling umum untuk mengurangi ancaman serangan kamus adalah upaya penguncian akun. Setelah "n" kali percobaan yang salah, akun pengguna secara otomatis terkunci untuk jangka waktu tertentu dan, setelah beberapa kali penguncian, membutuhkan campur tangan manusia. Akun harus dibuka secara manual oleh pihak yang berwenang, seperti meja bantuan atau melalui solusi pengaturan ulang kata sandi otomatis. Namun, pengaturan penguncian terkadang dinonaktifkan. Jadi, jika kegagalan log masuk tidak dipantau dalam log peristiwa, serangan kamus merupakan vektor serangan yang efektif bagi aktor ancaman.

3. Brute Force

Serangan kata sandi brute force menggunakan metode terprogram untuk mencoba semua kombinasi yang mungkin untuk sebuah kata sandi. Metode ini efisien untuk kata sandi yang memiliki panjang string (karakter) yang pendek dan rumit. Hal ini bisa menjadi tidak mungkin, bahkan untuk sistem modern tercepat sekalipun, dengan kata sandi yang terdiri dari delapan karakter atau lebih.
Jika kata sandi hanya memiliki karakter abjad, termasuk huruf besar atau huruf kecil, kemungkinan besar dibutuhkan 8.031.810.176 tebakan untuk memecahkannya. Ini mengasumsikan bahwa penyerang mengetahui panjang kata sandi dan persyaratan kerumitannya.

Faktor-faktor lain termasuk angka, sensitivitas huruf besar-kecil, dan karakter khusus dalam bahasa lokal.
Dengan parameter yang tepat yang dimasukkan, serangan brute force akan selalu menemukan kata sandi, pada akhirnya. Daya komputasi yang dibutuhkan dan lamanya waktu yang dibutuhkan sering kali membuat pengujian brute force menjadi tidak berguna pada saat selesai. Waktu yang dibutuhkan untuk melakukan serangan ditentukan oleh waktu yang dibutuhkan untuk menghasilkan semua permutasi kata sandi yang mungkin. Kemudian, waktu respons sistem target diperhitungkan berdasarkan permintaan serial atau multithreaded.
Serangan kata sandi dengan cara kasar cenderung menjadi metode yang paling tidak efisien untuk meretas kata sandi. Dengan demikian, pelaku ancaman menggunakannya sebagai upaya terakhir.

4. Pengisian Kredensial

Credential stuffing adalah teknik peretasan otomatis yang memanfaatkan kredensial yang dicuri. Kredensial ini terdiri dari daftar nama pengguna, alamat email, dan kata sandi. Para penyerang sering kali membeli "daftar kombo" di web gelap yang menyediakan kombo email/kata sandi yang sudah dikemas sebelumnya. Teknik ini umumnya memanfaatkan otomatisasi untuk mengirimkan permintaan login yang ditujukan pada sebuah aplikasi dan untuk menangkap upaya login yang berhasil untuk dieksploitasi di masa depan.

Serangan credential stuffing tidak berusaha untuk melakukan brute force atau menebak kata sandi apa pun. Pelaku ancaman mengotomatiskan autentikasi berdasarkan kredensial yang ditemukan sebelumnya menggunakan alat yang disesuaikan, biasanya dengan kata sandi yang diperoleh dari web gelap dari pelanggaran pihak ketiga sebelumnya. Pendekatan ini dapat memerlukan jutaan percobaan untuk menentukan di mana pengguna berpotensi menggunakan kembali kredensial mereka di situs web atau aplikasi lain.
Serangan pengisian kredensial memangsa penggunaan ulang kata sandi. Serangan ini hanya berhasil karena begitu banyak pengguna yang menggunakan kembali kombinasi kredensial yang sama di beberapa situs tanpa bentuk MFA apa pun.

5. Penyemprotan Kata Sandi

Penyemprotan kata sandi adalah serangan berbasis kredensial yang mencoba mengakses banyak akun dengan menggunakan beberapa kata sandi yang sama. Secara konseptual, ini adalah kebalikan dari serangan kata sandi brute force. Brute force mencoba untuk mendapatkan akses yang sah ke satu akun dengan berulang kali memompa kombinasi kata sandi dalam jumlah besar.
Selama setahun terakhir, serangan kata sandi kembali menjadi terkenal. Midnight Blizzard membobol Microsoft dengan mengkompromikan lingkungan uji coba yang sudah lama tidak diproduksi dengan serangan semprotan kata sandi yang tidak canggih. Cisco dan Okta juga memperingatkan tentang serangan semprotan kata sandi berskala besar yang memanfaatkan berbagai proksi perumahan untuk menghindari deteksi.

Selama serangan semprotan kata sandi, aktor ancaman mencoba satu kata sandi yang umum digunakan (seperti "12345678" atau "Passw0rd") terhadap banyak akun sebelum melanjutkan untuk mencoba kata sandi kedua, sehingga menghindari penguncian akun.
Pelaku ancaman mencoba setiap akun pengguna dalam daftar mereka dengan kata sandi yang sama sebelum mengatur ulang daftar dan mencoba kata sandi berikutnya. Teknik ini meminimalkan risiko terdeteksinya dan terkuncinya satu akun oleh pelaku ancaman karena adanya jeda waktu di antara percobaan.

Dengan kebersihan kata sandi yang buruk oleh satu pengguna atau pada satu akun, pelaku ancaman kemungkinan besar akan berhasil menyusup ke dalam sumber daya. Teknik ini baru-baru ini digunakan dalam serangan Microsoft Midnight Blizzard.

Rekayasa Sosial & Serangan Berbasis Manusia

Serangan rekayasa sosial meliputi variasi email phishing, vishing (panggilan suara), serangan pengaturan ulang kata sandi, dan bahkan ancaman deepfake. Serangan-serangan ini memerlukan pembelajaran sebanyak mungkin tentang target sehingga penjahat siber dapat menebak kata sandi target.
Nama-nama hewan peliharaan, anak-anak, pasangan, alamat, ulang tahun, hobi, teman adalah informasi paling berharga yang tersedia bagi para pelaku ancaman. Faktor film favorit, acara TV, penulis, band, aktor, dan banyak lagi, dan sebagian besar akun media sosial menjadi tambang emas informasi.

1. Phishing & Vishing

Phishing dan vishing (panggilan suara) sering kali dimanfaatkan untuk mengumpulkan informasi untuk serangan lain, serta untuk menanam perangkat lunak berbahaya (melalui lampiran atau tautan) pada titik akhir. Malware ini dapat digunakan untuk mencuri kata sandi.
Email phishing atau vishing juga dapat menjadi bagian dari serangan pengaturan ulang kata sandi yang dipalsukan. Salah satu taktik yang umum dilakukan adalah email phishing memberikan tautan untuk diklik dengan tujuan mengatur ulang kata sandi akun. Para penyerang mungkin mengklaim bahwa hal ini disebabkan oleh potensi pembobolan kata sandi lama. Email tersebut mungkin menampilkan logo dan rupa sebuah pedagang, seperti bank, peritel, atau penyedia layanan. Namun, tautan dalam email tersebut mengarahkan korban ke antarmuka pengaturan ulang kata sandi palsu. Penyerang kemudian mengumpulkan kata sandi yang sah untuk membobol akun korban yang sah. Bagi seorang karyawan, email pengaturan ulang kata sandi palsu bahkan dapat terlihat berasal dari meja bantuan perusahaan itu sendiri, jika dibuat dengan terampil (jenis serangan phishing ini akan memiliki tingkat kesulitan tinggi pada Skala Phishing NIST).
Serangan-serangan ini merupakan pengingat yang konstan tentang mengapa pelatihan pengguna akhir sangat penting. Pengguna harus selalu waspada untuk memastikan permintaan alamat email atau nomor telepon memang sah.

2. Perubahan dan Pengaturan Ulang Kata Sandi Secara Paksa dan Otomatis

Sayangnya, ada risiko umum dalam mengatur ulang kata sandi yang membuat pengaturan ulang kata sandi otomatis menjadi target bagi para pelaku ancaman. Mengatur ulang kata sandi adalah tindakan perubahan kata sandi secara paksa oleh orang lain, seperti dari service desk atau pemilik aplikasi. Perubahan ini tidak diprakarsai oleh pengguna akhir.
Risiko pengaturan ulang kata sandi otomatis Termasuk:

• Pengaturan ulang kata sandi melalui email atau pesan teks dan disimpan oleh pengguna akhir
• Kata sandi yang diatur ulang oleh meja bantuan digunakan kembali setiap kali pengaturan ulang kata sandi diminta
• Pengaturan ulang kata sandi secara membabi buta diberikan karena penguncian akun
• Kata sandi yang disampaikan secara verbal dapat terdengar keras
• Pengaturan ulang kata sandi yang rumit yang ditulis oleh pengguna akhir
• Kata sandi berbasis pola yang dapat diprediksi akan digunakan pengguna saat diatur ulang

Setiap kali kata sandi disetel ulang, ada pengakuan tersirat bahwa kata sandi lama berisiko dan perlu diubah. Mungkin kata sandi tersebut terlupakan, kedaluwarsa, atau memicu penguncian karena beberapa kali gagal. Pengaturan ulang, pengiriman, dan penyimpanan kata sandi baru menimbulkan risiko sampai kata sandi diubah oleh pengguna akhir. Tentu saja, terkadang pengguna akhir lalai untuk mengubah kata sandi sama sekali.
Setelah identitas dibobol, pelaku ancaman bisa meminta pengaturan ulang kata sandi dan membuat kata sandi mereka sendiri untuk akun tersebut.
Praktik terbaik pengaturan ulang kata sandi:

• Kata sandi harus acak dan melebihi persyaratan kompleksitas sesuai kebijakan bisnis.
• Kata sandi harus diubah oleh pengguna akhir setelah login pertama dan memerlukan otentikasi dua faktor atau multi-faktor untuk memvalidasi setiap permintaan berikutnya.
• Permintaan pengaturan ulang kata sandi harus selalu berasal dari lokasi yang aman dan otomatisasi harus dipantau.
• Situs web publik untuk bisnis (bukan pribadi) harus memerlukan verifikasi tambahan untuk tautan 'Lupa Kata Sandi'.
• Pengaturan ulang kata sandi melalui email mengasumsikan bahwa pengguna akhir masih memiliki akses ke email untuk mengakses kata sandi yang baru. Jika kata sandi email itu sendiri membutuhkan pengaturan ulang, metode transmisi lain harus dibuat. Ini biasanya harus melibatkan campur tangan manusia.
• Jangan gunakan pesan teks SMS - pesan teks ini tidak cukup aman untuk mengirimkan informasi pengaturan ulang kata sandi.
• Jika memungkinkan, pengaturan ulang kata sandi harus bersifat sementara-pengaturan ulang kata sandi hanya boleh aktif selama durasi yang telah ditentukan. Jika pengguna akhir tidak mengakses akun lagi dalam jangka waktu yang telah ditentukan, penguncian akun akan terjadi.

Mengubah kata sandi sesering mungkin merupakan praktik keamanan terbaik untuk akun istimewa (bukan akun pribadi atau konsumen). Namun, mengatur ulang kata sandi dan mengirimkannya melalui media yang tidak aman bukanlah praktik keamanan. Bagi individu, pengaturan ulang kata sandi yang sederhana bisa menjadi pembeda antara pelaku ancaman yang memiliki akun Anda dan permintaan kata sandi yang sah.

3. Menguping

Penyadapan kata sandi mengacu pada kata sandi yang didengar secara lisan oleh pelaku ancaman. Penyadapan kata sandi bisa terjadi secara tidak sengaja atau disengaja dan dapat mencakup penyadapan berbasis suara dan digital untuk menangkap pengungkapan yang terdengar.

Mudah-mudahan tidak ada seorang pun dalam bisnis Anda yang meneriakkan kata sandi di seluruh kantor, tetapi beberapa organisasi masih menggunakan panggilan suara ke meja bantuan untuk mengatur ulang kata sandi. Selama panggilan meja bantuan ini, kata sandi yang diperbarui dapat diucapkan kepada pengguna. Sangatlah penting bahwa pengguna diminta untuk mengatur ulang kata sandi pada saat pertama kali masuk, setelah menggunakan kata sandi sementara dari meja bantuan. Langkah ini mengurangi risiko kata sandi, karena penyadap tidak dapat menggunakan kata sandi baru tanpa mengungkapkan aktivitas mereka.

Tentu saja, suara bukanlah satu-satunya cara kita "mengumumkan" kata sandi kita. Berapa banyak dari kita yang menggunakan keyboard Bluetooth yang mentransmisikan penekanan tombol melalui udara? Meskipun kita menganggap remeh keamanan transmisi, ada kemungkinan untuk mengorbankan beberapa jenis komunikasi Bluetooth.

Pada masa-masa awal komputasi, Anda harus terhubung secara fisik ke mesin yang Anda akses. Sistem yang Anda autentikasi juga berjalan secara lokal. Sekarang, kita secara teratur mengautentikasi ke dalam sistem di belahan dunia lain, dan semakin banyak, yang bahkan bukan sistem kita. Kata sandi kita dikirimkan secara elektronik melalui banyak sistem untuk mencapai tujuannya, dan jika tidak ada enkripsi yang tepat dan perlindungan lainnya, mungkin rentan terhadap penyadapan melalui penyadapan atau penangkapan paket nirkabel.

4. Berselancar di Atas Bahu (Shoulder Surfing)

Shoulder surfing memungkinkan pelaku ancaman untuk mendapatkan pengetahuan tentang kredensial melalui pengamatan. Ini termasuk mengamati kata sandi, pin, dan pola gesek saat dimasukkan, atau bahkan pena yang mencoret-coret kata sandi pada catatan tempel.
Konsepnya sederhana. Pelaku ancaman mengamati secara fisik atau menggunakan perangkat elektronik seperti kamera untuk mengumpulkan kata sandi dan menggunakannya untuk serangan. Inilah sebabnya, saat menggunakan ATM, disarankan untuk melindungi entri PIN Anda pada papan tombol. Hal ini mencegah pelaku ancaman terdekat untuk mengetahui PIN Anda.

5. Kata Sandi untuk Pembelian

Meskipun daftar kata sandi, tabel hash, dan tabel pelangi tersedia di web gelap, pengguna terkadang menjual kredensial perusahaan mereka sendiri sebagai bagian dari serangan orang dalam. Faktanya, orang dalam yang nakal dapat menjual kredensial dan mengklaim bahwa kredensial tersebut telah dibobol, memberikan mereka penyangkalan yang masuk akal. Ancaman orang dalam ini sangat mengkhawatirkan terutama bagi pengguna yang memiliki hak istimewa, yang kredensial mereka dapat memberikan akses ke aset perusahaan yang paling sensitif.
Cara yang paling efektif untuk mengatasi risiko kompromi kredensial istimewa adalah dengan menghapus akses langsung dan menerapkan manajemen akses istimewa (PAM ) untuk melindungi akun yang paling sensitif. Semua sesi yang berhubungan dengan akun yang sangat istimewa harus diarahkan melalui sistem yang memfasilitasi akses, tetapi tanpa mengungkapkan kredensial yang sebenarnya.

Serangan Berbasis Hash

Ketika penyerang berhasil mendapatkan akses ke sebuah sistem atau situs web, mereka sering kali ingin mencuri basis data yang berisi nama pengguna dan kata sandi untuk semua orang yang mengakses aplikasi tersebut. Meskipun kredensial tidak dapat dibaca oleh manusia, kredensial tersebut disimpan dalam bentuk hash. Mencuri basis data kata sandi memberikan setidaknya tiga manfaat besar terkait pencurian kata sandi:

1. Penemuan kredensial pengguna yang sangat istimewa yang dapat digunakan untuk berinteraksi dengan sistem atau berkomunikasi dari mesin ke mesin ke sumber daya lain
2. Harta karun kredensial yang kaya, mungkin digunakan di berbagai sistem untuk autentikasi dan otorisasi
3. Basis data dapat diserang secara offline, tanpa memperhatikan kontrol apa pun terkait jumlah atau frekuensi upaya login

Saat ini, sudah tidak lazim menemukan sistem yang tidak menyandikan kata sandi pengguna. Penyerang akan menemukan daftar nilai dan bukan kata sandi teks. Ketika data telah disandikan dan bukan dienkripsi, tidak ada cara untuk mengubah bentuk yang disandikan menjadi nilai aslinya. Satu-satunya kesempatan penyerang adalah untuk membuka sandi dan mencoba untuk membuat versi kata sandi yang disandikan. Ini kemudian dapat dibandingkan dengan daftar yang dicuri. Proses penyandian ini disebut "hashing", dan kata sandi yang disandikan disebut "hash".
Mari kita lihat lebih dekat beberapa jenis serangan berbasis hash yang umum:

1. Serangan Pass-the-Hash

Pass-the-Hash (PtH ) adalah teknik yang memungkinkan penyerang untuk mengautentikasi sumber daya dengan menggunakan hash NT LAN Manager (NTLM) yang mendasari kata sandi pengguna, sebagai pengganti penggunaan kata sandi akun yang sebenarnya yang dapat dibaca oleh manusia. Setelah diperoleh, nama pengguna dan hash yang valid dapat digunakan untuk mengautentikasi ke server atau layanan jarak jauh menggunakan autentikasi LM atau NTLM.
Serangan PtH mengeksploitasi kelemahan implementasi pada protokol autentikasi. Hash kata sandi tetap statis untuk setiap sesi sampai kata sandi itu sendiri berubah. PtH dapat dilakukan terhadap hampir semua server atau layanan yang menerima autentikasi LM atau NTLM, termasuk Windows, Unix, Linux, atau sistem operasi lain.
Malware dapat mengikis memori untuk mencari hash kata sandi, membuat pengguna, aplikasi, layanan, atau proses yang sedang berjalan menjadi target potensial. Setelah diperoleh, ia menggunakan perintah dan kontrol atau otomatisasi lain untuk pergerakan lateral tambahan atau eksfiltrasi data.
Meskipun serangan PtH lebih umum terjadi pada sistem Windows, serangan ini juga dapat mengeksploitasi titik akhir Unix dan Linux. Sistem modern dapat bertahan dari serangan PtH dengan berbagai cara. Namun, mengubah kata sandi sesering mungkin atau menggunakan kata sandi sekali pakai (OTP ) merupakan pertahanan yang baik untuk menjaga hash tetap berbeda di antara sesi. Solusi manajemen kata sandi yang dapat merotasi kata sandi sesering mungkin atau menyesuaikan token keamanan adalah pertahanan yang efektif terhadap teknik ini.

2. Serangan Pass-the-Ticket

Dalam serangan Pass-the-Ticket, aktor ancaman mencuri tiket pemberian tiket Kerberos (TGT) untuk menyamar sebagai pengguna di jaringan. Jika berhasil, metode serangan ini memintas mekanisme autentikasi, memberikan penyerang akses yang tidak sah ke sumber daya.
Alat-alat seperti Mimikatz memungkinkan para pelaku ancaman untuk meluncurkan serangan pass-the-ticket yang bergerak melalui jaringan dengan menyalin tiket dari mesin pengguna akhir yang telah disusupi, atau dari server otorisasi yang telah didelegasikan.
Penjahat siber biasanya melancarkan serangan pass-the-ticket dengan salah satu dari dua cara:

• Mencuri Ticket Granting Ticket atau Service Ticket dari mesin Windows dan menggunakan tiket yang dicuri untuk menyamar sebagai pengguna
• Mencuri Ticket Granting Ticket atau Service Ticket dengan mengkompromikan server yang melakukan otorisasi atas nama pengguna

Dalam serangan Golden Ticket, penyerang mencoba mencuri hash akun KRBTGT pada pengontrol domain. Ini adalah akun yang digunakan oleh Kerberos untuk mengenkripsi Tiket Pemberian Tiket. Jika berhasil dalam serangan Golden Ticket, penyerang dapat membuat tiket tak terbatas, memberikan tingkat akses apa pun, dengan masa berlaku yang hampir tak terbatas.
Perlindungan terhadap ancaman pemberian tiket membutuhkan banyak kontrol. Manajemen akun dan sesi istimewa yang kuat (PASM) dapat menerapkan rotasi kata sandi yang sering dan menghilangkan kata sandi bersama. Pelapisan pada manajemen hak istimewa titik akhir (EPM ) dapat menerapkan hak istimewa paling sedikit untuk mengurangi jumlah login istimewa yang diizinkan dan untuk membatasi pergerakan lateral. Kemampuan deteksi dan respons ancaman identitas (ITDR ) dapat dengan cepat menunjukkan aktivitas anomali dan mengatur respons untuk mencegah atau membatasi kerusakan.

3. Serangan Kerberoasting

Seperti serangan pass-the-ticket, kerberoasting mengeksploitasi protokol otentikasi Kerberos. Dalam serangan kerberoasting, pelaku ancaman menargetkan akun layanan yang terkait dengan Service Principal Names (SPN), yang digunakan untuk mengidentifikasi secara unik setiap contoh layanan yang berjalan di sebuah sistem.
Untuk meluncurkan serangan, musuh meminta tiket Kerberos Ticket Granting Service (TGS) untuk akun layanan yang ditargetkan dari Key Distribution Center (KDC). Bekerja secara offline untuk membantu menghindari deteksi, penyerang mencoba untuk membobol kata sandi hash yang tersimpan di dalam tiket TGS. Jika kata sandi tersebut dibobol, penyerang berpotensi membahayakan seluruh jaringan melalui layanan yang disusupi.
Organisasi dapat secara efektif melindungi dari kerberoasting melalui setidaknya beberapa kontrol keamanan yang berbeda, terutama di seluruh manajemen akses istimewa (PAM) dan disiplin ITDR. Misalnya, memberlakukan kata sandi yang kuat, dan akun layanan orientasi untuk manajemen (kredensial bergilir, dll.) dan pemantauan dapat meningkatkan resistensi terhadap kerberoasting. ITDR dapat secara proaktif mengidentifikasi akun yang berpotensi rentan terhadap kerberoasting karena penggunaan sandi yang lemah, dan merekomendasikan mitigasi untuk memperkuat postur keamanan.

4. Serangan Tabel Pelangi

Cipher hashing sangat kompleks dan biasanya terkenal, yang berarti ada jumlah yang terbatas untuk dicoba. Ketersediaan terbatas dari cipher yang dapat diandalkan mengarah ke alat lain dalam gudang penyerang, tabel hash. Tabel hash adalah daftar kata sandi ter-hash yang telah dihitung sebelumnya dalam perbandingan sederhana terhadap data yang dicuri.
Sementara tabel hash akan menyimpan kata sandi dan hash untuk sandi tertentu, Tabel Pelangi menyimpan kata sandi dan hash untuk beberapa sandi. Mereka kemudian mengecilkan data ke tingkat yang lebih mudah dikelola - meskipun file-file tersebut masih relatif besar.
Pendekatan umum untuk mengalahkan tabel hash dan Serangan Tabel Pelangi adalah dengan "menggarami" hash. Ini menerapkan penyandian ekstra dan unik pada setiap kata sandi. Walaupun sandi tersebut sama, tanpa garam, tidak akan menghasilkan hash yang sama. Mengasinkan hash membuat tabel hash menjadi berlebihan. Menggunakan kata sandi yang panjang, rumit, unik, dan autentikasi multi-faktor juga memberikan perlindungan terhadap Serangan Tabel Pelangi dan tabel hash.

Contoh Perangkat Lunak Peretas Kata Sandi yang Umum

Beberapa contoh alat peretas kata sandi yang paling terkenal dan populer saat ini meliputi:

• Kain dan Habel
• John the Ripper
• Hydra
• Hashcat
• Ophcrack

Beberapa alat khusus, seperti peretas kata sandi Wifi, peretas kata sandi Windows, dan lain-lain, dirancang untuk memecahkan jenis kata sandi tertentu.
Saat ini, perusahaan sering kali melibatkan peretas etis dan penguji penetrasi untuk meningkatkan ketahanan jaringan keamanan mereka. Selanjutnya, ketersediaan dan pengembangan perangkat lunak peretas telah meningkat baik untuk tujuan baik maupun jahat. Perangkat lunak forensik komputer modern dan perangkat lunak pendukung litigasi juga menyertakan fungsionalitas peretasan kata sandi untuk mendapatkan bukti. Perangkat lunak peretas yang paling canggih akan menggabungkan campuran strategi peretasan untuk memaksimalkan produktivitas dan efektivitas.

Praktik Kata Sandi yang Berisiko

Beberapa teknik pembobolan kata sandi mengandalkan kerentanan sistem atau mendapatkan akses ke akun yang memiliki hak istimewa untuk mencapai pergerakan lateral dan mengumpulkan kata sandi lainnya. Namun, sebagian besar pembobolan bergantung pada kebersihan kata sandi yang tidak memadai, keamanan identitas yang buruk, dan tidak adanya manajemen kredensial yang tepat dan alat identitas.
Mari kita lihat beberapa praktik yang membuat peretasan kata sandi menjadi latihan peretasan yang mudah.

1. Kata Sandi yang Umum dan Sering Digunakan

Manusia adalah makhluk yang memiliki kebiasaan. Ini berarti ada beberapa kata tertentu yang lebih sering digunakan sebagai kata sandi daripada kata sandi lainnya.
Ketika Game of Thrones pertama kali ditayangkan, "naga" dengan cepat menjadi salah satu kata sandi yang paling sering digunakan. Orang-orang sering menggunakan nama-nama hewan peliharaan, anak-anak, pasangan, dan jalan, serta tanggal lahir mereka.
Situs media sosial secara teratur mendorong orang untuk membagikan nama hewan peliharaan favorit mereka atau berbagi detail dari masa kecil mereka. Mekanisme brilian untuk membantu membuat daftar kata sandi prediktif yang digunakan dalam serangan!
Setiap tahun, daftar mengungkapkan kata sandi yang paling sering digunakan, dan kata sandi tertentu setiap tahun muncul kembali. Berikut ini adalah daftar sepuluh besar (miliktim Investigasi CyberNews) per November 2023:

1. 123456
2. 123456789
3. qwerty
4. kata sandi
5. 12345
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

Pusat Keamanan Siber Nasional Inggris menerbitkan daftar 100 ribu kata sandi yang paling sering digunakan. Daftar ini dikumpulkan dari data padasitus web'Have I Been Pwned' milik Troy Hunt. Troy mengumpulkan kredensial yang terungkap dalam serangan yang berhasil ke dalam basis data yang dapat dicari. Ini sekarang berisi informasi lebih dari 11 miliar akun. Itu lebih dari satu akun per orang di planet ini! Kedua sumber daya ini sangat menarik perhatian, dan ada baiknya Anda memeriksa kredensial Anda dari waktu ke waktu.
Hanya ada sedikit imajinasi di antara kata sandi yang paling umum, dan itu akan menjadi kata sandi pertama yang dicoba oleh penyerang terhadap akun Anda.

2. Kredensial Tersemat

Kredensial yang disematkan (juga disebut 'kredensial yang dikodekan dengan keras') mengacu pada kredensial berbasis teks yang tidak terenkripsi yang disisipkan di dalam kode. Kredensial yang disematkan dapat berupa:

• Datang sebagai bawaan pabrik, seperti untuk perangkat IoT atau penggunaan pertama kali sebuah aplikasi
• Disematkan ke dalam kode oleh manusia, seperti dengan alat DevOps atau repositori data
• Disematkan dalam aplikasi dan digunakan untuk transmisi aplikasi-ke-aplikasi

Keberadaan kredensial yang disematkan menghadirkan beberapa risiko. Terkadang, kredensial disematkan selama pengembangan untuk memudahkan akses, kemudian dilupakan dan diterbitkan ke dalam produksi. Potongan kode dapat dibagikan di GitHub atau platform lain untuk kolaborasi, tetapi dengan kata sandi sensitif yang disematkan di dalamnya. Jika penyerang mendapatkan akses ke titik akhir atau sistem, mereka mungkin dapat memindai kata sandi teks biasa. Hal ini dapat memberi mereka akses ke aset sensitif melalui rahasia yang disematkan.
Kata sandi standar yang sudah dikodekan digunakan di banyak perangkat, aplikasi, dan sistem yang sama. Hal ini membantu menyederhanakan penyiapan dalam skala besar, tetapi berisiko memberikan potensi pembobolan dalam skala besar.
Banyak jenis kredensial yang disematkan (seperti yang ada di dalam IoT) sulit atau tidak mungkin dihapus atau diganti secara manual, dan biasanya membutuhkan pembaruan keamanan vendor untuk memulihkan atau menggunakan alat PAM khusus.

3. Kredensial Default

Kredensial default hanyalah preset dari pabrik. Mereka sering disematkan ke dalam perangkat dan aplikasi. Sering kali, kredensial default ini digunakan bersama di seluruh perangkat yang serupa. Default ini mungkin sudah diketahui oleh pelaku ancaman. Perangkat, sistem, dan akun dengan kredensial default rentan terhadap kamus, brute force, dan berbagai jenis serangan lainnya. Jika sebuah organisasi memiliki banyak titik akhir yang semuanya memiliki pengaturan awal yang sama dan tidak berubah, semua titik akhir tersebut dapat dengan mudah disusupi secara massal.
Dalam beberapa tahun terakhir, undang-undang telah disahkan untuk mengamanatkan penguatan keamanan yang lebih baik untuk perangkat IoT, termasuk memastikan bahwa kata sandi bersifat unik pada saat pengaturan ulang atau untuk konfigurasi awal. Meskipun praktik kata sandi ini dapat mengurangi serangan secara massal, kredensial default sering kali tersedia secara fisik di perangkat dalam bentuk teks yang jelas atau melalui kode QR. Hal ini menyiratkan bahwa keamanan fisik sama pentingnya dengan keamanan digital untuk kredensial default dan pengaturan ulang perangkat.

4. Pertanyaan Keamanan yang Digunakan Kembali

Pertanyaan keamanan adalah teknik yang terutama digunakan oleh lembaga keuangan dan pedagang untuk memverifikasi pengguna terhadap akun mereka dan memberikan kepercayaan identitas. Konsepnya adalah mengajukan pertanyaan kepada pengguna, menantang pengguna untuk merespons informasi pribadi dan pribadi yang hanya diketahui oleh pengguna.
Pertanyaan keamanan sering kali diperlukan saat Anda membuat akun baru. Ini adalah bentuk autentikasi dua faktor untuk digunakan jika kata sandi terlupa. Pengguna akhir mungkin akan menerima perintah untuk menjawab pertanyaan keamanan saat masuk dari lokasi baru. Mereka juga mungkin akan diminta ketika memilih "lupa kata sandi" atau ketika mengubah kata sandi.
Beberapa pertanyaan keamanan yang umum meliputi:

• Di rumah sakit mana Anda dilahirkan?
• Apa nama hewan peliharaan favorit Anda?
• Apa merek mobil pertama Anda?
• Apa makanan favorit Anda?
• Apa nama panggilan masa kecil Anda?
• Apa tim favorit Anda?

Namun, pertanyaan-pertanyaan keamanan ini sendiri memiliki risiko. Jawaban dari beberapa pertanyaan ini dapat dengan mudah ditemukan melalui catatan publik, atau media sosial. Semakin banyak tempat dan orang yang mengetahui jawaban pertanyaan keamanan pengguna, semakin besar kemungkinan pertanyaan tersebut dapat dijawab oleh orang lain. Ketika pertanyaan keamanan dan jawabannya dicuri dalam sebuah pelanggaran, pertanyaan tersebut dapat digunakan untuk membobol akun lain.
Ketika sebuah sumber meminta Anda untuk menggunakan pertanyaan keamanan, rekomendasi kami adalah menggunakan pertanyaan dan jawaban yang paling tidak jelas. Jangan pernah membagikan informasi serupa dengan situs lain yang menggunakan pertanyaan keamanan yang sama. Dan jika memungkinkan, gunakan persyaratan kerumitan dari kata sandi untuk memberikan jawaban pertanyaan keamanan. Sebagai contoh, jika Anda lahir di Orlando, berikan jawaban pertanyaan keamanan "Orl@nd0" dan perlakukan jawaban tersebut sebagai kata sandi juga.

5. Kurangnya Pengelola Kata Sandi Otomatis

Praktik kata sandi apa pun yang bergantung terutama atau sepenuhnya pada manusia untuk mengelola kredensial dan mempertahankan praktik terbaik memiliki risiko. Banyaknya kata sandi pribadi, apalagi kata sandi akun perusahaan, terlalu banyak untuk dikelola dan diingat oleh manusia biasa.
Mengandalkan manusia adalah jaminan bahwa kata sandi akan digunakan kembali, dan kata sandi kamus juga akan digunakan. Kata sandi akan disematkan dalam kode untuk memudahkan akses. Jalan pintas lain yang berisiko akan diambil-ini adalah sifat alamiah manusia.
Oleh karena itu, pertimbangkan metode yang aman untuk membuat, menyimpan, dan mengambil semua kata sandi.

Praktik Terbaik Keamanan Kata Sandi

1. Gunakan Pengelola Kata Sandi & Brankas - Bukan Manusia

Sedapat mungkin, andalkan pengelola kata sandi otomatis daripada pengelolaan kata sandi manual oleh manusia. Jangan menyimpan kata sandi dalam spreadsheet, dokumen kata, disematkan dalam kode, atau di atas kertas. Pengelola kata sandi dapat memastikan manajemen kata sandi dan praktik terbaik keamanan diterapkan secara konsisten. Alat-alat ini dapat menyuntikkan kredensial yang tersimpan secara otomatis untuk memulai sebuah sesi. Kredensial disamarkan dari pengguna, seperti vendor, untuk memberikan keamanan tambahan.

Pengelola Kata Sandi Pribadi dapat dimanfaatkan untuk kata sandi standar dan akses akun. Solusi Manajemen Kata Sandi Khusus (juga disebut sebagai Manajemen Kata Sandi Perusahaan atau Manajemen Akun dan Sesi Khusus) harus digunakan untuk kredensial khusus. Kredensial tersebut meliputi kata sandi, kunci SSH, dan rahasia DevOps untuk karyawan, vendor, manusia, aplikasi, dan mesin. Solusi perusahaan ini merupakan bagian dari platform manajemen akses istimewa (PAM), dan juga penting untuk memungkinkan postur keamanan tanpa kepercayaan. Semakin banyak, platform ini juga mengamankan kata sandi tenaga kerja umum yang digunakan untuk aplikasi. Hal ini mencerminkan garis yang kabur antara identitas yang tidak diistimewakan dan yang diistimewakan. Misalnya, akun cloud dapat memiliki banyak jenis izin dan hak, yang dapat memberikan pijakan utama bagi penyerang yang terampil untuk meningkatkan akses.
Solusi manajemen kata sandi perusahaan juga bisa mengotomatiskan alur kerja untuk mengurangi paparan. Ini termasuk secara otomatis merotasi kata sandi, jika ditentukan bahwa kredensial tersebut telah atau sedang berisiko dikompromikan.

2. Temukan dan Masukkan Semua Kata Sandi

Saat memberikan akses ke manusia, mesin, aplikasi, karyawan, atau vendor, semua kata sandi harus diketahui terlebih dahulu - baru kemudian dapat dimasukkan dan disimpan secara terpusat. Selain itu, semua aset yang menggunakan kata sandi terkelola harus diketahui dan didokumentasikan untuk mencegah akses yang tidak tepat.

3. Buat Kata Sandi yang Panjang, Acak, dan Unik

Kata sandi yang kuat dapat mencegah upaya pembobolan kata sandi. Kata sandi harus terdiri dari lebih dari delapan karakter dan terdiri dari huruf besar dan kecil, angka, dan simbol. Hindari penggunaan kata-kata kamus, nama, dan kata sandi lain yang mudah dibaca manusia. Panjang dan kekuatannya harus mencerminkan sensitivitas akun yang ingin dilindungi oleh kata sandi tersebut. Menurut Publikasi Khusus NIST 800-63, Panduan Identitas Digital, praktik terbaik adalah membuat kata sandi hingga 64 karakter, termasuk spasi.

4. Enkripsi kata sandi

Enkripsi menambahkan lapisan perlindungan untuk kata sandi, bahkan jika kata sandi tersebut dicuri oleh penjahat siber. Terapkan enkripsi ujung ke ujung yang tidak dapat dibalikkan ke semua jalur komunikasi jaringan. Dengan cara ini, Anda dapat melindungi kata sandi saat transit melalui jaringan. Cara yang paling umum untuk memastikan perlindungan ini bagi konsumen adalah dengan menyediakan enkripsi WiFi untuk akses nirkabel jaringan rumah Anda.

5. Gunakan Kata Sandi Unik, Tanpa Menggunakan Ulang

Praktik terbaik yang sederhana ini melindungi dari beragam strategi penggunaan ulang kata sandi dan alat peretas kata sandi. Jika tidak, jika satu akun dibobol, akun lain dengan kredensial yang sama dapat dengan mudah disusupi.

6. Menerapkan Praktik Terbaik Kedaluwarsa dan Rotasi Kata Sandi

Di sini praktik terbaiknya berbeda-beda, tergantung pada apakah kata sandi itu untuk penggunaan pribadi dan/atau akun standar atau untuk akses istimewa. NIST menyarankan untuk menghindari mengubah kata sandi pribadi, kecuali jika kompromi mereka dipertanyakan. Di sisi lain, kata sandi yang memiliki hak istimewa, harus diubah secara rutin (dirotasi). Akun-akun istimewa yang paling sensitif sebaiknya menggunakan kata sandi sekali pakai (OTP) atau rahasia dinamis, yang akan kedaluwarsa setelah digunakan.

7. Menerapkan Autentikasi Multi-Faktor

Untuk setiap akun, dan terutama untuk akun istimewa dan akses vendor/remote, autentikasi faktor tunggal (pasangan kata sandi/username) tidak cukup. Menambahkan faktor otentikasi tambahan secara substantif memperkuat perlindungan dan meningkatkan jaminan bahwa identitas yang mencoba memulai akses adalah orang yang mereka katakan.
Otentikasi multi-faktor (MFA), dengan menggabungkan faktor-faktor seperti titik akhir atau biometrik, aplikasi pengautentikasi, melindungi akun dari alat peretas kata sandi dan serangan tebak-tebakan dengan membutuhkan langkah ekstra untuk memberikan keyakinan identitas untuk otentikasi. Dengan demikian, beberapa bentuk MFA, seperti FIDO2, lebih kuat daripada yang lain, seperti yang telah ditunjukkan oleh pelanggaran dalam beberapa tahun terakhir, seperti melalui serangan kelelahan MFA.

8. Menghentikan Kata Sandi Ketika Karyawan atau Vendor Telah Keluar

Tidak jarang mantan karyawan mencoba untuk terus mengakses sistem organisasi. Selalu cabut akses dan ubah kata sandi saat seorang karyawan keluar untuk semua sistem yang mungkin telah digunakan bersama. Hal ini tidak hanya melindungi dari serangan yang dilakukan oleh karyawan tersebut, tetapi juga dari pelaku ancaman lain yang mungkin menemukan akun dan kredensial yang ditinggalkan karena kesalahan dalam proses bergabung, pindah, dan keluar.

Tentukan & Atasi Kata Sandi Anda yang Paling Berbahaya dan Risiko Berbasis Identitas

Keamanan identitas perusahaan didasarkan pada penerapan praktik terbaik keamanan kata sandi secara konsisten. Namun, dengan menggunakan pendekatan manajemen risiko, organisasi harus memprioritaskan identitas dengan dampak tertinggi terlebih dahulu. Dengan banyaknya penyimpanan identitas, sistem, dan aplikasi SaaS yang berbeda (yang memerlukan puluhan ribu bidang hak istimewa, hak akses, dan izin), hal ini bukanlah hal yang mudah.

Wawasan Keamanan Identitas BeyondTrust yang inovatif dibuat khusus untuk mengatasi tantangan keamanan identitas inti ini. Organisasi mungkin memiliki campuran dari Active Directory, Entra ID, Okta, PingOne, AWS, Azure, Google Cloud, dan aplikasi SaaS yang membentuk struktur identitas mereka. Dengan Identity Security Insights, Anda dapat melindunginya secara kohesif sebagai SATU Permukaan Serangan Identitas. Produk ini merupakan alasan utama BeyondTrust baru-baru ini dinobatkan sebagai pemimpin oleh KuppingerCole dalam disiplin baru Deteksi dan Respons Ancaman Identitas (ITDR).
Produk ini membantu memastikan keamanan kata sandi dan postur identitas yang tepat dengan deteksi kerentanan identitas yang komprehensif, seperti:

• Akun-akun yang tidak memiliki hak istimewa yang dapat mengambil hash kata sandi dari AD Domain Controller melalui serangan DCSync
• Akun dengan alamat email pribadi
• Izin, hak istimewa, dan hak yang berlebihan
• Akun istimewa yang tidak dikelola
• Akun istimewa yang tidak memiliki MFA
• Akun nonprivileged dengan jalur serangan ke Admin Domain untuk AD lokal
• Akun yang rentan terhadap Kerberoasting

Sumber: beyondtrust.com

Kemajuan teknologi informasi dan komunikasi tidak selalu menjadi hal yang menguntungkan bagi perusahaan. Kasus cyber crime yang menimpa lembaga dan organisasi di Indonesia selalu ada setiap tahunnya. Sebagai pemilik bisnis yang bijak, tentunya Anda perlu belajar dari banyaknya contoh kasus cyber crime yang sudah terjadi di negeri ini.

Contoh Kasus Cyber Crime di Indonesia

Mari kita lihat berbagai kasus cyber crime yang pernah terjadi di Indonesia dalam daftar berikut ini agar Anda bisa memetik pelajaran yang berharga di baliknya!

1. Pencurian Data Bank Syariah Indonesia

Kelompok peretas asal Rusia bernama Lockbit mengklaim bahwa melumpuhkan salah satu server Bank Syariah Indonesia (BSI) pada bulan Mei 2023. Kelumpuhan server tersebut membuat aplikasi mobile banking-nya tidak bisa diakses oleh nasabah. Selain itu, BSI juga kehilangan sebanyak 1,5 TB data, termasuk data pribadi nasabah dan karyawan. Kasus ini dikenal sebagai ransomware karena Lockbit meminta sejumlah uang agar data tersebut dikembalikan jika tidak ingin dijual ke dark web. 

2. Pembobolan Data Kominfo

Pembobolan data milik Kementerian Komunikasi dan Informatika (Kominfo) merupakan salah satu dari serangkaian kasus cyber crime yang terjadi sepanjang tahun 2022. Bjorka, pelaku serangan tersebut, mencuri data registrasi kartu SIM milik Kominfo. Kasus ini terjadi karena adanya kelemahan dalam sistem keamanan server milik Kominfo.

Korban pembobolan data oleh Bjorka umumnya berasal dari perusahaan-perusahaan dalam negeri yang memiliki kelemahan dalam sistem keamanan server mereka.

3. Peretasan Website Kejagung RI

MFW, inisial dari pelaku peretasan website Kejaksaan Agung Republik Indonesia (Kejagung RI) yang terjadi pada tahun 2021 ternyata memiliki alasan yang unik. Remaja yang berasal dari Lahat tersebut mengaku bahwa dia hanya iseng dan ingin mengisi waktu luang dengan meretas website.

Akibatnya, website Kejagung RI memiliki tampilan yang berubah, yaitu logo ‘HACKED’ berwarna merah dan kalimat pemberitahuan yang bernada protes. MFW juga berhasil mencuri 3.086.224 data pribadi dan menjualnya ke suatu forum.

4. Pencurian Data Polri

Kasus pencurian data milik Kepolisian Republik Indonesia (Polri) terjadi pada bulan November 2021 oleh seorang peretas dengan username Twitter @son1x666. Hacker tersebut mengklaim telah mencuri 28.000 informasi login dan data pribadi. Tidak berhenti sampai di situ, pelaku juga membagikan tiga tautan berisi sampel data yang berasal dari database Polri dan mencakup data pribadi anggotanya.

5. Website DPR RI Berganti Nama

Kejahatan siber juga terjadi karena pelaku ingin melakukan hacktivism. Serangan ini terjadi pada website milik pemerintah atau lembaga kenegaraan agar pesan mereka didengar. Salah satu lembaga negara yang menjadi korban hacktivism adalah Dewan Perwakilan Rakyat Republik Indonesia (DPR RI).

Website DPR RI mendapatkan serangan Distributed Denial-of-Service (DDoS) yang ditandai dengan melonjaknya traffic sehingga memadati sebuah server. Alhasil, server DPR RI tidak mampu menampung banyaknya permintaan sehingga mengalami kerusakan. Tindakan ini sengaja dilakukan oleh peretas untuk mengubah tampilan website, tepatnya pada bagian header-nya. Server tersebut akhirnya ditutup sementara untuk dilakukan perbaikan. Namun, website DPR RI menjadi lebih lambat meskipun sudah berhasil dipulihkan.

6. Kebocoran Data Pengguna Tokopedia

Perusahaan startup juga pernah menjadi korban kejahatan siber. Tokopedia, contohnya, mengalami musibah ini pada tahun 2020. Sang pelaku yang memiliki nama samaran ShinyHunters membocorkan sebanyak 91.000.000 data pengguna Tokopedia dan 7.000.000 data seller.

Tidak diketahui dengan pasti metode serangan yang dilancarkan ShinyHunters, tetapi para pakar memperkirakan bahwa peretas memanfaatkan kerentanan dalam sistem Cloud milik Tokopedia. ShinyHunters juga diduga melancarkan serangan SQL injection yang dinilai kompleks sehingga terjadi kebocoran data dalam jumlah masif. Informasi tersebut kemudian dijual dengan harga yang fantastis.

Tokopedia tentu tidak tinggal diam. Mereka memastikan bahwa data pengguna tetap aman karena sudah dienkripsi menjadi kode rahasia yang tidak bisa dibaca oleh peretas. Aksi dari pihak Tokopedia ini membuat para peretas untuk mengambil data ilegal dengan upaya lainnya, salah satunya adalah melancarkan serangan phishing melalui email ke pengguna. Lagi-lagi Tokopedia langsung beraksi dengan memberikan imbauan untuk mengganti password secara berkala.

7. Website Tempo Down

Bukan hanya lembaga pemerintahan, portal berita milik Tempo Media pun menjadi korban serangan hacktivism. Pada tahun 2020, peretas mengambil alih server DNS Tempo sehingga portal berita tersebut tidak bisa diakses untuk sementara. Terlebih lagi, website Tempo berubah sehingga memiliki tampilan berwarna hitam, memutar lagu ‘Gugur Bunga’, serta menampilkan unggahan berisi permintaan untuk menghentikan penyebaran berita palsu.

8. Peretasan Channel YouTube BNPB

Serangan cyber crime tidak terbatas pada website saja. Akun di platform berbagi video seperti YouTube juga sempat menjadi sasaran serangan cyber crime. Akun YouTube resmi milik Badan Nasional Penanggulangan Bencana (BNPB) sempat menjadi korban serangan cyber crime pada bulan Desember 2021.

Channel YouTube dengan nama ‘BNPB Indonesia’ berubah nama menjadi ‘Ethereum 2.0’. Para peretasnya juga mengadakan siaran langsung di akun YouTube yang sama dengan judul  ‘Ethereum CEO: Ethereum Breakout! Ethereum News, ETH 2.0 RELEASE Date’. Mereka juga menyerang akun YouTube milik Jerome Polin dengan mengganti nama channel menjadi ‘Ethereum’ dan melakukan siaran langsung dengan topik yang sama pula.

9. Kebocoran Data Asuransi BRI Life

Dunia perbankan dan asuransi juga tidak luput dari kasus cyber crime. Contohnya saja perusahaan asuransi BRI Life pada bulan Juli 2021. Peretas berhasil membocorkan sekitar 2.000.000 data nasabah BRI Life dan menjualnya secara online dengan harga sekitar Rp101.600.000. 

Akun Twiter @UnderTheBreach mengklaim bahwa peretas telah mengakses 250GB data BRI Life, termasuk 2 juta data nasabah dalam format file PDF dan 463.000 dokumen lainnya, yang berisi informasi seperti foto KTP, nomor rekening, nomor pajak, akta kelahiran, dan rekam medis. Kebocoran data ini terjadi karena adanya kerentanan dalam sistem elektronik BRI Life yang disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab.

10. Serangan Website Citilink dan Tiket.com

Terakhir, mari kita mengulik kasus cyber crime yang lebih lama. Kasus ini terjadi pada bulan Oktober dan melibatkan dua website pemesanan tiket terbesar di Indonesia, yaitu website Tiket.com dan server Citilink. Sekelompok peretas yang masih berusia remaja berhasil meretas website dan server tersebut dan menimbulkan kerugian hingga Rp4.100.000.000 untuk Tiket.com dan Rp2.000.000.000 untuk Citilink.

Kasus ini baru terungkap setelah Tiket.com melaporkan pencurian website mereka ke Badan Reserse Kriminal (Bareskrim) Polri pada tanggal 11 November 2016. Berdasarkan hasil penyelidikan, tindakan yang dilakukan oleh peretas tersebut sebenarnya tidak rumit. Hanya saja keamanan website pada saat itu belum memadai sehingga rawan menjadi korban kejahatan siber.

Cegah Cyber Crime bersama Cloudeka

Berkaca dari contoh kasus cyber crime di atas, Anda kini memahami pentingnya memiliki sistem keamanan yang memadai untuk jaringan komputer. Kejahatan siber juga lebih sering menyasar server website day aplikasi milik perusahaan maupun lembaga lainnya karena menyimpan data yang bernilai tinggi.

Maka dari itu, tingkatkan keamanan server milik perusahaan Anda dengan memasang Deka Rock dari Cloudeka. DEKA Rock terus berupaya agar server website atau aplikasi Anda tetap terjaga dan berfungsi dengan baik melalui pemantauan yang konsisten. Menggunakan DEKA Rock berarti Anda berupaya mencegah kasus cyber crime pada perusahaan Anda. Hubungi kami untuk informasi lebih lanjut mengenai produk keamanan website dari Cloudeka ini!

Sumber: cloudeka.id

Kementerian Pekerjaan Umum dan Perumahan Rakyat (PUPR) akan memulai konstruksi dua Sistem Penyediaan Air Minum (SPAM) dengan skema Kerja sama antara Pemerintah dengan Badan Usaha (KPBU) di tahun 2022. Dua SPAM tersebut yakni SPAM Regional Jatiluhur I (SPAM Jatiluhur) memanfaatkan air baku dari Bendungan Jatiluhur, di Provinsi Jawa Barat melalui Saluran Tarum Barat, dan SPAM Regional Karian-Serpong, memanfaatkan air baku dari Bendungan Karian di Provinsi Banten.

Menteri PUPR Basuki Hadimuljono mengatakan SPAM Regional Jatiluhur I akan menyediakan pasokan air minum sebesar 4.750 liter/detik, yang akan didistribusikan kepada sekitar 380.000 sambungan rumah (SR) atau sekitar 1,9 juta jiwa yang ada di Provinsi DKI Jakarta dan Jawa Barat yakni Kota Bekasi, Kabupaten Bekasi, dan Kabupaten Karawang. Untuk pembangunan SPAM Regional Karian-Serpong, dikatakan Menteri Basuki merupakan salah satu proyek terintegrasi pengelolaan sumber daya air, yaitu pembangunan Bendungan Karian, Saluran Air Baku Karian-Serpong (Karian-Serpong Conveyance System), dan SPAM Regional.

“Ini sumbangan yang tidak sedikit untuk melayani air bersih dan menjamin kualitas air yang lebih baik. Kementerian PUPR sudah melakukan beberapa pembangunan di bidang air minum melalui KPBU misalnya SPAM Umbulan, Semarang Barat, dan Bandar Lampung. Dengan KPBU ini banyak sekali yang mengawasi, sehingga tata kelolanya diharapkan lebih baik. Ini membuktikan bahwa pembangunan infrastruktur tidak terus-terusan dibiayai dengan APBN,” ujarnya dalam siaran pers.

Penandatanganan perjanjian KPBU pembangunan dua SPAM tersebut telah dilaksanakan pada awal tahun 2021 lalu. Proyek SPAM Regional Jatiluhur I diprakarsai oleh Konsorsium PT Jaya Konstruksi Manggala Pratama Tbk, PT Wijaya Karya (Persero) Tbk, PT Tirta Gemah Ripah dengan nilai investasi sebesar Rp1,7 triliun dalam masa kerjasama 30 tahun. Konstruksinya dimulai pada Januari 2022 dan ditargetkan rampung Juni 2024.

 

Sumber: ekonomi.bisnis.com

Dunia digital saat ini seolah-olah menggantikan dunia nyata yang kita jalani saat ini. Seiring berjalannya waktu, teknologi terus berkembang tanpa adanya batasan. Keuntungannya adalah segala aktivitas yang kita lakukan menjadi lebih mudah serta efisien.

Namun, apakah kamu mengetahui di balik itu terdapat sisi negatif yang dapat menjadi boomerang pada kehidupan pribadi kita? Dengan mendigitalisasikan segala sesuatu yang ada di hidup kita membuat semua orang akan bergantung kepada teknologi dan memberikan segala informasi pribadinya kepada sebuah platform. 

Dengan akses tidak terbatas pada internet, membuat oknum-oknum tidak bertanggung jawab melakukan kejahatan untuk mendapatkan keuntungan tertentu.

Keamanan siber atau Cyber Security seringkali menjadi kekhawatiran di tengah-tengah masyarakat. Terutama aktivitas hacking yang dilakukan oleh Hacker seperti web hacking dan aplikasi hacking. 

Apakah kamu mengerti apa itu hacking? Untuk mewaspadainya kamu harus memahami konsep, jenis dan cara pencegahan dari seorang hacker. Simak hingga akhir artikel ya untuk memahami apa itu hacking!

Apa itu Hacking: Pengertian Hacking

Jadi, apa itu hacking? Peretasan atau Hacking adalah suatu tindakan eksploitasi kelemahan dari sistem atau jaringan komputer. Biasanya, hacking dilakukan untuk meretas website atau jaringan yang dimiliki oleh sebuah perusahaan atau organisasi secara ilegal atau tidak sah agar mendapatkan keuntungan tertentu. 

Lantas, apa itu hacking? Hacking adalah tindakan yang mengacu pada penyalahgunaan perangkat-perangkat seperti komputer, ponsel, dan sebagainya dengan merusak sebuah sistem. Hacking tidak selalu merupakan aktivitas berbahaya, namun istilah terkait apa itu hacking, sebagian besar memiliki konotasi negatif karena kaitannya dengan kejahatan dunia digital saat ini.

Hacking atau peretasan ini sendiri sudah muncul dari era 80-an dan terus berkembang hingga saat ini. Walaupun semakin canggihnya teknologi bisa menambah pertahanan dari sebuah sistem atau jaringan, namun teknologi juga bisa menjadi peluang baru yang ditargetkan oleh para hacker untuk meretas dengan metode-metode baru. Untuk mengenal lebih dalam lagi, yuk kita simak lebih mendalam apa itu hacking dan jenis-jenis dari hacking yang saat ini marak terjadi.

Apa itu Hacking: Jenis Hacking

Hacking adalah tindakan peretasan yang bisa merugikan orang lain dalam berbagai bentuk. Untuk memahami apa itu hacking secara keseluruhan kamu harus memahami jenis-jenis hacking yang berpotensi dapat menyerang sebuah jaringan atau perangkat lunak.

Berikut merupakan jenis-jenis hacking yang harus kamu ketahui

DDoS (Distributed Denial of Service)

Pada jenis pertama hacking adalah serangan DDoS atau sering dikatakan sebagai salah satu web hacking, yang membuat layanan atau situs web tidak tersedia dengan membanjiri server korban dengan traffic internet yang berlebihan atau infrastruktur di sekitarnya sehingga perangkat kamu tidak bisa beroperasi atau berkomunikasi seperti biasanya. 

Serangan ini akan sangat merugikan terutama jika korbannya adalah sebuah perusahaan atau bisnis melalui internet seperti website, aplikasi, dan sebagainya. Jenis web hacking ini dapat dicegah dengan penggunaan firewall dan security tools lainnya. Untuk website yang aman kamu bisa menggunakan layanan hosting murah dan memiliki kredibilitas dari DomaiNesia!

Ransomware

Jenis kedua pada hacking adalah Ransomware. Ransomware adalah serangan hacking yang melibatkan kode enkripsi data pada sistem korban dan kemudian meminta uang dalam jumlah tertentu untuk mengembalikan akses ke data tersebut.

Jadi pada ransomware, hacker akan meminta uang dalam jumlah besar kepada korban sebagai tebusan untuk memberikan kode enkripsi pada file-file yang sudah diserang.

Namun, jika kamu terkena ransomware, lebih baik jangan ikuti kemauan hacker karena hal itu adalah jebakan yang membuat hacker akan terus berkeliaran.

Social Engineering

Jenis ketiga pada hacking adalah Social Engineering. Social Engineering adalah sebuah manipulasi psikologis terhadap orang-orang untuk mendapatkan informasi rahasia atau akses ke sistem.

Social Engineering atau sering disebut SocEng, seringkali dapat melalui telepon atau pesan pada sosial media yang kita miliki, pelaku akan memainkan psikologis korban agar mau menuruti keinginan pelaku yang ingin mendapatkan informasi pribadi milik korban seperti password, pin ATM, nomor kartu, dan sebagainya.

Social Engineering ini juga bisa berdampak ke aplikasi hacking, karena korban akan memberitahu kredensial suatu akun yang membuat pelaku dapat memiliki akses di dalamnya.

Phising

Jenis keempat pada hacking adalah Phising. Phising adalah salah satu web hacking berupa tindakan kejahatan siber dengan memanfaatkan link palsu dengan mengatasnamakan sebuah perusahaan atau organisasi tertentu yang bertujuan agar korban dapat terpancing untuk mencuri informasi pribadi yang dimiliki oleh seseorang.

Hampir sama dengan SocEng, phising bersifat manipulatif dan persuasif melalui pesan teks, email, ataupun telepon. Untuk berwaspada, jangan pernah mengklik situs yang tidak memiliki URL yang jelas, dan berasal dari orang yang tidak dikenal.

Keylogging

Jenis kelima pada hacking adalah Keylogging. Keylogging adalah tindakan pemasangan software atau hardware untuk merekam setiap ketukan tombol yang dilakukan oleh pengguna, sehingga hacker dapat memperoleh kata sandi atau informasi masuk lainnya.

Salah satu contohnya yaitu pada mesin ATM untuk mendeteksi pin ATM atau informasi pribadi lainnya. Jadi, pastikan saat kamu melakukan transaksi pada ATM, cermati mesinnya dan pastikan tidak ada hal-hal yang mengganjal pada mesin ya!

Dari penjelasan di atas, tentu saja terdapat jenis-jenis hacking yang saat ini berkeliaran di tengah-tengah masyarakat.

Semakin berkembangnya teknologi, maka semakin lebar potensi kejahatan yang terjadi, namun dengan kamu memahami hal ini, kamu dapat lebih waspada dan berhati-hati dalam memanfaatkan teknologi.

Apa itu Hacking: Jenis-Jenis Hacker

Berikut ini merupakan jenis-jenis hacker, antara lain :

Black Hat Hacker

Apa itu Black Hat Hacker? Black Hat Hacker adalah peretas yang berusaha keras untuk menemukan kerentanan dalam sistem komputer dan software untuk mengeksploitasinya demi keuntungan finansial atau untuk tujuan yang ilegal dan tidak bertanggung jawab, seperti untuk mendapatkan reputasi, melakukan spionase perusahaan, merugikan suatu perusahaan/organisasi, dan niat jahat lain yang termasuk kejahatan siber.

Black Hat Hacker biasanya memiliki kemampuannya masing-masing diantra web hacking atau aplikasi hacking.

White Hat Hacker

Apa itu White Hat Hacker? White Hat Hacker adalah peretas yang yang berupaya mencegah keberhasilan Black Hat Hacker, jadi white hat hacker ini lebih bersifat defensif kepada pihak korban namun secara offensive kepada black hat hacker.

Mereka menggunakan keterampilan teknis mereka untuk membobol sistem guna menilai dan menguji tingkat keamanan jaringan, yang juga dikenal sebagai peretasan etis.

Hal ini membantu mengungkap kerentanan dalam sistem sebelum Black Hat Hacker dapat mendeteksi dan mengeksploitasinya.

Grey Hat Hacker

Apa itu Grey Hat Hacker? Grey Hat Hacker adalah peretas yang berada di antara Black Hat Hacker dan White Hat Hacker yaitu tindakan mereka biasanya dilakukan demi kebaikan bersama.

Misalnya, mereka mengeksploitasi kerentanan untuk meningkatkan kesadaran bahwa kerentanan tersebut ada, jadi Grey Hat Hacker biasanya akan melakukan pemeriksaan kerentanan di publik dan memberikan kesadaran bahwa terdapat jaringan/website/server yang tidak aman.

Biasanya Grey Hat Hacker ini juga edukatif untuk meningkatkan Security Awareness di masyarakat.

Apa itu Hacking: Cara Menghindari Hacker?

Setelah penjelasan di atas, lantas bagaimana masyarakat dapat menghindari hacker? Hacking adalah tindakan yang bisa kita cegah dengan berbagai macam cara.

Berikut merupakan beberapa cara dalam menghindari adanya hacking yang terjadi kepada akun-akun pribadi kamu.

Rutin Melakukan Update Perangkat Lunak

Perangkat lunak, sistem operasi, versi aplikasi dan sejenisnya selalu mengeluarkan versi-versi terbaru mereka yang memiliki beberapa kelebihan. Versi-versi obsolete atau lawas pasti akan lebih rentan diserang daripada versi terbaru yang sudah melewati tahap evaluasi dan perbaikan.

Jadi untuk mengurangi risiko terjadinya hacking, kamu harus mengikuti perkembangan pembaharuan dalam suatu perangkat lunak agar versi yang kamu miliki selalu yang terbaru.

Menggunakan Password yang Kuat dan Unik

Selanjutnya, cara mencegah hacking adalah dengan memiliki kata sandi atau password yang kuat. Seperti apa password yang kuat itu? Password yang kuat adalah terdiri dari huruf besar, kecil, angka, dan karakter.

Tentu saja jangan sampai password kamu mudah ditebak oleh orang lain, jangan pernah menggunakan tanggal lahir, nama asli yang mudah diketahui oleh orang lain.

Selanjutnya, jangan pernah mencatat password di sembarang tempat atau media, karena hal-hal kecil seperti itulah yang dapat membuka kesempatan hacker beraksi.

Hindari website atau link yang tidak resmi atau mencurigakan

Cara selanjutnya dalam pencegahan hacking adalah dengan tidak mengklik situs/link tidak resmi yang kamu dapatkan dari orang yang tidak dikenal.

Kenali struktur URL yang dimiliki, jika nama yang dimiliki tidak jelas, terdapat huruf acak, dan menggunakan domain yang tidak terpercaya, sebagai bentuk pencegahan, jangan pernah klik ataupun jangan pernah mengisikan apapun di dalamnya. 

Aktifkan AntiVirus dan Firewall

Cara keempat dalam pencegahan hacking adalah dengan menginstall dan mengaktifkan antivirus serta firewall pada perangkat kamu. Antivirus akan membantu kamu dalam pendeteksian potensi virus yang masuk dari kriteria yang dimiliki oleh antivirus itu sendiri.

Firewall juga dibutuhkan untuk dapat mencegah adanya hal-hal mencurigakan yang datang melalui jaringan ataupun internet. 

Jaga Kerahasian Akun Pribadi Kamu!

Cara terakhir yang paling mudah dalam pencegahan hacking adalah dengan merahasiakan informasi akun pribadi kamu. Akun pribadi disini bisa berupa sosial media, informasi finansial, dan sebagainya. Jangan mudah mempercayai orang lain jika telah berhubungan dengan informasi pribadi.

Upayakan akun yang kamu miliki hanya berada pada perangkat-perangkatmu saja. Jangan pernah memberitahu, ataupun menggunakan perangkat lain dalam mengoperasikan akun pribadi kamu.

Apakah kamu sudah paham apa itu hacking? Kamu tidak perlu mempraktikkannya untuk mengerti secara keseluruhan apa itu hacking. Kamu harus waspada dan jangan mudah percaya dengan orang yang kamu kenali hanya melalui sosial media. Jangan gunakan pengetahuan terkait IT kamu untuk melakukan kejahatan ya!

Sumber: domainesia.com

Pencuri cenderung tertarik pada peluang yang menjanjikan kekayaan yang mudah. Terdapat kelemahan pada jaringan mata uang kripto yang dapat dieksploitasi oleh para peretas, sehingga mata uang kripto Anda dapat dicuri; akan tetapi, hal ini hanya dapat dilakukan pada skenario tertentu.
Jadi, bagaimana cara melindungi diri Anda dan investasi mata uang kripto Anda?

Keamanan Blockchain

Blockchain mata uang digital umumnya merupakan buku besar publik yang mencatat dan memverifikasi semua transaksi dalam jaringan blockchain. Semua orang dapat melihat transaksi, alamat pseudonim yang terlibat, dan jumlah yang ditransfer. Akan tetapi, buku besar publik ini tidak mengizinkan siapa pun untuk mengaksesnya dan mengirimkan atau mengubah entri; hal ini dilakukan secara otomatis oleh skrip, pemrograman, teknik enkripsi, dan proses validasi transaksi otomatis.

Bagaimana Blockchain Diamankan?

Keamanan ditangani dalam blockchain melalui teknik kriptografi dan mekanisme konsensus. Blockchain menggunakan enkripsi untuk menyandikan informasi transaksi dan menyertakan data dari blok sebelumnya di setiap blok berikutnya. Seluruh buku besar dirantai bersama melalui data terenkripsi. Setiap blok yang baru dibuat membuatnya lebih aman.

Oleh karena itu, blockchain yang sudah ada tidak dapat diretas dalam pengertian tradisional "diretas", di mana kode berbahaya dimasukkan ke dalam rantai atau seseorang "meretas" ke dalam jaringan dengan kekerasan dan mulai membuat perubahan atau mengambil alih kendali.

Bagaimana Blockchain Dapat Diserang?

Seorang penyerang - atau sekelompok penyerang - dapat mengambil alih sebuah blockchain dengan mengendalikan sebagian besar kekuatan komputasi blockchain, yang disebut dengan hashrate. Jika mereka memiliki lebih dari 50% hashrate, mereka dapat memperkenalkan sebuah blockchain yang telah diubah dalam apa yang disebut sebagai serangan 51%. Hal ini memungkinkan mereka untuk membuat perubahan pada transaksi yang tidak dikonfirmasi oleh blockchain sebelum mereka mengambil alih. Transaksi - setidaknya pada blockchain Bitcoin - pada umumnya aman setelah satu kali konfirmasi. Akan tetapi, transaksi tersebut belum dianggap terkonfirmasi secara keseluruhan dan tidak dapat diubah hingga enam konfirmasi telah dilakukan.

Misalnya, jika Anda mentransfer 1 BTC ke teman, transaksi akan dicatat dan dikonfirmasi dalam satu blok-ini adalah konfirmasi pertama. Data blok tersebut akan direkam ke dalam blok berikutnya, dikonfirmasi, dan blok tersebut ditutup-ini adalah konfirmasi kedua. Hal ini harus terjadi empat kali lagi agar sebuah transaksi dapat dianggap tidak dapat diubah (pada blockchain Bitcoin). Transaksi yang belum diproses dapat dibatalkan dalam serangan 51%.
Para penyerang akan bebas menggunakan token yang digunakan dalam transaksi yang belum dikonfirmasi oleh jaringan. Mereka dapat mentransfer koin ke alamat anonim, dan blockchain yang telah diubah akan bertindak sesuai dengan apa yang telah mereka programkan.

Di mana Peretasan Mata Uang Kripto Terjadi

Kepemilikan mata uang kripto pada dasarnya terkait dengan data pada blockchain, token virtual, dan kunci. Setiap token memiliki kunci pribadi, yang dipegang oleh pemilik atau kustodian yang ditunjuk oleh pemiliknya.

Peretasan Dompet

Kunci pribadi dan cara penyimpanannya merupakan dua kelemahan utama dalam mata uang digital dan blockchain. Ada pepatah yang mengatakan dalam industri mata uang digital:

Bukan kunci Anda, bukan koin Anda.

Pepatah ini menyiratkan bahwa apa pun situasinya, jika Anda tidak mengontrol kunci mata uang kripto Anda, Anda tidak dapat mengontrol apa yang terjadi padanya. Mengizinkan orang lain untuk menyimpan kunci Anda, yang disebut sebagai hubungan kustodian antara pemilik kunci dan pemegang kunci, memberikan entitas tersebut, atau siapa pun yang memiliki kunci, kendali atas mata uang kripto Anda.
 

Kunci pribadi secara teori dapat didekripsi. Akan tetapi, satu kunci adalah sebuah angka terenkripsi dengan²²⁵⁶ kemungkinan (sama dengan 115 quattuorvigintillion kemungkinan - quattuorvigintillion adalah angka 1 yang diikuti oleh 75 angka nol). Butuh waktu berabad-abad, mungkin ribuan tahun, untuk membobol enkripsi dengan teknologi saat ini.

Di sinilah banyak peretasan dan pencurian terjadi-dompet, tempat penyimpanan kunci pribadi. Semua private key disimpan di dalam wallet, yang merupakan aplikasi perangkat lunak yang terinstal di perangkat mobile dan komputer.

Versi elektronik dan perangkat lunak pada dompet dapat terhubung ke internet (hot) atau tidak terhubung (cold). Bursa mata uang digital pada umumnya menawarkan metode penyimpanan panas dan dingin untuk para penggunanya; metode ini bersifat kustodian karena mereka menyimpan kunci Anda untuk Anda.

Aplikasi (perangkat lunak) dan perangkat dapat diretas. Karena kunci pribadi disimpan di dalam aplikasi dan dompet perangkat, para peretas dapat mengaksesnya dan mencuri mata uang digital Anda.

Peretasan Bursa

Tidak peduli apa yang dikatakan oleh pemegang kunci kustodian kepada Anda atau tingkat keamanan yang mereka iklankan, mereka adalah titik lemah. Bursa umumnya menyimpan mata uang kripto sebagai cadangan likuiditas dan kunci pribadi untuk banyak pelanggan mereka. Hal ini membuat mereka menjadi target yang menarik bagi para peretas.

Jika Anda tidak menyimpan kunci pribadi Anda di bursa, kunci pribadi tersebut tidak dapat diakses, dan mata uang kripto Anda aman - setidaknya dari peretasan bursa.

Bursa yang memiliki reputasi baik dapat menyimpan kunci Anda untuk Anda di tempat yang disebut dengan "deep cold storage". Tempat ini umumnya merupakan unit penyimpanan data offline dengan keamanan perusahaan, dan beberapa - seperti Gemini - bahkan menawarkan asuransi yang setara jika mata uang digital Anda dicuri sebagai akibat dari peretasan langsung atau pelanggaran keamanan pada sistem mereka.2

Jenis Pencurian Lainnya

Semua orang mendengar tentang peretasan bursa besar di berita, tetapi yang tidak sering disebutkan adalah teknik selain peretasan yang digunakan untuk mencuri mata uang kripto.

Penipuan selalu menjadi metode yang digunakan oleh para pencuri. Namun, tampaknya pada tahun 2023, penipuan romansa adalah salah satu teknik terbesar yang digunakan oleh mereka untuk mendapatkan kripto. Dalam penipuan ini, pencuri berpura-pura menjadi orang yang romantis sampai target merasa nyaman, dan kemudian memulai pencarian untuk meyakinkan kekasihnya yang tidak menaruh curiga bahwa mereka sangat membutuhkan mata uang kripto untuk mendanai keadaan darurat.

Ransomware, yang pernah mengalami penurunan terkait mata uang kripto, mulai mendapatkan daya tarik pada tahun 2023 juga. Ini adalah kategori teknik - pencuri mungkin mengenkripsi file atau data dan meminta mata uang kripto, atau menggunakan taktik intimidasi kecuali jika mereka dibayar.3

Cara Mengamankan Mata Uang Kripto Anda

Anda dapat mengambil beberapa langkah mudah untuk menjaga mata uang digital Anda agar tidak dicuri. Faktor-faktor penting adalah memahami bagaimana kunci Anda disimpan, bagaimana Anda dan orang lain dapat mengaksesnya, dan apa yang dapat Anda lakukan untuk membuatnya tidak dapat diakses.

Seperti yang telah disebutkan, dompet ada yang bersifat panas, dingin, kustodian, atau non-kustodian. Dompet yang paling tidak aman adalah dompet panas- yang memiliki koneksi ke perangkat lain atau internet. Untuk tujuan keamanan, Anda tidak boleh menyimpan kunci Anda pada perangkat yang memiliki koneksi yang selalu aktif atau dapat diakses. Jika perangkat tersebut memiliki koneksi dan sebuah aplikasi digunakan untuk mengakses kunci Anda, maka perangkat tersebut dapat diretas.

Berlawanan dengan iklan dan ulasan dompet mata uang digital, Anda tidak membutuhkan perangkat yang diproduksi secara komersial untuk bertindak sebagai dompet-tetapi perangkat-perangkat ini didesain secara khusus untuk keamanan kunci mata uang digital.

Sebuah USB flashdisk dengan enkripsi juga dapat berfungsi sebagai penyimpanan dingin. Akan tetapi, koneksi USB dapat menurun seiring berjalannya waktu; sebagai tambahan, ketika sebuah perangkat penyimpanan dingin terhubung ke komputer atau perangkat lain yang terhubung, perangkat tersebut akan menjadi penyimpanan panas sampai perangkat tersebut diputuskan.

Tidak ada metode penyimpanan kunci yang 100% aman, tidak mudah rusak, dan tahan lama. Akan tetapi, pertimbangkanlah bahwa banyak orang yang menjadi korban peretas dan penipu dan kehilangan uang dari rekening bank mereka karena informasi pribadi digunakan untuk mengaksesnya. Melindungi kunci pribadi tidak berbeda dengan melindungi informasi pribadi Anda.

Dompet yang paling aman adalah dompet dingin tanpa penyimpanan. Dompet ini dapat berupa selembar kertas dengan kunci yang tertulis di atasnya di dalam brankas hingga perangkat yang menggunakan kunci sandi dan enkripsi tambahan. Dompet kertas sebaiknya hanya digunakan sebagai tindakan sementara karena mudah rusak.

Anda akan menemukan banyak produk yang menawarkan keamanan dan kenyamanan untuk Bitcoin atau mata uang kripto lainnya, tetapi cara terbaik untuk memastikan kripto Anda aman dari peretas dan pencuri adalah dengan mengingat beberapa aturan sederhana:

• Jangan menyimpan kunci Anda di dompet di perangkat seluler atau perangkat lain yang memiliki koneksi ke internet.
• Kunci pribadi Anda harus selalu disimpan di tempat yang dingin.
• Jangan biarkan orang lain menyimpan kunci Anda untuk Anda kecuali Anda merasa nyaman dengan risikonya.
• Jika Anda ingin menggunakan mata uang digital Anda, hanya transfer kunci yang Anda perlukan ke hot wallet, lakukan transaksi, lalu segera keluarkan dari hot wallet.
• Simpan metode penyimpanan dingin Anda di tempat yang aman dan terkendali kelembabannya tanpa koneksi kabel atau nirkabel.
• Periksa perangkat Anda secara berkala untuk memastikan bahwa perangkat tersebut tidak mengalami penurunan kualitas. Jika iya, pindahkan kunci Anda ke perangkat penyimpanan yang baru.
• Jangan pernah membagikan kunci pribadi Anda dengan orang lain.
• Simpanlah cadangan kunci anda saat ini.

Dan ingatlah, "bukan kunci Anda, bukan kripto Anda."

Platform Kripto Apa yang Diretas?

Ada beberapa serangan 51% terhadap blockchain mata uang kripto seperti Bitcoin Satoshi Vision (BSV), Bitcoin Gold (BTG), dan Ethereum Classic (ETC). Baru-baru ini, bursa yang sekarang bangkrut, FTX, diretas tak lama setelah menyatakan kebangkrutan pada November 2022.

Apa itu Peretasan Kripto?

Peretasan kripto adalah salah satu dari beberapa bentuk pencurian yang mengakibatkan mata uang kripto dicuri.

Apakah Bitcoin Pernah Diretas?

Tidak ada laporan mengenai peretasan blockchain dan jaringan Bitcoin pada 11 Mei 2024. Namun, penyedia layanan, dompet, dan aplikasi semuanya rentan dan telah diretas.

Intinya

Mata uang kripto masih relatif baru dalam hal metode pembayaran dan mata uang. Sebagian besar dari mereka dapat dikonversi, yang berarti mereka memiliki nilai fiat. Hal ini membuat mereka menjadi target bagi para pencuri. Teknik yang digunakan dalam blockchain mata uang kripto membuatnya hampir tidak dapat diretas jika jaringannya cukup kuat untuk mengalahkan peretas. Jaringan yang lebih kecil lebih rentan terhadap pengambilalihan jaringan.

Target utama pencuri mata uang digital adalah dompet, dimana kunci pribadi disimpan. Dompet dapat diakses oleh para peretas dengan menggunakan berbagai teknik dan bahkan dapat dikunci oleh ransomware. Dengan mengingat hal tersebut, sangat penting untuk memastikan kunci pribadi Anda disimpan secara offline dan hanya ditransfer ke dompet yang terhubung ketika Anda akan menggunakannya. Selain itu, menggunakan dompet dari perusahaan atau bursa yang memiliki reputasi baik dapat memberikan sedikit keamanan ekstra. Perusahaan-perusahaan ini perlu menjaga reputasi mereka, sehingga mereka akan memastikan bahwa perangkat lunak mereka adalah yang terbaru dan tidak ada kode berbahaya yang tertulis di dalamnya.

Sumber: investopedia.com