Lindungi diri Anda dari permintaan EDR palsu

Penjahat dunia maya menggunakan Permintaan Data Darurat (EDR) palsu untuk membujuk perusahaan teknologi agar memberi mereka data pengguna yang sensitif. Baca terus untuk informasi lebih lanjut tentang masalah ini dan beberapa tip untuk membantu Anda tetap aman.

Apa itu permintaan data darurat?

EDR memungkinkan penegak hukum untuk meminta data pengguna dari penyedia layanan Internet (ISP), operator seluler, atau perusahaan teknologi lainnya. Biasanya, permintaan semacam itu dapat melibatkan perintah pengadilan. Tetapi undang-undang penerbitan elektronik melampaui perlindungan konstitusional standar, karena mereka digunakan ketika penegak hukum yakin seseorang dalam bahaya.

EDR dapat menyelamatkan nyawa. Tetapi mereka menciptakan dilema bagi perusahaan teknologi. Situs berita keamanan siber KrebsOnSecurity merangkumnya dengan baik: Perusahaan mana yang menerima laporan EDR?

… dia menemukan dirinya terjebak di antara dua hasil yang tidak menyenangkan: ketidakpatuhan langsung dengan EDR – berpotensi darah di tangan seseorang – atau mungkin catatan pelanggan bocor ke orang yang salah.

Sayangnya, itulah mengapa peretas baru-baru ini dapat mengelabui perusahaan teknologi besar – termasuk Discord, Meta, dan Apple – untuk menyerahkan data pribadi penggunanya.

Mengapa perusahaan jatuh untuk kasus peringatan elektronik penipuan?

Alasan peretas dapat mengirim laporan elektronik palsu yang menurut perusahaan sederhana: mereka menyusup ke lembaga penegak hukum.

Seperti yang dijelaskan oleh artikel KrebsOnSecurity, aktor jahat yang terlibat dalam gelombang penipuan EDR baru-baru ini pertama kali melanggar akun email pejabat penegak hukum. Mereka kemudian menggunakan akun tersebut untuk mengirim e-sertifikat palsu ke perusahaan. Dalam hal bagaimana peretasan sebenarnya terjadi, ada berbagai kemungkinan: mengeksploitasi kerentanan di situs web departemen kepolisian, orang dalam yang menjual akses akun di web gelap, atau rekayasa sosial kuno.

Apa efeknya?

Sangat menakutkan untuk berpikir bahwa orang jahat dapat menyamar sebagai polisi dan meminta perusahaan memberi mereka data pribadi kita. Tapi apa dampak dunia nyata dari jenis kegiatan kriminal ini?

sulit untuk dikatakan. Dalam kasus Meta dan Apple, peretas meminta perincian pelanggan dasar. Ini termasuk alamat IP, alamat rumah, dan nomor telepon. Ini mungkin terdengar agak tidak berbahaya, tetapi seperti yang kami perhatikan setelah pelanggaran data Facebook 2021, orang jahat dapat dengan mudah menggunakan informasi ini untuk manipulasi psikologis, pencurian identitas, pengambilalihan akun, dan phishing telepon.

Wartawan Bloomberg berbicara dengan pejabat yang menyelidiki insiden itu. Mereka diberitahu bahwa data yang dicuri itu “digunakan untuk mengaktifkan kampanye pelecehan” dan bahwa itu bisa “digunakan untuk memfasilitasi skema penipuan keuangan” dengan membantu peretas “melewati keamanan akun”.

Dan ini hanya satu kejadian. Masalahnya adalah saat ini perusahaan tidak memiliki cara untuk mengetahui apakah email berasal dari penegak hukum dari akun yang diretas. Dengan kata lain, itu bisa terjadi lagi.

Dan lain kali, peretas mungkin mencari lebih dari sekadar detail “penting”. Formulir EDR Apple bersifat terbuka dalam hal informasi yang dapat diminta oleh karyawan. KrebsOnSecurity telah menemukan utas penjualan di forum peretas yang menjanjikan akses ke akun email pemerintah untuk tujuan pengiriman laporan EDR palsu. Penjual menyebutkan kemungkinan menggunakan EDR untuk mendapatkan gambar eksplisit dari pengguna.

Bagaimana Anda menjaga diri Anda tetap aman?

Sebagai individu, tidak banyak yang dapat Anda lakukan untuk mencegah penjahat dunia maya menyusup ke departemen kepolisian. Dan Anda tidak dapat benar-benar membantu perusahaan teknologi memvalidasi EDR mereka.

Namun, ada prinsip dasar keamanan siber yang dapat melindungi Anda di sini. Ini juga berlaku untuk EDR palsu dan ancaman keamanan dan privasi lainnya. Prinsipnya adalah ini:

Jika perusahaan tidak pernah memiliki akses ke data Anda sejak awal, mereka tidak akan kehilangannya — atau menyerah.

Berikut adalah beberapa cara untuk menerapkan konsep penting ini dalam kehidupan sehari-hari:

  1. Batasi data pribadi yang Anda berikan

Banyak orang yang menyerahkan datanya kepada siapa saja yang bertanya. Ini adalah kebiasaan buruk, karena meningkatkan potensi eksposur Anda jika terjadi pelanggaran data atau EDR palsu.

Facebook, misalnya, menanyakan nomor telepon Anda ketika Anda mendaftar untuk sebuah akun. Tapi mereka tidak memintanya. Jadi … mengapa memberikannya kepada mereka? Jika orang jahat mengirimkan nomor EDR palsu ke Facebook untuk meminta nomor telepon Anda, tetapi Anda tidak pernah memberikan nomor telepon Anda, semua yang dapat diberitahukan oleh Facebook kepada pemohon adalah: “Maaf, kami tidak memiliki nomor terdaftar untuk pengguna ini.”

Sebagai aturan umum: jika Anda tidak diharuskan memberikan informasi pribadi Anda kepada perusahaan, jangan lakukan itu! Ini berlaku untuk nomor telepon, alamat rumah, nama lengkap resmi, dan hampir semua hal lain yang dapat Anda pikirkan.

  1. Jangan berikan akses ke situs

Bila memungkinkan, batasi akses ke data situs Anda. Prinsip dasar yang sama berlaku di sini: Jika sebuah perusahaan tidak memiliki catatan di mana Anda berada, mereka tidak dapat membocorkannya atau menyerahkannya kepada perwakilan yang buruk.

Ini tidak berarti bahwa Anda harus mematikan layanan lokasi sepenuhnya. Ada beberapa fitur penting dan berguna yang memerlukan ini, seperti fitur Find My Apple. Dalam kasus seperti itu, menyediakan akses ke data lokasi Anda mungkin sepadan dengan risikonya — terutama mengingat apa yang bisa terjadi jika Anda kehilangan iPhone tanpa mengaktifkan Cari Milik Saya. Selain itu, Apple hanya menyimpan data Temukan Lokasi Saya selama 24 jam sebelum menghapusnya, sehingga eksposur Anda berkurang.

Tetapi ada banyak aplikasi dan layanan di luar sana yang tidak ada hubungannya dengan mengetahui lokasi Anda — namun mereka mengumpulkan sebanyak mungkin data lokasi pengguna, menyimpannya lebih lama daripada Apple. Penyebab nama besar di sini adalah Google dan Facebook, tetapi banyak bisnis kecil juga melakukannya.

Di iOS, Anda dapat membuka Pengaturan > Privasi > Layanan Lokasi dan gulir ke bawah untuk mengizinkan atau menolak akses lokasi berdasarkan aplikasi demi aplikasi. Err di sisi hati-hati!

  1. Gunakan enkripsi ujung ke ujung bila memungkinkan

Semua aplikasi komunikasi mengenkripsi pesan Anda saat dirutekan melalui server perusahaan. Tapi ada enkripsi, dan kemudian ada enkripsi!

Yang terbaik adalah menghindari alat perpesanan karena perusahaan teknologi menyimpan kunci enkripsi yang dapat mendekripsi pesan Anda. Sebagai gantinya, gunakan aplikasi pesan terenkripsi ujung ke ujung (E2EE). Dalam enkripsi ujung ke ujung, data dalam pesan Anda hanya dapat dibaca oleh Anda dan penerima – sistem dirancang agar tidak ada pihak ketiga (termasuk perusahaan teknologi di belakang aplikasi) yang dapat membaca pesan Anda. Jika aktor jahat meminta E2EE untuk pesan Anda, yang bisa mereka katakan hanyalah: “Maaf, apa yang Anda minta secara kriptografis tidak mungkin!”

Ketika datang ke aplikasi pesan E2EE, Signal adalah standar emas. Jika Anda mengirim pesan ke pengguna Apple lain, aplikasi Pesan asli juga akan dienkripsi ujung-ke-ujung secara default. Jika Anda ingin memastikan bahwa email Anda terenkripsi ujung ke ujung, Anda dapat menggunakan layanan seperti ProtonMail atau Tutanota.

  1. Simpan data yang sangat sensitif dengan aman

Jika Anda perlu “menghapus” informasi sensitif secara digital, jangan gunakan catatan standar atau mengandalkan trik lama mengirim email kepada diri sendiri. Metode ini menyimpan data dalam bentuk yang aman dari pengintaian, tetapi perusahaan masih dapat mengaksesnya.

Sebagai gantinya, gunakan E2EE untuk melindungi data Anda yang paling sensitif. Di Mac, Anda dapat menggunakan Catatan Aman di Akses Rantai Kunci untuk membuat catatan terenkripsi ujung ke ujung — dengan kata lain, catatan yang tidak dapat didekripsi oleh Apple. Anda juga dapat mengubah catatan biasa menjadi catatan yang aman, terenkripsi ujung-ke-ujung, dan dilindungi kata sandi: situs web Apple memiliki petunjuk tentang cara melakukannya.

Jika Anda tidak menggunakan platform Apple, atau jika Anda adalah pengguna lintas platform, jangan khawatir. Banyak aplikasi pengelola kata sandi juga menawarkan fitur catatan aman E2EE.

  1. Ketahui status enkripsi cadangan Anda

Banyak hal yang Anda cadangkan ke iCloud — termasuk foto dan catatan standar — tidak dilindungi oleh enkripsi ujung ke ujung. Ini berarti Apple dapat, jika perlu, mengaksesnya. Seperti yang ditemukan oleh sekelompok penjahat, ini juga berlaku untuk cadangan percakapan pesan Anda: meskipun aplikasi Pesan itu sendiri adalah E2EE, cadangan pesan yang Anda simpan di iCloud tidak!

Jika Anda tidak yakin apa yang dienkripsi ujung-ke-ujung di iCloud dan apa yang tidak, Apple menyediakan informasi ini di situs webnya. Untuk privasi lengkap, cadangkan file Anda ke drive eksternal, atau secara lokal ke Mac yang dilindungi oleh FileVault.

Namun, ini adalah trade-off, karena ini mungkin tidak nyaman atau dapat diandalkan seperti yang Anda inginkan. Ada alternatif, tetapi memerlukan upaya sadar: pastikan tidak ada yang sensitif dicadangkan ke iCloud. Jika Anda memiliki pesan rahasia atau foto “terlalu pribadi”, simpan secara terpisah

  1. Gunakan VPN

ISP diketahui mencatat semua jenis informasi tentang alamat IP Anda, situs yang Anda kunjungi, dan banyak lagi. Cara terbaik untuk memastikan bahwa perusahaan-perusahaan ini tidak pernah dapat mengungkapkan riwayat web Anda kepada pihak ketiga adalah dengan memastikan bahwa mereka tidak memilikinya.

VPN bekerja dengan mengenkripsi lalu lintas jaringan dan merutekannya melalui server VPN. Ini berarti bahwa satu-satunya hal yang benar-benar dapat dilihat oleh ISP Anda adalah bahwa Anda terhubung ke alamat IP yang terkait dengan VPN. Detail aktivitas web Anda, termasuk situs yang Anda kunjungi, tetap pribadi. Untuk privasi yang lebih baik, gunakan VPN tanpa log yang bereputasi baik kapan pun Anda online.

Lebih Banyak Praktik Terbaik untuk Keamanan yang Kuat

Konsep lain dari keamanan siber relevan di sini: mengurangi dampak pelanggaran.

Anda mungkin tidak dapat mencegah pelaku jahat menggunakan catatan EDR palsu untuk mendapatkan data pribadi Anda. Tetapi Anda dapat mengambil langkah-langkah untuk membatasi kerusakan jika itu terjadi. Berikut adalah tiga tip dasar:

  1. Gunakan email burner untuk mendaftar

Terkadang Anda harus memberikan beberapa informasi kepada perusahaan atau layanan untuk mendaftar. Tidak apa-apa, tetapi Anda masih dapat mempertahankan kendali atas informasi yang Anda berikan – dan bagaimana hal itu berkaitan dengan sisa kehidupan digital Anda.

Jika Anda pengguna iCloud+, Apple memungkinkan Anda membuat alamat email “salin” unik menggunakan fitur Sembunyikan Email Saya. Saat Anda mendaftar untuk aplikasi atau situs web baru, Anda dapat memberi mereka email cepat yang meneruskannya ke email iCloud Anda.

Ini memberi sedikit ruang antara email yang terdaftar di perusahaan dan alamat email Anda yang sebenarnya: alamat yang terkait dengan nama asli Anda dan akun penting lainnya. Jika seseorang mengirim nomor EDR palsu ke Perusahaan X, mereka mungkin mendapatkan salinan alamat email akun Anda. Tapi itu akan menjadi akun yang tidak terkait dengan hal lain.

  1. Gunakan otentikasi dua faktor berbasis aplikasi

Salah satu bahaya peretas mengetahui nama dan nomor telepon Anda adalah mereka dapat menggunakannya untuk memfasilitasi pengambilalihan akun atau serangan pertukaran SIM.

Untuk meningkatkan keamanan akun Anda, gunakan otentikasi dua faktor (2FA) berbasis aplikasi bila memungkinkan. Opsi populer termasuk Authy dan Google Authenticator.

Otentikasi 2FA berbasis aplikasi memberikan perlindungan tambahan untuk faktor otentikasi kedua, tetapi tidak terikat pada kartu SIM, dan tidak bergantung pada pesan SMS yang tidak aman.

  1. Gunakan nomor telepon virtual untuk akun utama

Beberapa akun tidak mengizinkan Anda menggunakan otentikasi dua faktor (2FA) berbasis aplikasi (bank terkenal kuno dengan cara ini), dan ada juga risiko lain yang terkait dengan seseorang yang mengetahui nomor telepon di akun sensitif.

Untuk keamanan yang lebih baik, Anda dapat memiliki nomor telepon virtual rahasia yang Anda gunakan untuk akun terpenting Anda (misalnya, bank Anda). Jika nomor telepon virtual Anda dikaitkan hanya dengan beberapa akun, dan tidak dikaitkan dengan Anda secara publik dengan cara lain, ini mengurangi dampak seseorang mendapatkan nomor telepon harian Anda dari perusahaan lain.

Bagaimana menimbang risiko terhadap manfaatnya?

Secara umum, keamanan siber adalah masalah keseimbangan dan pertukaran.

Banyak orang di komunitas keamanan menggunakan alat seperti cadangan foto iCloud. Mereka memahami risiko seseorang meretas foto mereka. Tetapi mereka percaya bahwa risiko kehilangan foto-foto berharga lebih besar daripada manfaat keamanan dari cadangan terenkripsi lokal.

Karena situasi setiap orang berbeda, individu harus memutuskan risiko apa yang bersedia mereka ambil dan pertukaran apa yang bersedia mereka terima. Kami berharap informasi di sini akan membantu Anda memahami pilihan Anda dan membuat keputusan yang lebih tepat.

Leave a Comment