Belum lama ini Reddit mengonfirmasi insiden cyber security berupa serangan phishing yang membidik akses ke dokumen internal dan source code website agregator berita dan diskusi ini.
Menurut keterangan CTO Reddit Christopher Slowe dalam postingannya, serangan cyber security ini berhasil mengelabui para karyawan Reddit untuk mengunjungi website yang menyamar sebagai portal internal perusahaan. Serangan ini berupaya mencuri kredensial dan token two-factor authentication.
Serangan ini diketahui ketika karyawan yang menjadi korban melaporkan insiden ini ke tim cyber security Reddit sehingga perusahaan langsung menutup dan mengamankan akses serta memulai penyelidikan.
Hasil investigasi memperlihatkan bahwa para peretas berhasil mengambil kredensial karyawan. Dan berbekal kredensial tersebut, para penjahat cyber dapat mengakses dokumen internal, source code, beberapa dashboard internal, dan sistem bisnis perusahaan.
Dari penyelidikan itu pula, Reddit memastikan bahwa “tidak ada bukti” bahwa tidak ada pencurian, publikasi, atau distribusi online terhadap data pribadi user dan data nonpublik lainnya. Seperti dikutip dari Tech Crunch, data yang diakses oleh peretas adalah informasi kontak dari ratusan karyawan dan mantan karyawan Reddit, dan beberapa informasi sehubungan dengan pengiklan.
Mengantisipasi dampak dari serangan ini, Christopher Slowe menyarankan kepada para pengguna Reddit agar menerapkan two-factor authentication pada akunnya dan menggunakan password manager. Selain memperkuat keamanan dengan password yang lebih kompleks, cara pengamanan ini akan memberikan satu lapisan sekuriti ekstra dengan cara memperingatkan user sebelum user menggunakan password pada website phishing.
Manusia Sebagai Rantai Terlemah
Jamie Boote, Associate Principal Consultant, Synopsys Software Integrity Group, mengomentari serangan cyber security dengan menyoroti pangkal persoalannya, yaitu manusia. “Serangan phishing memang dimaksudkan untuk mengecoh seseorang agar si penyerang bisa masuk (ke dalam sistem), dan memang berhasil,” ujarnya dalam keterangan tertulis.
Kabar baiknya, menurut Jamie, adalah serangan ini nampaknya terbatas pada sistem kantor dan tidak sampai menembus sistem produksi yang meng-hosting website Reddit sendiri, data user, atau informasi lain yang dapat digunakan untuk menyusupi pengguna. Hal ini karena Reddit membatasi akses ke data produksi dari staf nonIT guna mencegah meluasnya dampak jika terjadi insiden.
Menurut Jamie, dalam mendesain sistem, aplikasi, dan perangkat TI dewasa ini, kita harus berasumsi bahwa user bisa menjadi korban scamming/phishing, mengunduh aplikasi jahat, atau gagal bertindak dengan cara yang benar-benar aman.
“Dengan mempertimbangkan hal ini, pertahanan secara mendalam (defence in depth) dapat membatasi dampak pelanggaran. Misalnya, jika kredensial pengguna disusupi, kontrol IAM pengelolaan akses dan identitas dapat membatasi data apa yang akan dibuka oleh kredensial tersebut. Jika komputer pengguna disusupi, segmentasi jaringan dan sistem deteksi penyusupan dapat membatasi seberapa jauh sistem itu dapat digunakan untuk membahayakan jaringan lebih lanjut. Jika pengguna tidak memerlukan akses ke data penting, hapus akses tersebut,” jelasnya.
Tanda-tanda Serangan Makin Sulit Dikenali
Sementara pakar lainnya dari Synopsys Software Integrity Group, Boris Cipot, Senior Security Engineer, mengingatkan “kecanggihan” para peretas dalam merancang serangan phishing saat ini.
Dulu, mudah untuk mengenali tanda-tanda serangan phishing. “Teks dan grafik yang tidak meyakinkan, tidak ada rujukan dengan nama tetapi umum, misalnya ‘Yth. Bapak atau Ibu’ dan seterusnya. Namun hari ini, komunikasi tersebut menjadi jauh lebih baik, seperti menyalin elemen grafis dari komunikasi resmi perusahaan dan memiliki teks yang sama. Yang berubah adalah tautan yang membawa kita ke server dan lampiran berbahaya - malware canggih,” jelasnya.
Bagi user, cara terbaik untuk menghindari scamming adalah berhati-hati dengan apa saja yang kita terima. “Jangan buka lampiran (attachment). Jika Anda meragukan sumbernya, jangan lakukan apa yang diminta dalam pesan itu. Jangan mengeklik tautan untuk tracking paket Anda. Lebih baik, masukan URL perusahaan pengiriman atau bank secara manual,” ujar Boris lagi.
Ia juga menyarankan, jika kita ragu terhadap pesan yang ditujukan ke kita, langsung hubungi mereka via telpon. Jangan gunakan data kontak pada email karena informasi pun bisa saja palsu.
Sedangkan untuk perusahaan, Boris menyarankan agar memikirkan kembali postur keamanan pada sisi komunikasi. “Adalah penting untuk memastikan kesiapan perlindungan dari phishing dan teknik penipuan lainnya. Jangan lupakan social engineering, karena teknik ini sering menjadi bagian dari vektor serangan utama,” ujarnya.
Yang menarik, menurut Boris, terkait 2FA, verifikasi melalui SMS masih lebih baik daripada menggunakan kombinasi username dan password.
Comments
Post a Comment