5 Sejarah Serangan Brute Force Yang Fatal Menyebabkan Banyak Kerugian – Pengguna online berada di bawah ancaman terus-menerus dari pelanggaran keamanan, dan serangan brute force adalah penyebab khusus yang menjadi perhatian. Berikut adalah beberapa yang terburuk.
Menyadari bahwa akun Anda telah diretas bukanlah hal yang menyenangkan. Penyerang siber yang mendapatkan akses tidak sah ke jaringan Anda mengekspos informasi pribadi Anda, dan begitu ini terjadi, mereka dapat melakukan apa pun yang mereka inginkan dengannya.
Apakah Anda tidak yakin bagaimana mereka meretas akun Anda, terutama ketika Anda berhati-hati dengan kredensial masuk Anda? Mereka mungkin mengetahuinya dengan kekerasan. Tetapi Anda tidak sendirian—beberapa organisasi terkenal juga pernah mengalami nasib yang sama sebelumnya.
Pada artikel ini, kami akan menyoroti lima serangan brute force yang menyebabkan pelanggaran keamanan besar-besaran.
Apa Itu Serangan Brute Force?
Serangan brute force adalah proses mencoba setiap tombol pada keyboard komputer untuk menemukan kata sandi atau kredensial login yang benar. Ini lebih atau kurang permainan menebak.
Konsep serangan brute force menciptakan gambar penyerang cyber yang duduk di komputer mereka, menebak kata sandi ke sistem atau akun. Namun, itu pada tingkat dasar.
Para penyerang siber telah menjadi lebih canggih dalam keterampilan mereka selama bertahun-tahun. Alih-alih menebak sendiri, mereka terkadang menggunakan teknologi canggih yang memungkinkan komputer menebak kata sandi dengan menggabungkan semua kemungkinan kata.
Apakah Serangan Brute Force Ilegal?
Yang menentukan apakah serangan itu ilegal atau tidak adalah akses yang sah atau tidak sah. Jika Anda menggunakan kekerasan untuk mendapatkan akses ke jaringan seseorang tanpa izin mereka, itu ilegal.
Ada beberapa kasus di mana serangan brute force bisa legal, dan itu sebagian besar selama tes penetrasi. Misalnya, sebuah organisasi dapat menyewa pakar keamanan ofensif untuk menguji kekuatan keamanan jaringannya dengan meretasnya . Dalam hal ini, ada instruksi yang jelas tentang apa yang harus dilakukan peretas.
Penyedia keamanan jaringan juga menggunakan uji penetrasi untuk memastikan keamanan jaringan klien mereka. Klien tersebut sepenuhnya menyadari tes penetrasi dan menyetujuinya.
Tujuan dari Serangan Brute Force
Ada beberapa metode brute force yang digunakan oleh penyerang untuk aktivitas jahat mereka. Metode yang digunakan untuk menyerang tergantung pada keahlian penyerang, tujuan mereka, dan tingkat keamanan jaringan.
Jenis serangan brute force termasuk serangan brute force sederhana, serangan kamus, serangan kekuatan hibrida, serangan brute force terbalik, dan isian kredensial.
Saat melakukan serangan brute force, peretas bertujuan untuk menyebabkan gangguan. Di bawah ini adalah lima alasan utama penjahat menggunakan taktik ini.
1. Pencurian Informasi Pribadi
Pelaku serangan brute force dapat meretas jaringan Anda untuk mencuri informasi pribadi Anda seperti detail kartu kredit, kata sandi akun, nomor identifikasi pribadi (PIN), dan kredensial lain yang Anda gunakan untuk aktivitas online.
2. Kerusakan Reputasi
Serangan brute force dapat digunakan untuk tujuan balas dendam. Orang yang dirugikan dapat menyewa jasa penyerang siber untuk meretas jaringan Anda dengan kekerasan, dan menggunakan data sensitif Anda untuk merusak reputasi Anda.
3. Menjual Kredensial ke Pihak Ketiga
Setelah mendapatkan akses ke kredensial Anda, seorang peretas dapat menjualnya kepada pihak ketiga yang bersedia membayar banyak uang untuk mereka. Nilai pasar kredensial Anda ditentukan oleh nilainya.
4. tebusan
Penyerang cyber dapat menggunakan serangan brute force untuk membajak sistem Anda dan meminta Anda untuk membayar uang tebusan sebelum mereka mengizinkan Anda kembali ke jaringan Anda.
Contoh Nyata Serangan Brute Force
Selama bertahun-tahun, telah terjadi beberapa serangan brutal terhadap organisasi. Pengguna di platform ini kehilangan informasi pribadi, dan—dalam beberapa kasus—dana. Dalam beberapa kasus, organisasi juga mengalami tuntutan hukum karena kegagalan mereka untuk mencegah serangan.
Mari kita lihat lima serangan brute force di kehidupan nyata, dan apa konsekuensinya.
1. Dunkin’ Donuts (2015)
Waralaba kopi Dunkin’ Donuts mengalami serangan brutal yang menyebabkan penggunanya kehilangan banyak uang melalui aplikasi seluler dan situs web perusahaan. Penyerang dunia maya menggunakan kekerasan untuk mendapatkan akses tidak sah ke akun 19.715 pengguna dalam waktu lima hari, mencuri uang mereka.
Perusahaan itu kemudian dikecam dengan gugatan karena tidak memberi tahu penggunanya tentang kompromi tersebut sehingga mereka dapat mengambil tindakan yang diperlukan untuk melindungi akun mereka.
Meskipun Dunkin ‘Donuts awalnya membantah berperan dalam serangan itu, kemudian setuju untuk membayar sejumlah $650.000 dalam penyelesaian gugatan.
2. Alibaba (2016)
Platform eCommerce populer Alibaba menjadi korban serangan brute force yang membahayakan akun sekitar 21 juta pengguna pada tahun 2016. Selama serangan, yang terjadi antara Oktober dan November tahun itu, para penyerang memperoleh akses tidak sah ke nama pengguna dan kata sandi dari 99 juta pengguna.
Memanfaatkan database yang mereka miliki, mereka mengkompromikan 20,6 juta akun pengguna.
Para ahli mengungkapkan bahwa penyebab utama serangan itu adalah tumpang tindih kata sandi oleh pengguna. Ditemukan bahwa sebagian besar pengguna menggunakan kata sandi yang sama untuk platform untuk akun mereka yang lain. Penyebab lain serangan itu adalah kata sandi yang lemah. Beberapa pengguna memiliki kata sandi yang lemah yang mudah diketahui.
3. Magento (2018)
Magento adalah platform eCommerce populer lainnya, dan—seperti Alibaba—mengalami serangan brute force yang membahayakan panel adminnya pada tahun 2018.
Menurut para peneliti yang menemukan serangan itu, tidak kurang dari 1.000 kredensial akun ditemukan di web gelap. Tujuan penyerang adalah untuk mengikis nomor kartu kredit pemegang akun dan menginfeksi perangkat mereka dengan malware untuk penambangan cryptocurrency.
Para ahli percaya bahwa akun yang terkena dampak lebih dari 1.000 dilaporkan. Ditemukan di sumber terbuka Magento, perusahaan mengungkapkan bahwa penyerang memanfaatkan kata sandi yang lemah dari penggunanya untuk memulai serangan brute force, dan menyarankan penggunanya untuk membuat kata sandi yang lebih kuat untuk menghindari pengulangan.
4. Parlemen Irlandia Utara (2018)
Parlemen Irlandia Utara menjadi sasaran serangan brute force yang merusak akun beberapa anggotanya pada tahun 2018.
Investigasi terhadap serangan itu mengungkapkan bahwa itu diprakarsai oleh sumber-sumber eksternal. Penyerang mengakses kotak surat anggota majelis dengan mencoba beberapa kata sandi.
Akun yang terpengaruh dihapus, dan anggota parlemen disarankan untuk mengubah kata sandi mereka menjadi yang lebih kuat. Alih-alih menggunakan kata tunggal, mereka disarankan untuk menggunakan frasa sandi.
5. Badan Pendapatan Kanada (2020)
Canadian Revenue Agency (CRA) adalah korban serangan brutal yang meretas sekitar 11.000 akun milik CRA dan layanan terkait pemerintah lainnya pada Agustus 2020.
Pelaku serangan menargetkan Canada Revenue Agency (CRA) dan Government of Canada Key service (GCKey), lembaga yang memungkinkan warga Kanada mengakses berbagai program dan layanan pemerintah di negara tersebut.
Para ahli mengungkapkan bahwa penyerang menggunakan kredensial login yang dicuri sebelumnya, seperti nama pengguna dan kata sandi, untuk meretas yang terpengaruh. Serangan itu menegaskan kembali bahwa tidak disarankan untuk menggunakan kata sandi yang sama di beberapa situs web atau akun. Anda dapat mencegah serangan brute force dengan membuat kata sandi yang kuat untuk Anda sendiri.
Mempraktikkan Budaya Keamanan Siber yang Sehat
Serangan siber bersifat memaksa, karena tidak sah. Serangan brute force hanya memperkuat proses dengan penggunaan berbagai teknik. Cara yang bagus untuk mencegah peretas dari segala bentuk serangan adalah dengan menerapkan praktik keamanan siber yang cerdas. Mengambil satu tindakan pencegahan lagi pada akun dan sistem Anda menambahkan satu lapisan keamanan lagi yang harus dilewati oleh peretas, yang bisa menjadi perbedaan antara informasi pribadi Anda yang disusupi atau tidak.