6 Cara Kata Laluan Anda Boleh Dicuri

by Posted on

Kandungan siaran ini:
1. Kitar Semula (“Credential Stuffing”)
2. Memancing (“Phishing”)
3. Cuba Jaya
4. Perisian hasad (“Malware”)
5. Hotspot Wi-fi palsu
6. Mengintai (“Shoulder Surfing”)

Hampir keseluruhan hidup kita pada hari ini berlaku di Internet. Kita melakukan interaksi sosial, transaksi kewangan, kolaborasi kerja, membeli-belah, dan pembelajaran melalui Internet. Perkembangan ini menjadikan kata laluan satu komoditi bernilai, dan kebanyakan penggodam (“hacker”) telah meningkatkan usaha untuk mencuri dan menjual kata laluan pengguna. Katalaluan yang dicuri ini kadangkala disebarkan di Internet, atau dijual sekitar $70/akaun (RM290.82) sekiranya kata laluan itu adalah katalaluan akaun bank atau institusi kewangan. Berikut adalah 6 teknik yang sering digunakan oleh penggodam untuk mencuri kata laluan anda:

1. Kitar Semula (“Credential Stuffing”)

Teknik kitar semula kata laluan mengambil kesempatan terhadap tabiat buruk pengguna yang menggunakan kata laluan yang sama untuk akaun-akaun mereka. Mengikut laporan Digital Shadows, secara purata seseorang mempunyai 191 perkhidmatan yang memerlukan mereka memasukkan kata laluan atau bukti pengesahan identiti, dan SecureAuth melaporkan rata-rata 25% akaun yang dimiliki oleh seseorang mempunyai kata laluan yang sama.

Di dalam teknik ini, penggodam menggunakan kata laluan yang telah bocor untuk mengakses perkhidmatan kepunyaan mangsa yang lain. Sebagai contoh, sekiranya anda menggunakan alamat emel dan kata laluan yang sama untuk akaun Facebook dan bank anda, dan jika kata laluan Facebook anda bocor, penggodam akan menggunakan kata laluan tersebut untuk mengakses akaun bank anda. Jika anda ingin tahu sama ada kata laluan anda telah bocor di Internet, anda boleh membaca siaran saya yang lepas.

Penggodam menggunakan kata laluan mangsa yang telah bocor untuk mengakses perkhidmatan Internet yang lain
Penggodam menggunakan kata laluan mangsa yang telah bocor untuk mengakses perkhidmatan Internet yang lain

Bagaimana melindungi diri anda daripada teknik ini:
Gunakan 2-faktor pengesahan untuk akaun anda dan elak menggunakan kata laluan yang sama untuk akaun-akaun anda.

2. Memancing (“Phishing”)

Salah satu teknik yang popular untuk mencuri kata laluan, PIN, TAC atau maklumat peribadi ialah dengan “memancing” pengguna untuk memberikan maklumat ini secara sukarela. Penggodam biasanya akan menyamar sebagai pihak lain yang mudah dipercayai oleh mangsa seperti bank, kenalan atau pihak berkuasa. Mangsa akan menerima panggilan telefon, emel, Whatsapp call, atau SMS daripada penggodam yang akan menyamar sebagai pihak berkuasa, atau bank, untuk meminta maklumat peribadi atau TAC mereka. Selain itu, mangsa akan menerima pautan ke laman web palsu dan diminta untuk memasukkan maklumat peribadi mereka. Maklumat ini kemudiannya akan digunakan oleh penggodam untuk mengakses akaun mangsa.

Contoh SMS daripada penggodam yang cuba memancing mangsa untuk pergi ke laman web Maybank yang palsu.
Contoh SMS daripada penggodam yang cuba memancing mangsa untuk pergi ke laman web Maybank yang palsu.
Contoh emel dengan pautan ke laman web LHDN palsu. Jika termakan pancingan penggodam, mangsa akan dibawa ke laman web palsu yang mirip laman web LHDN.
Contoh emel dengan pautan ke laman web LHDN palsu. Jika termakan pancingan penggodam, mangsa akan dibawa ke laman web palsu yang mirip laman web LHDN.

Bagaimana melindungi diri anda daripada teknik ini:
Jangan klik pautan, muat turun fail, atau pasang perisian daripada pihak yang tidak dikenali. Sekiranya perlu, taip sendiri alamat URL di pelayar web anda. Selain itu, ambil langkah berhati-hati apabila menerima emel, SMS atau pesanan elektronik. Penggodam biasanya akan menggunakan logo syarikat sebenar untuk membuat komunikasi mereka kelihatan sah.

Mereka juga akan menggunakan alamat emel atau laman web yang hampir serupa dengan syarikat yang sebenar tetapi dengan kesalahan ejaa. Laman web palsu yang diberikan mirip dengan laman web yang sah tetapi jika anda melihat pada bar URL, anda akan mendapati alamatnya bukan alamat yang sah.

gambar laman web cimb palsu dan tulen
Dapatkah anda bezakan di antara laman web CIMB yang palsu dan tulen?
tangkap layar panggilan whatsapp dengan logo bigpay
Hati-hati! Hanya kerana logo syarikat terpapar pada panggilan Whatsapp anda, itu tidak bermaksud panggilan dibuat oleh syarikat tersebut. Sesiapa sahaja boleh menggunakan logo syarikat tersebut di dalam Whatsapp.

Jika anda menerima panggilan daripada pihak yang mendakwa mereka mewakili bank atau pihak berkuasa, pastikan anda mengesahkan identiti mereka terlebih dahulu sebelum memberi maklumat peribadi anda. Tamatkan panggilan dan cari nombor syarikat di laman web merekan dan hubungi mereka secara langsung untuk memastikan ia adalah panggilan dan permintaan yang sah. Jangan sekali-kali memanggil nombor yang diberikan oleh pemanggil dan pastikan laman web syarikat tersebut adalah laman web rasminya.

3. Cuba Jaya

Teknik cuba jaya adalah teknik meneka di mana penggodam akan meneka kata laluan mangsa dengan mencuba semua kombinasi huruf dan/atau nombor dengan harapan mereka berjaya menemui kombinasi yang sepadan dengan kata laluan sebenar. Ia merupakan teknik yang lama tetapi masih popular kerana mudah dilakukan dan berkesan. Bergantung kepada panjang dan kerumitan kata laluan, proses tekaan boleh mengambil masa daripada beberapa saat sehingga ke beberapa abad. Jadual di bawah menunjukkan tempoh yang diperlukan untuk meneka kata laluan bergantung kepada panjangnya.

jadual tempoh yang diperlukan untuk meneka kata laluan

Walau bagaimanapun beberapa variasi teknik ini telah dicipta untuk memendekkan masa meneka:

a. Kata laluan lazim

Penggodam menggunakan senarai kata laluan yang lazim digunakan oleh orang ramai. Senarai ini biasanya dibuat berdasarkan analisis kekerapan ke atas jutaan kata laluan yang telah bocor. Contoh kata laluan yang lazim adalah seperti “123456”, atau “password”.

senarai kata laluan facebook yang popular di Malaysia

b. Perkataan atau frasa yang umum

Penggodam membuat tekaan menggunakan perkataan atau kombinasi perkataan yang kerap digunakan di dalam teks umum. Mengikut kajian yang dijalankan oleh Bonneau dan Shutova, terdapat kecenderungan untuk pengguna menggunakan kombinasi dua atau lebih frasa yang yang umum seperti “iloveyou” atau “letmein”. Dengan menggunakan analisis kekerapan dan n-gram terhadap teks umum, mereka mendapati terdapat hubung kait antara pemilihan frasa kata laluan dan frasa teks yang popular.

c. Corak kata laluan

Sesetengah sistem mewajibkan pengguna memilih kombinasi huruf (besar dan kecil) dan nombor sebagai kata laluan untuk memastikan kata laluan yang kompleks dan sukar diteka. Ini kadangkala mendorong pengguna memilih corak kata laluan yang mudah di teka seperti menggabungkan kata laluan lazim, frasa umum atau nama pengguna dengan turutan nombor atau tahun kelahiran seperti “Password123”, “Qwerty1234”, “Aida123456”, “Aida1990”, atau “Aida90”. Penggodam menggunakan maklumat ini dan kombinasi corak kata laluan yang popular untuk menjana senarai kata laluan dan mengunakannya untuk meneka kata laluan pengguna.

corak kata laluan yang biasa digunakan

Bagaimana melindungi diri anda daripada teknik ini:
Pilih kata laluan yang rumit untuk diteka. Pastikan panjang kata laluan anda tidak kurang daripada 12 aksara dan terdiri daripada kombinasi huruf (besar dan kecil), nombor dan simbol. Elakkan penggunaan perkataan atau kombinasi perkataan kamus dan jangan gunakan kombinasi nombor dan huruf yang mudah diteka. Contoh kata laluan yang bagus ialah seperti “;Y_W\g6A_=vcXuYt“.

4. Perisian hasad (“Malware”)

Perisian hasad (juga dikenali sebagai perisian perosak atau perisian berniat jahat) adalah perisian (“app”) yang direka untuk mengakses dan mencuri maklumat daripada komputer atau telefon pintar anda tanpa kebenaran, dan kadangkala boleh merosakkan peranti tersebut. Perisian ini kebiasaannya akan berfungsi sebagaimana yang dikehendaki oleh pengguna, tetapi pada masa yang sama mencuri kata laluan yang disimpan di dalam komputer atau telefon atau membawa pengguna ke laman web yang palsu. Sebagai contoh, pada tahun 2019 sebuah aplikasi lampu suluh yang popular, “Super Wallpapers Flashlight” telah didapati mencuri kata laluan Facebook apabila dipasang di telefon.

Bagaimana melindungi diri anda daripada teknik ini:
Elak muat turun dan pasang perisian atau aplikasi daripada pihak yang tidak dikenali. Stor aplikasi (“App Store”) yang tidak rasmi atau laman web muat turun perisian yang tidak sah sering digunakan oleh penggodam untuk menyebarkan perisian hasad. Penggodam kadangkala menggunakan teknik memancing untuk menipu pengguna supaya memuat turun perisian hasad ini.

5. Hotspot Wi-fi palsu

Apabila anda berkunjung ke kafe, restoran, atau hotel dan menggunakan kemudahan hotspot Wi-fi mereka, adakah anda yakin hotspot yang anda gunakan kepunyaan premis tersebut? Melalui teknik ini, penggodam meletakkan hotspot palsu berserta nama Wi-fi yang sama dengan premis tersebut untuk mencuri data dan kata laluan yang anda gunakan semasa bersambung ke hotspot palsu mereka.

Penggodam meletakkan hotspot klon dengan nama yang sama untuk memperdaya mangsa supaya bersambung ke komputernya
Penggodam meletakkan hotspot klon dengan nama yang sama untuk memperdaya mangsa supaya bersambung ke komputernya

Bagaimana melindungi diri anda daripada teknik ini:
Semak dengan pemilik premis untuk mendapatkan nama hotspot mereka yang sebenar sebelum menggunakannya. Jangan melakukan aktiviti-aktiviti penting seperti perbankan, pembayaran atau log masuk ke mana-mana laman web menggunakan hotspot awam.

Senarai nama hotspot
Dapatkah anda kenal pasti hotspot yang tulen daripada senara di atas?

6. Mengintai (“Shoulder Surfing”)

Mengintai adalah teknik melihat secara bersembunyi-sembunyi untuk mencuri maklumat atau kata laluan mangsa dan kerap berlaku di tempat awam. Walaupun mudah, teknik ini jauh lebih biasa daripada yang anda bayangkan! Penggodam hanya perlu mengintai dari belakang untuk mencuri kata laluan/PIN semasa anda menggunakan komputer riba, mesin ATM, kiosk elektronik atau peranti pintar. Dengan kecanggihan teknologi pada masa kini, penggodam boleh juga menggunakan teropong, atau kamera tersembunyi untuk mengintai ke arah skrin atau papan kekunci anda.

orang mengintai dari belakang
Pastikan tiada orang di belakang anda semasa memasukkan katalaluan atau PIN

Bagaimana melindungi diri anda daripada teknik ini:
Pastikan anda membelakangi dinding semasa memasukkan kata laluan di tempat awam. Jika anda menggunakan kiosk atau mesin ATM, lindungi papan kunci daripada pandangan dengan badan dan tangan anda yang lain. Letakkan skrin pelindung privasi pada komputer riba, tablet dan telefon pintar anda. Walaupun ini tidak akan menghalang pencuri untuk mengintip apa yang anda taipkan, ini dapat mengelakkan mereka melihat akaun mana yang anda log masuk.

Artikel berkaitan:

  1. Cara mengetahui sekiranya maklumat akaun anda telah bocor
  2. Bagaimana saya menemui kebocoran data peribadi dan mendedahkannya secara bertanggungjawab
  3. 25 Aplikasi Yang Anda Perlu Buang Sekarang!

Published by me

Leave a Reply

Your email address will not be published. Required fields are marked *