Ini Pesan Hacker yang Bobol Perusahaan dari Akun Medsos

Ini Pesan Hacker yang Bobol Perusahaan dari Akun Medsos
Ilustrasi | Foto: freepik.com
Andi Nugroho Kamis, 11 Juli 2019 - 16:56 WIB

Cyberthreat.id – Pikir dua kali sebelum kamu membagikan swafoto kantor, foto lencana, #firstday, atau foto grup di tempat kerja di media sosial.

Mengapa? Peretas (hakcer) bisa jadi mengintai kamu dan menargetkan serangan.

Bukan berarti peretas tersebut ingin mendapatkan uang atau data penting kamu, justru melalui media sosial milikmu, si peretas mengincar petunjuk lain untuk masuk ke perusahaan tempat kamu bekerja.

“Saya tahu soal itu karena saya salah satu dari peretas itu,” demikian tulis Stephanie “Snow” Carruthers (@_sn0ww) seperti dikutip dari Fast Company, yang diakses Kamis (11 Juli 2019).

Stephanie adalah kepala peretas di IBM X-Force Red, tim hacker elite yang dipekerjakan perusahaan untuk menemukan kelemahan keamanan sebelum hakcer jahat mengeksploitasinya.

Begini kisah Stephanie saat berbagi pengalaman tentang aktivitas peretasan tersebut yang diterjemahkan secara bebas dari artikelnya berjudul “I’m a hacker, and here’s how your social media posts help me break into your company.”

Dalam kasus saya, korban serangan ini membayar saya untuk meretasnya. Nama saya Snow, dan saya bagian dari tim peretas elit dalam IBM yang dikenal sebagai X-Force Red. Perusahaan mempekerjakan kami untuk menemukan celah dalam keamanan mereka—sebelum orang-orang jahat melakukannya.

Bagi saya, itu artinya menjelajahi internet untuk mencari informasi, menipu karyawan agar mengungkapkan banyak hal melalui ponselnya, dan bahkan menggunakan penyamaran untuk menerobos kantor kamu.

Unggahan di media sosial adalah tambang emas untuk perincian yang membantu serangan kami. Apa yang kamu temukan di belakang foto sangat terbuka—mulai lencana keamanan hingga layar laptop, atau bahkan catatan (Post-it) yang tertempel dan berisi sandi.

Izinkan saya menjelaskan bagaimana unggahan yang tampaknya tidak berbahaya dapat membantu saya—atau peretas jahat—menargetkan kamu.

Pertama, yang mungkin membuat kamu terkejut adalah 75 persen informasi yang saya dapatkan berasal dari pekerja magang atau karyawan baru.

Generasi muda yang memasuki dunia kerja saat ini tumbuh di media sosial, dan magang atau pekerjaan baru adalah selalu update di medsos adalah sesuatu yang menarik untuk dibagikan. Apalagi, faktanya, perusahaan seringkali menunda pelatihan keamanan untuk karyawan baru sampai berminggu-minggu atau berbulan-bulan setelah mereka mulai bekerja.

Mengetahui titik lemah tersebut, dengan sejumlah tagar yang bermanfaat, memungkinkan saya menemukan banyak informasi  yang saya butuhkan hanya dalam beberapa jam. Lihatlah sendiri di aplikasi sosial favoritmu saat posting pasti ditandai dengan tagar #firstday, #newjob, atau #intern + [#compnayname].

Jadi, apa sebenarnya yang saya cari dari unggahan itu? Ada empat jenis unggahan medsos yang berisiko dan dapat digunakan oleh peretas untuk keuntungan mereka.

Pertama, foto tim.

Menunggah foto Anda dan kantor Anda baik saat istirahat atau melakukan kegiatan sosial, atau lainnya, mungkin memberikan banyak info lebih dari yang kamu bayangkan. Pikirkan tentang jenis poster atau papan tulis yang ada di area kantor yang telah di-share.

Poster tentang “Tim Softball Leage Segera Dimulai” , misalnya, kamu tidak akan curiga ketika saya mengirimi email ke kamu dengan tautan jadwal terbaru dari tim tersebut. Yakinkah bahwa tautan yang saya kirim ke kamu itu bakal tidak diklik?

Kedua, lencana atau kartu pengenal baru.

Ini mungkin yang tampak jelas, tapi kamu akan terkejut jika mengetahui berapa kali saya melihat karyawan baru mengunggah foto close-up dari lencana keamanan perusahaan, terutama pada hari pertama atau hari terakhir di kantor.

Mengetahui apa yang tampak dari tanda pengenal karyawan perusahaan itu membuat peretas semakin mudah. Saya dapat menyalin, menempel, dan mencetak sendiri yang identik dengan wajah saya sendiri yang ditukar hanya dalam beberapa menit.

Ketika tanda pengenal itu tidak berfungsi untuk akses, kamu akan terkeju betapa mudahnya bagi saya untuk hanya menginstal tanda pengenal, dan saya bisa dengan tersenyum percaya diri untuk menyelinap masuk melalui sebuah pintu di perusahaan kamu.

Ketiga, vlog di kantor.

Ketika seorang karyawan memutuskan untuk membuat vlog sepanjang hari di sebuah perusahaan, itu adalah jackpots bagi peretas. Peretas akan tahu tata letak bangunan dan area terlindungi oleh tanda pengenal tadi hingga papan tulis yang mengungkapkan rencana perusahaan. Vlog seperti ini sudah sama halnya membobol perusahaan dalam kehidupan nyata.

Tidak hanya itu, layar laptop memungkinkan jenis alat keamanan dan perangkat lunak yang dipakai, yang dapat kami gunakan untuk melakukan serangan dengan membuat malware yang disamarkan sebagai pembaruan perangkat lunak palsu.

Keempat, keluhan.

Saya pernah melakukan pada sebuah perusahaan yang memiliki banyak karyawan mengeluhkan secara online tentang kurangnya tempat parkir. Jadi, saya membuat email yang mejelaskan kebijakan parkir yang baru  saja ditetapkan dan peringatan bahwa semua yang diparkir di luar tempat akan ditarik. Tentu, ada yang senang akhirnya bisa mendapatkan tempat parkir, ditambah ada yang takut mobilnya ditarik keluar, menyebabkan banyak yang klik pada lampiran email, padahal itu peta parkir palsu.

Setelah melihat beberapa contoh itu, kamu mungkin bertanya-tanya mengapa seorang hacker ingin masuk kantormu? Singkatnya, berada di dalam empat dinding kantor memberi kamu kunci menuju kerajaan untuk mendapatkan kepercayaan dan akses. Dari kredensial yang dibagikan di papan tulis hingga sandi wi-fi yang diunggah di depan mata, itu semua mengungkapkan informasi cukup bahwa kami tak perlu mengunjungi perusahaanmu untuk mendapatkan informasi itu. Karena, kamu sendiri telah membiarkan kami mengintip ke dalam dinding secara virtual.

Jadi, sebelum kamu mengklik atau membagikan unggahan terkait dengan pekerjaan kamu, pikirkanlah: “Apakah yang kamu unggah itu bisa memberikan informasi untuk hacker?”


Standardisasi dan Validasi Teknologi