Artikel
kali ini saya salin dari web senior sekaligus dosen lepas saya yang
saya anggap memang mumpuni dalam bidang teknologi informatika dan
jaringan karena menurut saya ini sangatlah penting untuk diketahui
bersama. Beliau bernama Muhammad Zia Ul Haq admin dari situs zia.web.id
setelah saya membaca artikel tersebut secara seksama memang sangat
benar adanya, isi konten tidak diragukan lagi karena memiliki sumber
bacaan yang jelas dan tentunya setiap tulisan beliau berpola
sebab-akibat + solusi, ini yang membuat menarik untuk dibaca, dalam
artikel ini dibahas persoalan tetang pencurian data.
Identity
steal/ theft merupakan salah satu tindakan kriminal berupa pencurian
identitas seseorang atau informasi berharga lainnya untuk suatu
keperluan, dan yang paling sering dijumpai adalah untuk tujuan
finansial. Adapun teknik yang umumnya dilakukan oleh pelaku melakukan
aksinya adalah sebagai berikut:
- Phishing, adalah aksi penipuan biasanya dilakukan oleh pelaku kejahatan dengan mengirimkan file melalui email atau dengan menyediakan layanan palsu kepada calon korban yang berisi jebakan untuk memperoleh informasi berharga korban, diantaranya identitas pribadi.
- Pharming, mengarahkan lalulintas situs (spoofing) alamat situs web melalui eksploitasi Domain Nameserver (DNs). Dengan mengarahkan situs web asli ke situs web palsu, korban mengira telah mengunjungi situs web yang benar, sehingga tanpa ragu melakukan pengisian identitas (contohnya username dan password) atau informasi lainnya yang diminta oleh situs tersebut.
- Pretexting, Menggunakan identitas atau dengan alasan palsu untuk memperoleh informasi dari korban. Dalam prakteknya pelaku biasanya mengatasnamakan delegasi/mawakili suatu perusahaan tertentu dan meminta beberapa informasi penting dari korban. Korban yang percaya akan memberikan informasi pribadinya yang kemudian digunakan oleh pelaku untuk mendapatkan suatu keuntungan.
- Quid Pro Quo, Memberi iming-iming hadiah berupa benda atau layanan yang menarik dengan terlebih dulu mewajibkan korban untuk memberikan informasi pribadinya. Selanjutnya pelaku memanfaatkan informasi yang telah diperolehnya untuk aktifitas ilegal.
- Skimming, Penggunaan alat pembaca magnetik portabel untuk tujuan ilegal. Kasus yang terbanyak dijumpai adalah untuk tujuan memperoleh data kartu kredit. Kemudian data yang telah diperoleh dipindahkan kedalam kartu lainnya atau langsung digunakan melalui fasilitas online.
- System Exploit, Dalam prakteknya pelaku menggunakan berbagai cara diantaranya:
- Password Cracking, yakni melakukan tindakan penebakan password dengan berbagai metode, yang paling banyak dilakukan dengan metode bruteforce atau menebak dengan menggunakan daftar kata (wordlist).
- SQL injection, yakni dengan melakukan eksploitasi pada kelemahan yang terdapat pada database, apabila berhasil informasi yang terdapat dalam database tersebut dapat dengan mudah diambil oleh penyerang.
- Jenis system exploit lainnya yang memungkinkan penyerang mengakses system computer diantaranya XSS, Man-in-the-Middle Attack, DDoS dan lainnya.
Selain
yang telah disebutkan terdapat sejumlah teknik lainnya yang dapat
dikategorikan ke dalam 4 dasar teknik, yakni: a. Teknik yang membutuhkan
tindakan dan perangkat khusus (contohnya alat skimmer, kamera dan
lainnya), b. Teknik yang memanfatkan teknologi informasi (komputer dan
internet), dan c. Teknik yang memanfaatkan kelengahan dalam interaksi
social (Social Engineering) dan yang terakhir adalah d. Teknik yang
menggabungkan 3 macam dasar teknik yang ada.
Penanganan
Semakin
maraknya tindakan pencurian identitas mengharuskan setiap individu
untuk lebih berhati-hati dalam menjaga kerahasiaan identitas
masing-masing. Disamping itu agar tidak menjadi korban, seharusnya
setiap individu membekali diri dengan pengetahuan yang cukup dalam upaya
memproteksi diri dari tindakan ilegal ini.
Upaya proteksi secara individu terdiri dari 2 katogori, yakni upaya menghindarkan diri menjadi korban identity theft dan upaya menghindari dan atau mengurangi kerugian yang dapat ditimbulkan apabila menjadi korban identity theft.
- Upaya menghindarkan diri menjadi/sebagai korban Identity Theft
- Tidak menyimpan, meletakkan dan membuang berbagai benda yang mengandung/menyimpan informasi penting seperti komputer pribadi, hardisk, flashdisk, lembaran dan kartu berharga di sembarang tempat.
- Memproteksi informasi pribadi dan informasi rahasia lainnya dengan tidak memberikan kepada siapapun baik dalam bentuk digital maupun fisik, kecuali untuk keperluan yang telah diatur dan dilindungi oleh undang-undang, termasuk nomer telepon dan alamat email yang biasa digunakan untuk keperluan penting.
- Tidak menggunakan perangkat keras dan perangkat lunak tanpa pengetahuan yang cukup tentang keamanan penggunaan perangkat tersebut.
- Menggunakan perangkat lunak asli dan berlisensi resmi.
- Menggunakan antivirus yang terupdate pada perangkat teknologi informasi yang dimiliki.
- Mengamankan jaringan baik jaringan internet, LAN dan jaringan Nirkabel yang dimiliki dengan menggunakan firewall, IPS, dan IDS serta WPA/2 untuk jaringan nirkabel.
- Menggunakan sosial media dengan bijaksana dengan menerapkan aturan privacy yang cukup dan tidak memposting/sharing informasi dan urusan pribadi secara berlebihan.
- Melakukan manajemen password diantaranya dengan melakukan penggantian password secara berkala, tidak menggunakan password yang sama utamanya pada layanan sangat penting dan rahasia dan tidak mencatat atau menyimpan password dalam bentuk file, jika diperlukan gunakan two factors auth untuk lebih memperkuat autentikasi.
- Tidak menggunakan komputer dan jaringan publik untuk keperluan rahasia/privat. Utamanya komputer dan jaringan yang tidak jelas sistem keamanannya, seperti penggunaan komputer warnet, jaringan wifi gratis di café-café dan lainnya.
- Tidak mengunjungi tautan-tautan mencurigakan dan yang tidak perlu, utamanya tautan pada spam di mailbox, tautan yang bergambar pornografi, tautan download gratis untuk software yang sebenarnya berbayar dan lainnya.
- Tidak mudah percaya dan menerima penawaran, baik secara langsung, melalui telfon, sms atau melalui internet.
- Mengenali ciri penyedia layanan terpercaya baik offline maupun online, dengan melihat beberapa review, track record melalui media dan hanya menggunakan layanan yang terpercaya utamanya yang meminta identitas pribadi dan keuangan.
- Hanya bertransaksi keuangan dengan penyedia layanan online yang telah memiliki sertifikat atau terverifikasi seperti menggunakan SSL, Verified by Visa, Authorize.net dan lainnya.
- Melakukan pengecekan laporan saldo dan transaksi keuangan secara berkala.
- Hanya menghubungi helpdesk yang resmi untuk bantuan dan pengaduan layanan yang digunakan.
- Membiasakan diri mempelajari atau setidaknya membaca setiap aturan, peringatan, TOS dan SLA yang tertulis dalam layanan digunakan.
- Upaya menghindari dan atau mengurangi kerugian akibat identity theft
Seorang
bisa saja telah melakukan proteksi yang maksimum secara pribadi. Namun
kemungkinan dirinya menjadi korban masih ada, contohnya ketika salahsatu
penyedia layanan yang dipakainya lalai dalam mengamankan identitas
pelanggannya. Selanjutnya data-data penting pelanggan jatuh ketangan
pelaku kejahatan dan digunakan untuk mendapatkan keuntungan.
Pada
kasus seperti ini maka yang harus dilakukan adalah upaya untuk
menghindari atau setidaknya mengurangi kerugian (jika ada) dengan
beberapa langkah, diantaranya:
- Salahsatu tindakan mengurangi kerugian dengan memakai jasa perlindungan nasabah yang akan memberikan ganti rugi apabila menjadi korban pencurian identitas, contohnya pada https://www.lifelock.com/
- Segera memblokir akun yang terkait dengan keuangan atau urusan penting lainnya, contohnya akun bank dan kartu kredit yang digunakan pada penyedia jasa tersebut.
- Melaporkan kejadian pada pihak yang berwenang, contohnya pihak keamanan dengan mengisi kronologi kejadian sebagai upaya hukum.
Upaya Penyedia Layanan dalam Memerangi Identity Theft
Selain
upaya pencegahan secara individu yang kami paparkan diatas, terdapat
pula upaya yang harus dilakukan oleh penyedia layanan/jasa. Upaya ini
diperlukan dengan tujuan selain menjaga keamanan informasi
perusahaan/organisasi juga menjamin pelanggannya terhindar dari
pencurian identitas akibat kelalaian perusahaan dan kelemahan sistemnya.
Secara
garis besar yang harus dilakukan oleh organisasi dalam rangka
memproteksi pihak yang terlibat didalamnya yakni dengan menerapkan
manajemen risk yang baik diantaranya berupa:
- Konsisten menjalankan aktifitas organisasi sesuai dengan aturan yang ada.
- Melakukan kontrol dan monitoring aset dan layanan secara maksimal.
- Membuat Rencana Kontinjensi (Contingency Planning) dan menjalankannya apabila terjadi insiden.
Salahsatu
hal yang terpenting dalam menanggapi kasus kasus identity theft adalah
dengan lebih memahami konteks keamanan informasi dalam perspektif social engineering, dikarenakan hampir seluruh latar belakang berikut penanganannya melibatkan pengaruh psikis dalam pengambilan keputusan.
Penanganan pencurian identitas pada beberapa negara maju semisal Amerika Serikat mendapat porsi perhatian yang serius dan khusus salahsatunya dengan didirikannya lembaga/ badan khusus menangani persoalan ini (https://www.identitytheft.gov/). Sementara di Indonesia pencurian identitas belum dianggap sebagai kejahatan khusus, sehingga penanganannya masih dikategorikan kedalam pencurian seperti pencurian pada umumnya.
Penanganan pencurian identitas pada beberapa negara maju semisal Amerika Serikat mendapat porsi perhatian yang serius dan khusus salahsatunya dengan didirikannya lembaga/ badan khusus menangani persoalan ini (https://www.identitytheft.gov/). Sementara di Indonesia pencurian identitas belum dianggap sebagai kejahatan khusus, sehingga penanganannya masih dikategorikan kedalam pencurian seperti pencurian pada umumnya.
sumber: http://zia.web.id/2016/04/24/pencurian-identitas-teknik-dan-penanganannya/
