Metode dan Teknik yang Digunakan Unauthorized Access
Beberapa medote dan teknik yang sering digunakan dalam Unauthorized Access to Computer Systems antara lain:
Phishing
Phishing sebagai metode penipuan adalah suatu teknik atau upaya yang dilakukan oleh pihak yang tidak bertanggung jawab untuk memperoleh informasi sensitif atau data pribadi dari individu atau organisasi dengan cara menyamar sebagai entitas tepercaya melalui pesan atau situs web palsu [7]. Dalam praktik phishing, penyerang menggunakan berbagai teknik untuk meyakinkan korban agar mengungkapkan informasi pribadi atau mengambil tindakan yang merugikan [8]. Berikut ini beberapa teknik yang umum digunakan dalam phishing:
Email Phishing: Penyerang mengirimkan email palsu yang terlihat seperti berasal dari perusahaan atau organisasi terpercaya. Email tersebut mungkin meminta korban untuk memperbarui informasi akun, mengklik tautan yang mengarah ke situs palsu, atau mengunduh lampiran berbahaya.
Website Spoofing: Penyerang menciptakan situs web palsu yang mirip dengan tampilan dan desain situs resmi yang diketahui oleh korban. Tujuannya adalah agar korban mengira mereka berinteraksi dengan situs yang sah dan memasukkan informasi pribadi seperti username, password, atau rincian kartu kredit.
Smishing (SMS Phishing): Teknik ini melibatkan pengiriman pesan teks (SMS) palsu kepada korban. Pesan tersebut dapat berisi permintaan untuk mengunjungi tautan yang mencurigakan atau mengungkapkan informasi pribadi melalui balasan SMS.
Vishing (Voice Phishing): Penyerang menggunakan panggilan telepon palsu untuk memperoleh informasi pribadi dari korban. Mereka dapat menyamar sebagai perwakilan dari bank, layanan keuangan, atau lembaga terpercaya lainnya dan meminta korban untuk mengungkapkan informasi sensitif.
Spear Phishing: Serangan phishing yang disesuaikan secara khusus untuk target tertentu, seperti individu, karyawan perusahaan, atau kelompok tertentu. Penyerang menggunakan informasi yang dikumpulkan sebelumnya untuk membuat pesan atau situs palsu yang terlihat lebih meyakinkan dan relevan bagi target.
Tabnabbing: Teknik ini melibatkan perubahan tampilan tab yang sudah terbuka di browser korban menjadi situs web palsu saat mereka sedang tidak aktif. Ketika korban kembali ke tab tersebut, mereka mungkin tidak menyadari bahwa mereka berinteraksi dengan situs palsu dan akan memasukkan informasi pribadi.
Link Manipulation: Penyerang memanipulasi tautan yang dikirimkan melalui email, pesan teks, atau platform komunikasi lainnya untuk mengarahkan korban ke situs web palsu. Mereka dapat menggunakan domain yang mirip atau menambahkan parameter URL palsu untuk membingungkan korban.
Brute-Force Attack
Brute-force attack adalah metode serangan yang dilakukan dengan mencoba semua kemungkinan kombinasi atau kata sandi secara berurutan sampai menemukan kombinasi yang benar atau berhasil membobol sistem[9]. Penyerang menggunakan kekuatan komputasi yang besar untuk memproses ribuan atau bahkan jutaan percobaan dalam waktu singkat.
Dampak dari keberhasilan brute-force attack terhadap keamanan sistem bisa sangat merugikan, antara lain:
- Pemutusan Keamanan Kata Sandi: Jika serangan brute-force berhasil, kata sandi pengguna dapat ditemukan oleh penyerang. Ini mengakibatkan penggunaan yang tidak sah terhadap akun, potensi akses ke informasi pribadi, atau bahkan pencurian identitas.
- Kerentanan Data: Dalam beberapa kasus, brute-force attack dapat berhasil membuka enkripsi yang melindungi data sensitif. Ini berarti penyerang dapat mengakses dan mengungkapkan informasi rahasia atau data yang harus tetap terjaga kerahasiaannya.
- Penyalahgunaan Sumber Daya: Serangan brute-force dapat membebani sumber daya sistem, seperti CPU dan memori, karena memproses ribuan atau jutaan percobaan secara berurutan. Hal ini dapat mengakibatkan penurunan kinerja sistem dan membuatnya tidak responsif bagi pengguna yang sah.
- Penggunaan Akses Tidak Sah: Jika brute-force attack berhasil memperoleh akses ke sistem, penyerang dapat melakukan tindakan yang merugikan, seperti mencuri atau mengubah data, menginstal malware, atau menciptakan celah keamanan lainnya untuk serangan selanjutnya.
- Kerugian Keuangan: Kegagalan dalam melindungi sistem dari brute-force attack dapat berdampak pada kerugian finansial. Misalnya, penyerang dapat memanfaatkan akses tidak sah untuk melakukan pencurian dana, penipuan, atau mengakibatkan kerugian operasional bagi perusahaan [10].
Penting bagi organisasi dan individu untuk mengadopsi langkah-langkah keamanan yang kuat untuk melindungi sistem dari serangan brute-force. Termasuk penggunaan kata sandi yang kuat. Penerapan kebijakan penguncian akun setelah sejumlah percobaan yang gagal. Penggunaan metode autentikasi yang lebih aman seperti faktor ganda. Dan pemantauan aktif terhadap aktivitas mencurigakan yang terkait dengan upaya brute-force.
Malware
Singkatan dari malicious software adalah perangkat lunak berbahaya yang dirancang untuk menyusup ke dalam sistem komputer atau perangkat digital lainnya dengan tujuan merusak, mencuri informasi sensitif, atau melakukan tindakan merugikan lainnya[11]. Malware dapat merujuk pada berbagai jenis program jahat, termasuk virus, worm, Trojan horse, spyware, adware, ransomware, dan lain sebagainya.
Berikut adalah beberapa karakteristik dan dampak dari malware[12]:
- Penyusupan: Dapat masuk ke dalam sistem melalui berbagai metode. Seperti lampiran email yang mencurigakan, tautan berbahaya, unduhan dari situs web yang tidak aman, atau menggunakan celah keamanan pada perangkat atau perangkat lunak yang tidak diperbarui.
- Reproduksi: Beberapa jenis malware, seperti virus dan worm, dapat menginfeksi file atau sistem lain secara otomatis. Mereka dapat mereplikasi diri dan menyebar ke perangkat atau jaringan lain, menyebabkan penyebaran yang cepat dan merusak.
- Kerusakan: Malware dapat menyebabkan kerusakan pada sistem dengan menghapus atau mengubah data, menghancurkan file sistem, atau merusak komponen perangkat keras. Dalam beberapa kasus, malware dapat merusak sistem operasi atau membuat perangkat tidak berfungsi.
- Pencurian Informasi: Jenis malware seperti spyware atau keylogger dirancang untuk mencuri informasi pribadi, seperti kata sandi, nomor kartu kredit, atau data identitas lainnya. Informasi ini kemudian dapat disalahgunakan untuk pencurian identitas, penipuan keuangan, atau akses tidak sah ke akun-akun online.
- Peretasan Sistem: Trojan horse dapat membuka pintu belakang (backdoor) pada sistem, memberikan akses jarak jauh kepada penyerang untuk mengendalikan sistem, memantau aktivitas pengguna, atau melakukan serangan lebih lanjut.
- Peretasan Jaringan: Malware yang dikendalikan secara jaringan, seperti botnet, dapat menggabungkan ribuan atau bahkan jutaan perangkat yang terinfeksi menjadi jaringan yang dikendalikan oleh penyerang. Jaringan ini dapat digunakan untuk serangan DDoS (Distributed Denial of Service), penyebaran spam, atau kegiatan ilegal lainnya.
Social Engineering
Social engineering adalah teknik manipulasi psikologis yang digunakan oleh penyerang untuk memanipulasi orang-orang agar mengungkapkan informasi rahasia atau melakukan tindakan yang merugikan. Tujuan utama dari social engineering adalah untuk memanfaatkan faktor manusia sebagai celah keamanan dalam sistem.
Berikut adalah beberapa contoh teknik social engineering yang sering digunakan:
- Phishing: Penyerang mengirimkan pesan palsu melalui email, pesan teks, atau media sosial dengan tujuan memancing korban untuk mengungkapkan informasi pribadi. Pesan tersebut sering kali meniru institusi terpercaya atau individu yang dikenal untuk menciptakan kesan kepercayaan.
- Pretexting: Penyerang menciptakan cerita atau alasan palsu untuk meyakinkan korban bahwa mereka berhak mendapatkan informasi yang sensitif. Mereka berperan sebagai seseorang dengan otoritas atau kedudukan penting, seperti petugas keamanan, pegawai bank, atau teknisi IT, untuk memperoleh akses ke informasi yang diinginkan.
- Baiting: Penyerang meletakkan “umpan” seperti USB drive atau CD palsu di tempat-tempat umum atau di dekat target yang dituju. Umpan tersebut biasanya berlabel menarik atau terlihat seperti sesuatu yang bernilai. Jika seseorang mengambil dan menggunakan umpan tersebut, malware dapat diaktifkan atau informasi rahasia dapat dicuri.
- Quid Pro Quo: Penyerang menawarkan sesuatu yang diinginkan oleh korban sebagai imbalan atas informasi yang diminta. Misalnya, penyerang dapat mengklaim memberikan hadiah, hadiah uang tunai, atau bantuan teknis jika korban mengungkapkan kata sandi atau memberikan akses ke sistem mereka.
- Tailgating: Penyerang mengikuti seseorang yang memiliki akses ke area terlarang atau sistem terbatas, kemudian menggunakan alasan yang meyakinkan untuk masuk bersama mereka. Dengan cara ini, penyerang dapat memanfaatkan kebaikan seseorang atau ketidaksempurnaan dalam proses keamanan fisik.
- Reverse Social Engineering: Penyerang menyamar sebagai seseorang yang membutuhkan bantuan atau informasi dari korban. Mereka memanfaatkan empati dan rasa ingin membantu korban untuk mendapatkan akses ke sistem atau informasi yang diinginkan.
Teknik-teknik social engineering ini bertujuan untuk memanipulasi emosi, kepercayaan, atau keinginan seseorang untuk mendapatkan keuntungan. Oleh karena itu, penting untuk meningkatkan kesadaran dan kehati-hatian terhadap upaya social engineering. Serta melibatkan langkah-langkah keamanan yang tepat untuk melindungi informasi pribadi dan sistem dari serangan semacam itu.
Referensi Teknik Unauthorized Access
[7] Irfan Fanasafa, “Waspada! Kehajatan Phising Mengintai Anda,” DJKN Kemenkeu RI, 2022.
[8] JAROT DIAN SUSATYONO, “Phising: Pengertian, Cara Kerja Dan Langkah Mengatasinya,” stekom.ac.id, 2022.
[9] Putri Aprilia, “Brute Force: Pengertian dan Cara Ampuh Mencegahnya!,” niagahoster.co.id, 2022.
[10] S. Alam and Y. N. Kunang, “ANALISIS SERANGAN BRUTE FORCE PADA IP ADDRESS CCTV (CLOSED CIRCUIT TELEVISION) MENGGUNAKAN METODE KOMPUTER FORENSIC,” Palembang, 2021.
[11] CSIRT Kemhan, “Apa itu malware?,” csirt.kemhan.go.id, 2021.
[12] BAGUS SUDIRMAN, “Mengenal Malware Dan Cara Mengatasinya,” stekom.ac.id, 2021.