10 Metode Peretasan Teratas yang Harus Anda Ketahui

Perkembangan teknologi internet telah membawa banyak pertumbuhan dan peluang bisnis, begitu pula metode peretasan baru yang mengikutinya.

Dari pengguna media sosial pribadi hingga bisnis kecil dan perusahaan besar, jangkauan korban peretas modern sangat luas.

Oleh karena itu, demi kepentingan terbaik Anda, pahamilah kemungkinan bahaya yang mengintai di World Wide Web, serta milikilah informasi yang tepat untuk mengurangi ancaman keamanan tersebut. Artikel ini akan memberikan sedikit pencerahan.

Metode Peretasan Teratas

Berikut adalah metode peretasan teratas:

1. Rekayasa Sosial

Rekayasa sosial adalah proses memanipulasi calon korban untuk membocorkan informasi penting atau melakukan tindakan tertentu yang akan memberikan akses yang dibutuhkan penyerang. Ada banyak cara untuk melakukan rekayasa sosial, seperti menelepon korban dan meminta informasi sensitif. Metode ini disebut mencari dan sering digunakan untuk mengumpulkan informasi perbankan dari korban yang tidak menaruh curiga, yang percaya bahwa ada karyawan bank sungguhan di ujung sana.

Metode populer lainnya adalah Phishing, dan seperti metode telepon, metode ini juga melibatkan peniruan identitas. Di sini, situs web perbankan palsu bisa jadi terlihat 100% seperti situs web bank asli. Korban menerima email atau teks dengan tautan ke situs palsu tersebut, yang memintanya untuk segera memperbarui detailnya demi alasan keamanan. Namun, semua informasi yang dimasukkan ke situs palsu tersebut disalin oleh penyerang dan digunakan untuk mengosongkan akun korban.

Metode lainnya meliputi: peretas berteman dengan korban dan secara bertahap memperoleh akses ke informasi yang dibutuhkan, atau menyamar sebagai figur otoritas, seperti pegawai pemerintah, bos, atau agen keamanan untuk mengintimidasi korban agar membocorkan informasi.

Cara untuk menghindari menjadi korban rekayasa sosial antara lain tidak mempercayai orang asing, selalu memeriksa untuk memastikan Anda berada di situs web yang tepat dengan “https://” dan jangan pernah memberikan kata sandi atau kode PIN Anda, apa pun yang terjadi.

2. Menguping

Metode peretasan berbahaya lainnya adalah penyadapan. Metode ini berbahaya karena ada banyak cara untuk melakukannya dan tidak ada batasan jumlah informasi yang dapat diperoleh peretas.

Contoh metode termasuk mengendus paket jaringan untuk mengekstrak informasi menggunakan perangkat lunak penganalisa jaringan seperti WiresharkCara lain adalah memasang aplikasi kecil di komputer atau telepon pintar korban yang mencatat setiap penekanan tombol atau menangkap semua komunikasi teks.

Metode penyadapan lainnya termasuk serangan man-in-the-middle yang memungkinkan peretas menyampaikan informasi ke dua pihak, sementara mereka yakin bahwa mereka berkomunikasi secara langsung. Misalnya, jaringan GSM secara otomatis terhubung ke sinyal terkuat, jadi dengan memalsukan menara GSM jaringan tertentu, semua ponsel di area tersebut secara otomatis terhubung ke peretas dan meneruskan informasi mereka melalui sistemnya.

3. Pembajakan Sesi & Cookie

Peramban dan aplikasi berkomunikasi dengan server menggunakan sesi. Untuk masuk ke sesi dengan server, pengguna harus terlebih dahulu mengidentifikasi dirinya menggunakan kombinasi login/kata sandi, dan mungkin autentikasi 2 faktor. Ketika identitas pengguna diverifikasi, server memulai sesi dengan peramban pengguna, yang selama sesi tersebut tidak diperlukan verifikasi lebih lanjut hingga pengguna keluar.

Satu masalah kecil di sini adalah server akan menyimpan kue pada mesin pengguna yang diautentikasi atau menambahkan ID sesi ke URL, dengan mengatakan sesuatu seperti pengguna ini sudah siap, Anda paham maksudnya. Namun masalahnya adalah, jika seorang peretas dapat mencuri cookie atau ID sesi tersebut, maka ia memperoleh akses ke lingkungan terbatas yang harus diautentikasi oleh korban untuk dapat masuk. Ia kemudian dapat membuat posting, mentransfer uang, atau melakukan apa pun yang ia suka.

Sekarang, ada banyak cara untuk mencapainya:

1. XSS atau Cross-Site Scripting – Ini melibatkan tipu daya terhadap korban agar mengeklik tautan ke situs sah, namun menyertakan kode JavaScript untuk mencuri cookie miliknya dari situs sah tersebut dan mengirimkannya ke situs peretas.
2. Mengendus Sesi – Peretas dapat menggunakan pengendus jaringan seperti Wireshark untuk menyadap informasi sesi dan cookie.
3. Fiksasi Sesi – Penyerang mengirimkan tautan ke korban yang berisi ID sesi. Jika korban masuk dan sistem gagal membuat ID sesi baru, peretas dapat menggunakan ID sesi yang sama untuk masuk juga. Solusinya di sini adalah sistem selalu membuat ID sesi baru setelah setiap kali masuk.
4. Donasi Sesi – Peretas masuk ke situs yang sah, lalu mengirim tautan berisi data sesi ke korban, memintanya untuk memperbarui informasi. Korban akan melihat bahwa ia telah masuk dan jika ia tidak menyadari bahwa itu bukan akunnya, maka ia dapat memasukkan informasi sensitif, yang nantinya dapat dicuri oleh peretas. Salah satu solusinya adalah selalu keluar setelah selesai.

4. XSS dan CSRF

Seperti yang telah disebutkan di atas, XSS adalah singkatan dari Cross-Site Scripting, sedangkan CSRF adalah singkatan dari Cross-Site Request Forgery. Perlu dicatat di sini bahwa XSS lebih dari sekadar pencurian cookie biasa, karena ini semua tentang menjalankan skrip pada halaman yang dipercayai korban saat terhubung dengan situs web lain yang kurang tepercaya.

Korban tidak perlu login, diautentikasi, atau melakukan tindakan apa pun untuk menjadi sasaran serangan XSS, yang biasanya terjadi secara otomatis. Namun, untuk CSRF, korban harus login di situs web tertentu dan juga melakukan tindakan, seperti mengklik tombol.

Ambil contoh, Korban-Bob masuk ke situs web banknya, lalu ada sesuatu yang mengalihkan perhatiannya, dan dia masuk ke situs web yang menawarkan Liburan Gratis ke Macau, yang perlu dilakukannya hanyalah mengeklik tombol tersebut. Namun, setelah ia mengekliknya, situs web tersebut mengirimkan permintaan transfer uang ke banknya, dan karena ia memiliki sesi aktif dengan bank tersebut, permintaan tersebut mungkin akan terlaksana. 

Yang perlu dilakukan situs web penyerang hanyalah membuat formulir yang ditujukan ke bank dengan bidang yang tepat, seperti:

5. Hotspot Honeypot

Pernahkah Anda menggunakan WiFi gratis untuk mengakses web? Semoga Anda menggunakan VPN (Virtual Private Network) untuk melindungi diri Anda, atau Anda bisa saja menjadi korban honeypot.

Skemanya seperti ini: Seorang peretas menyiapkan hotspot WiFi gratis dengan packet sniffer di balik layar untuk mengambil kata sandi dan informasi berharga lainnya dari mereka yang berselancar di web secara gratis. Beberapa bahkan menyiapkan hotspot perusahaan palsu, seperti yang dapat Anda temukan di kedai kopi, bandara, dan restoran.

Untuk menghindari peretasan semacam itu, cukup jauhi hotspot gratis, atau gunakan VPN jika Anda harus menggunakan WiFi publik.

6. Kekerasan

Serangan brute force adalah upaya untuk masuk ke akun korban dengan mencoba semua kemungkinan kombinasi nama pengguna dan kata sandi. Serangan ini juga dapat merujuk pada pembobolan algoritma dengan mencoba sebanyak mungkin kunci.

Kali Linux, sistem operasi peretas yang populer, dilengkapi dengan alat brute force seperti John the Ripper, retak, dan Ular naga. Ada juga daftar kata, yang membantu dalam serangan kamus. Daftar ini berisi daftar kata sandi dan kata-kata paling populer dari kamus, seperti monyet, 12345, kata sandi rahasiaku, 00000,  dan seterusnya.

Metode untuk menghindari serangan brute force meliputi penambahan captcha pada halaman login, pembatasan jumlah percobaan login, dan penerapan kata sandi yang aman – 8 karakter atau lebih, dengan kombinasi simbol, angka, serta huruf besar dan kecil.

7. Serangan DoS dan DDoS

DoS adalah singkatan dari Denial of Service serangan, sedangkan DDoS adalah singkatan dari Distributed Denial of Service serangan. Tujuannya di sini adalah untuk membanjiri sistem komputer, seperti server, dengan begitu banyak permintaan, sehingga sistem tersebut tidak dapat memenuhi permintaan lebih lanjut – menjadi offline.

DoS berasal dari satu mesin dan mudah dikenali serta diblokir. Di sisi lain, DDoS berasal dari banyak komputer dan ini bisa jadi botnet yang tersebar di seluruh dunia, sering kali berasal dari komputer yang terinfeksi malware.

Perlu dicatat bahwa tidak seperti kebanyakan metode lain dalam daftar ini, serangan DDoS tidak bertujuan untuk mencuri atau mengeksekusi kode berbahaya di komputer korban. Sebaliknya, serangan ini digunakan untuk mengepung server bisnis, karena perusahaan-perusahaan ini tidak mungkin dapat melanjutkan layanan mereka hingga tebusan dibayarkan.

Cara paling sederhana untuk menghindari serangan DDoS adalah dengan menggunakan web host yang menyertakan perlindungan DDoS dalam paket yang ditawarkan.

8. Serangan Situs Web yang Ditargetkan & Tidak Ditargetkan

Serangan tertarget adalah serangan yang ditujukan khusus ke situs web korban, sedangkan serangan tidak tertarget terjadi pada situs web karena penyerang mengeksploitasi kelemahan perangkat lunak umum.

Situs web WordPress, misalnya, rentan terhadap serangan yang tidak tertarget, terutama yang berjalan pada versi lama yang belum diperbarui. Penyerang menemukan eksploitasi yang berfungsi dengan platform, versi, atau kerangka pengembangan tertentu, lalu menjalankan eksploitasi tersebut melalui daftar alamat situs web yang menggunakan platform tersebut, untuk melihat mana yang berhasil.

Untuk serangan tertarget, peretas akan menghabiskan lebih banyak waktu untuk mengenal situs web korban, dan ini dapat berlangsung mulai dari beberapa hari hingga berbulan-bulan. Serangan tertarget biasanya lebih berbahaya dan dapat berakibat fatal, terutama bagi perusahaan besar.

9. Injeksi SQL

Ketika LulzSec membobol server Sony PlayStation Network pada tahun 2011 dan mencuri 1 juta kata sandi, mereka menggambarkan operasi tersebut sebagai peretasan injeksi SQL sederhana.

Injeksi SQL adalah tindakan menambahkan perintah bahasa SQL ke alamat permintaan situs web, dengan harapan bahwa pemrogram tidak menghapus masukan yang berpotensi membahayakan tersebut. Dan ketika SQLi berfungsi, peretas sering kali memperoleh akses admin ke basis data, seperti yang terjadi di Sony.

Mencegah injeksi SQL dapat dilakukan dengan menggunakan versi terbaru dari platform dan kerangka kerja populer. Namun, mereka yang membangun sendiri harus fokus pada validasi input yang tepat, penggunaan pernyataan yang telah disiapkan, prosedur tersimpan, dan pemindaian kerentanan.

10. Kerentanan Plugin

Selain masalah keamanan inti pada platform populer seperti WordPress, yang sering kali dapat dihindari dengan memperbarui ke versi perangkat lunak terbaru, plugin, di sisi lain, dapat menimbulkan ancaman peretasan yang besar.

Ada lebih dari 50,000 plugin di ekosistem WordPress, dan masing-masing plugin berpotensi menimbulkan risiko keamanan, karena mayoritas peretasan WordPress saat ini berasal dari kerentanan plugin ini.

Meskipun keamanan 100% tidak mungkin di sini, Anda tetap dapat meningkatkan pertahanan situs web terhadap kerentanan plugin dengan hanya memilih plugin berkualitas tinggi dengan peringkat tinggi. Kemudian, lakukan pembaruan sistem inti dan plugin secara berkala, dan hindari penggunaan tema atau ekstensi lama apa pun.

Kesimpulan

Kami telah mencantumkan 10 metode peretas teratas yang ada dan Anda telah melihat penyebab dan metode pencegahannya. Seperti yang telah Anda simpulkan, peretasan adalah bagian dari dunia komputer, jadi ancaman peretasan harus selalu diperhitungkan. 

Namun, dengan mewaspadai ancaman ini, dan menerapkan tindakan perlindungan yang tepat bila perlu, Anda pun dapat mengurangi risiko peretasan secara drastis.