Katie Paxton-Fear adalah seorang mahasiswa PhD, pemburu bug bounty dan YouTuber. Ia membagikan cerita bagaimana seorang peretas dapat menggunakan informasi yang Anda bagikan secara online untuk merugikan Anda. Simak ceritanya berikut ini.
Email phishing bisa jadi cukup meyakinkan, sering kali dialamatkan kepada kita dengan nama atau dengan detail pribadi tertentu. Peretas modern dapat menemukan semua yang perlu mereka ketahui tentang target potensial melalui Google atau media sosial dan menggunakan informasi ini untuk merancang penipuan yang sempurna.
Penjahat siber memanfaatkan detail pribadi yang kita bagikan secara online untuk mencoba dan mengelabui atau meniru identitas kita — menyatukan setiap foto yang kita posting, lokasi yang pernah kita daftarkan, orang yang kita tandai, atau foto hewan peliharaan yang kita unggah untuk membangun pemahaman tentang target mereka.
Penipuan manipulasi psikologis yang mereka buat dirancang untuk membujuk orang agar mengunduh malware, mengirim uang, membagikan informasi pribadi, atau mengungkapkan detail masuk. Ini tidak dimaksudkan untuk menakut-nakuti Anda. Sebenarnya, sangat mungkin untuk menikmati media sosial tanpa membahayakan diri sendiri.
KENYATAAN OVERSHARING MEDIA SOSIAL
Pembagian berlebihan (oversharing) yang kita semua lakukan secara online adalah tambang emas bagi penjahat siber yang melakukan penyelaman sampah digital, terutama ketika kita memposting tentang pekerjaan kita.
Banyak pos juga berisi informasi pribadi yang mungkin tampak tidak berbahaya — nama anak-anak dan hewan peliharaan, tim olahraga favorit, ulang tahun. Tetapi detail ini dapat membantu peretas menebak kata sandi Anda atau menjawab pertanyaan keamanan umum.
Peretas juga tahu bahwa orang cenderung menggunakan kembali kata sandi mereka di seluruh akun. Setelah mereka memecahkan satu sandi, mereka akan mencobanya di beberapa situs web populer, dari rekening bank hingga email Anda, untuk melihat apakah itu berhasil.
ANATOMI PENIPUAN EMAIL
Terlepas dari apa yang Anda lihat dalam penggambaran budaya pop, kebanyakan penjahat siber sebenarnya tidak meretas perusahaan. Mereka meretas orang-orang yang bekerja di sana. Meretas manusia hanya membutuhkan email yang meyakinkan, sedangkan meretas perangkat lunak seperti melangkah ke suatu ruangan dengan security laser.
Jika saya mencoba meretas perusahaan, tempat pertama yang saya kunjungi adalah LinkedIn. Mudah untuk menemukan nama lengkap dan jabatan karyawan dengan akun LinkedIn Premium yang terjangkau. Saya akan mencari staf nonteknis seperti staf penjualan atau administrasi yang mungkin lebih rentan dan memiliki akses ke banyak data perusahaan.
Saya mungkin melihat di akun LinkedIn atau Twitter seorang karyawan bahwa mereka baru saja memulai pekerjaan baru, yang memberi tahu saya bahwa mereka mungkin tidak mengetahui kepribadian eksekutif mereka dan sangat ingin menyenangkan mereka. Saya dapat menggunakan Google atau media sosial untuk mempelajari nama eksekutif ini dan memalsukan alamat email mereka, lalu mengirim email palsu ke karyawan baru ini.
Yang diperlukan hanyalah email mendesak yang mengatakan, “Hai, saya sedang rapat dan lupa ulang tahun keponakan saya. Saya ingin Anda pergi membelikan saya kartu hadiah Amazon. Saya akan mengembalikan uangmu.”
Anda akan terkejut betapa cepatnya seseorang akan mengikuti arahan mendesak dari atasan di kantor, terutama di dunia baru kerja jarak jauh kita, saat isyarat visual hilang dan Anda tidak dapat dengan cepat memverifikasi permintaan dengan rekan kerja Anda.
CARA SEDERHANA UNTUK TETAP AMAN ONLINE
Coba Googling nama Anda atau buat akun media sosial kedua untuk melihat profil Anda sendiri seperti yang dilakukan orang asing. Apakah Anda nyaman dengan semua yang Anda lihat? Jika tidak, setel akun sosial Anda ke pribadi (private) dan periksa kembali apakah Anda benar-benar mengenal semua pengikut Anda.
Hindari kata sandi yang berkaitan dengan apa yang Anda bagikan secara online. Tentu, sulit untuk mengingat semuanya, tetapi sebuah Password Manager dapat melakukan tugas berat tersebut untuk Anda.
Bersikaplah skeptis terhadap email pribadi dan kantor. Jika ada yang tidak beres, klik nama tampilan pengirim untuk memastikan alamat emailnya cocok, terutama di ponsel. Minta opini kedua dari tim IT perusahaan Anda, atau konfirmasikan permintaan secara lisan dengan rekan kerja. Terakhir, berhenti dan berpikirlah sebelum membuka lampiran, mengklik tautan, atau berbagi informasi.
Menjaga keamanan informasi Anda secara online bukanlah tentang stres atau ketakutan. Ini tentang mengetahui apa yang Anda bagikan, menyadari bagaimana hal itu dapat digunakan untuk merugikan Anda, dan mengetahui cara menjadikan pos Anda pribadi.
Sumber: Fast Company
