Anda akan terkejut dengan banyaknya informasi yang dicuri oleh penjahat cyber. Masalahnya adalah Anda mungkin tidak mengerti mengapa mereka mencurinya. Tetapi begitu data ini dicuri dan diperoleh oleh individu atau organisasi kriminal, apa yang mereka lakukan dengannya?
Data suatu organisasi atau individu dapat dicuri dengan banyak cara tetapi paling sering dicuri oleh penjahat dunia maya melalui malware. “Penjahat dunia maya” atau “peretas” menggunakan keterampilan untuk tetap tidak terdeteksi atau sebaliknya dengan kekerasan, menembus jaringan perusahaan dan mengeksfiltrasi data secara manual. Perangkat lunak berbahaya yang dikenal sebagai malware dapat diprogram untuk menembus sistem dan mengekstrak data ke server host yang kemudian diakses oleh penjahat cyber. Malware dapat menyebar dalam banyak cara tetapi paling umum disebarkan oleh karyawan atau personal yang tidak curiga ditipu untuk mengunduhnya melalui proses yang dikenal sebagai “phishing.”
Jadi apa yang terjadi pada data ini yang pernah dicuri?
Cybercriminal akan mengeksploitasi data untuk keuntungan sendiri, atau menjual data di web gelap kepada seseorang yang kemudian akan mengeksploitasi data untuk mendapatkan keuntungan.
Web gelap, seperti namanya adalah sisi gelap dari internet yaitu serangkaian jaringan terenkripsi yang tersembunyi dari pandangan yang hanya dapat diakses melalui perangkat lunak khusus.
Pengguna dapat menjelajahi web gelap dengan anonimitas, yang berarti pembelian dan penjualan data yang diperoleh secara ilegal dapat terjadi.
Lantas bagaimana arus kasnya?
Jadi bagaimana mereka yang memiliki data curian mendapat untung? Itu tergantung pada jenis informasi yang dicuri. Setelah diperoleh, para penjahat dunia maya akan sering mengelompokkannya ke dalam berbagai kategori, yang kemudian lebih menarik bagi pembeli.
Di bawah ini adalah contoh bagaimana proses ini dapat bekerja dalam praktek:
- Penjahat dunia maya meretas platform media sosial dan mendapatkan daftar alamat email massal
- Mereka mengirim email phishing ke daftar massal itu
- Persentase tertentu akan mengklik tautan jahat
- Konsekuensinya beragam, tetapi dalam contoh ini, tautan mengekstraksi seluruh konten perangkat pengguna
- Pencarian oleh penjahat dunia maya yang terampil mengungkapkan dokumen tempat kata sandi untuk akun online dicatat
- Pengguna menggunakan kembali kata sandi ini untuk alamat email dan akun belanja online mereka. Penjahat cyber sekarang memiliki akses ke keduanya
- Di salah satu akun, pengguna menyimpan informasi kartu kredit mereka untuk checkout dengan lebih mudah
- Cybercriminal membeli barang melalui akun
- Karena mereka memiliki akses ke alamat email pengguna, mereka dapat menghapus peringatan keamanan atau email yang masuk
- Cybercriminal mencari akun email untuk informasi IP atau keuangan lebih lanjut yang dapat dimanfaatkan.
Langkah-langkah defensif
Seperti yang Anda lihat, proses di mana penjahat dapat mengambil untung dari informasi yang dicuri sangat banyak dan menguntungkan. Anda perlu mempertimbangkan informasi yang Anda miliki tentang pelanggan dan karyawan Anda dan bagaimana Anda mengelola data Anda sendiri, agar tetap aman.
Beberapa langkah penting pertama yang dapat Anda ambil sebagai usaha kecil adalah sebagai berikut:
-
Petakan dan pahami data Anda
Memahami informasi apa yang Anda pegang dan simpan adalah langkah awal yang penting sebagai usaha kecil untuk melindunginya. Sebagai bagian dari latihan untuk perlindungan data / GDPR, lakukan inventarisasi informasi Anda yang meliputi;
- Jenis data pribadi apa (nama, alamat) yang Anda miliki
- Di mana Anda memegangnya (dalam database)
- Sumber informasi (individu itu sendiri)
- Dasar hukum untuk memprosesnya (persetujuan individu, kinerja kontrak)
- Berapa lama Anda berniat menahannya (1 tahun)
- Akhirnya, bagaimana Anda melindunginya (enkripsi).
Ini juga merupakan ide yang baik untuk mengkategorikan data apa yang Anda miliki dan menerapkan perlindungan terhadapnya (data rahasia dienkripsi dan disimpan offline). Tanyakan pada diri Anda pertanyaan: apakah kita membutuhkannya? Jika Anda tidak membutuhkannya, jangan menyimpannya, hapus dan kurangi risiko Anda.
-
Menerapkan Kebijakan Keamanan Informasi (IS)
Memperkenalkan kebijakan IS adalah langkah awal yang bagus untuk melindungi data Anda dan pelanggan Anda. Kebijakan harus merinci bagaimana Anda memproses, menyimpan, dan mentransmisikan data Anda dan menerapkan aturan dalam penanganan data sensitif. Itu harus diedarkan di seluruh organisasi Anda, ditandatangani oleh semua staf yang mengakses data dan tersedia setiap saat.
-
Kesadaran dan Pendidikan
Memastikan Anda sadar akan risiko dan ancaman bersama adalah langkah besar untuk melindungi organisasi Anda.
-
Berikan pelatihan tentang cara mengenali email dan penipuan phishing.
Anda seringkali merupakan garis pertahanan pertama Anda terhadap penipuan, phishing, ransomware, dan situs web jahat. Meningkatkan kesadaran keamanan cyber mereka adalah salah satu cara paling efektif untuk mencegah kehilangan data dan serangan cyber terhadap bisnis Anda.
-
Respon insiden
Rencana respons insiden (IRP) harus ada untuk membantu bisnis Anda bereaksi dengan cepat jika terjadi pelanggaran data untuk meminimalkan dampak yang berpotensi merusak. IRP memberikan petunjuk terperinci tentang cara bereaksi terhadap berbagai skenario kejadian seperti pelanggaran data, ransomware, penolakan serangan layanan, wabah virus, dll.IRP Anda harus mempertimbangkan insiden-insiden yang dapat memengaruhi data berharga Anda dan menghambat kemampuan Anda untuk mengoperasikan bisnis Anda. Perencanaan ke depan akan membantu organisasi Anda merespons dan memulihkan secepat dan seaman mungkin.
Sumber : https://itgid.org/mengapa-penjahat-cyber-menginginkan-data-anda-waspada-jika-gadget-anda-hilang/
Baca Juga :
https://itgid.org/phishing-selalu-waspada-terhadap-lampiran-email-yang-mencurigakan/
