Cara Menjaga Website Anda Dari Peretas

Beberapa bulan yang lalu saya bekerja dengan pelanggan yang mengalami hari terburuk dalam hidup mereka. Peretas telah mengambil kendali penuh atas aset digital paling penting mereka yaitu domain-domain pelanggan mereka. Agensi adalah organisasi yang berpengaruh. Mereka membangun dan mengelola situs untuk pelanggan mereka dan dalam waktu yang relatif singkat mereka kehilangan akses ke situs mereka dan email mereka. Dalam artikel ini saya akan berbagi tentang cara menjaga website anda dari peretas internasional.

Taktik, Teknik, dan Prosedur (TTP) Ditetapkan

Para peretas mampu mengendalikan akun pengguna dengan membajak kartu SIM pengguna. Ada beberapa nama berbeda untuk serangan ini, seperti : port keluar scam, SIM swapping, dan SIM hacking. Tetapi tujuannya sama, mentransfer informasi seluler ke kartu SIM baru. Ini memungkinkan peretas untuk mengendalikan nomor telepon Anda, memungkinkan mereka untuk mendapatkan akses ke pesan teks, dan panggilan. Dalam hal ini, peretas dapat merekayasa anak perusahaan di sebuah perusahaan telekomunikasi besar dan mentransfer info akun ke SIM baru.

Para peretas kemudian menggunakan ini untuk membajak akun email pelanggan dengan  menggunakan fitur lupa kata sandi dan otentikasi telepon. Dengan kontrol email, para peretas mulai menyerang organisasi lembaga keuangan dan registrar. Mereka tidak berhasil dalam mentransfer dana,  tetapi berhasil membajak sejumlah domain mereka (6 domain dari pelanggan, termasuk organisasi mereka dan 5 pelanggan penting mereka).

Dalam rentang waktu 48 jam, para peretas mampu membajak domain mereka, mengendalikan email mereka dan mengalihkan domain mereka, dan lalu lintas terkait, ke lokasi baru yang digunakan untuk mendistribusikan muatan berbahaya kepada pengunjung yang tidak menyadarinya.

Kerugian finansial diperkirakan dalam 10-an ribuan dolar dalam periode satu minggu dan dampak reputasi sangat monumental. Karena aturan transfer / validasi antara pendaftar, dampaknya bertahan hingga 7 hari. Ironisnya, beban sekarang ada pada pelanggan untuk membuktikan bahwa mereka adalah pemilik sebenarnya dari domain tersebut dan bukan peretas yang mencoba membajak ke domain dan setiap Registrar yang memiliki alur kerjanya sendiri.

Sayangnya, ini tidak sesuai dengan yang Anda perkirakan, serangan seperti ini terjadi setiap hari. Saya tidak akan berbicara dengan masalah pembajakan SIM. Sebaliknya, saya akan fokus pada apa yang dapat dilakukan untuk mengurangi risiko terhadap jenis serangan yang serupa ini, dan yang serupa.

Berikut Cara Menjaga Website Anda Dari Peretas:

1. Gunakan Kredensial Unik Untuk Aset Penting Anda

Cara Menjaga Website yang pertama adalah dengan menggunakan kata sandi unik di setiap situs, ketika memikirkan kredensial yang Anda gunakan untuk aset digital yang kritis, saya menyarankan pendekatan yang sama. Ini berarti Anda harus memanfaatkan email yang tidak jelas, tidak terkait, untuk akun Anda. Penyedia email gratis seperti Gmail, Outlook, dan lainnya, membuatnya sangat mudah dibuat. Alat seperti Pengelola Sandi membuatnya mudah dilakukan.

2. Pisahkan Domain Pribadi dan Pelanggan

Cara Menjaga Website yang kedua adalah Jangan mencampur domain pribadi dan pelanggan. Jika akun perusahaan Anda disusupi, pelanggan Anda tidak akan terpengaruh. Prinsip isolasi fungsional adalah Anda tidak menggunakan sesuatu lebih dari tujuan yang dimaksudkan.

3. Aktifkan Perpanjangan Otomatis Untuk Menghindari Kedaluwarsa

Kontributor terbesar untuk domain yang dibajak adalah kesalahan manusia, khususnya lupa untuk memperbarui. Jika domain Anda sangat penting, setel perpanjangan mereka untuk jangka waktu yang panjang, kemudian setel pengingat. Merupakan kebiasaan yang baik untuk melakukan tinjauan kuartalan dari akun Anda untuk memverifikasi apa yang sedang dan tidak akan diperbarui pada  Triwulan berikutnya.

4. Verifikasi Keakuratan Informasi Kontak

Ini berkaitan dengan # 3, alasan utama bahwa pembaruan gagal adalah karena pelanggan menghapus perpanjangan otomatis tetapi kemudian gagal untuk menjaga informasi kontak mereka tetap terbaru. Akhirnya pelanggan tidak pernah menerima pengingat perpanjangan otomatis di email mereka, atau pihak perusahaan tidak dapat memanggil mereka untuk mengonfirmasikan mereka tentang masa kedaluwarsa.

5. Terapkan Kontrol Otentikasi Tambahan Saat Masuk dan Membuat Perubahan (2FA / MFA)

Kebanyakan registrar menawarkan kemampuan untuk menggunakan kontrol otentikasi tambahan saat masuk ke akun Anda. Anda harus menggunakan ini di sistem apa pun yang mengizinkannya, dan alih-alih menggunakan SMS dengan mencoba menggunakan sesuatu seperti aplikasi Sandi Satu Kali  Berbasis Waktu (seperti Google Authenticator). Di mana saya ingin melihat Registrar meningkatkan keamanan mereka adalah dengan menerapkan kontrol otentikasi tambahan untuk perubahan pada akun Anda, di mana kontrol otentikasi berbeda dari apa yang Anda gunakan untuk masuk. Dalam contoh ini, kami akan pindah dari 2FA -> MFA.

6. Manfaatkan Privasi Untuk Melindungi Informasi Pribadi Anda

Kunci untuk rekayasa sosial adalah cukup mengetahui tentang target untuk mengumpulkan bagian-bagian yang Anda butuhkan untuk mengelabui seseorang agar percaya bahwa Anda adalah targetnya.  Lakukan ini, dan kamu menang. Tidaklah masuk akal untuk menggunakan kredensial unik di akun Anda jika Anda akan mengumumkan informasi secara publik melalui WHOIS.

Menyebarkan info privasi anda membuatnya informasi yang Anda gunakan untuk mendaftarkan domain Anda tidak dapat diakses publik. Terapkan privasi jika itu sebuah pilihan.

Baca Juga : Cara Mengetahui Pemilik Domain Dengan Mudah

7. Kunci Domain Anda dengan Registrar

Cara Menjaga Website yang ketujuh adalah dengan mengunci domain dengan registrar. Banyak pendaftar akan memberi Anda pilihan “kunci”. Ini membuatnya di mana perubahan tidak dapat dilakukan tanpa konfirmasi lebih lanjut dari Anda, pemilik domain. Jika memungkinkan, saya mendorong Anda bekerja dengan ahlinya untuk memahami dengan tepat bagaimana fitur “kunci”  berfungsi.

8. Pantau Domain Supaya Tetap Aman

Cara Menjaga Website yang terakhir adalah Gunakan monitor untuk mempertahankan visibilitas pada status domain Anda. Saya menggunakan Sucuri untuk pemantauan saya. Saya khusus melihat hal-hal seperti WHOIS dan perubahan DNS. Dalam contoh di atas, pelanggan offline 5 hari sebelum menyadari sesuatu telah terjadi, pemantauan akan memberi tahu dia begitu perubahan DNS / WHOIS dibuat.

Tips Untuk Paranoid

Jika Anda memiliki dan mengelola domain, Anda dapat meminta kepada Registrar Anda tentang kode-kode Extensible Provisional Protocol (EPP). Untuk memasukkannya ke dalam konteks, perubahan tidak bisa dilakukan ke dalam file karena itu adalah jalan utama malware dan itu juga salah satu yang lebih mudah untuk mengurangi dengan mencegah perubahan di file Anda.

Korporasi Internet untuk Nama dan Nomor yang Ditetapkan (ICANN) mengaktifkan kode EPP untuk menambahkan keamanan tambahan untuk domain :

Kode dan Pengertian

• clientDeleteProhibited : Mencegah domain agar tidak dihapus.
• clientTransferProhibited : Mencegah domain ditransfer dari satu registrar ke registrar lain
• clientUpdateProhibited : Mencegah perubahan apa pun yang harus dilakukan ke domain, bahkan dari kontak resmi.

Catatan: Opsi klienUpdateProhibited adalah yang paling parah dan seharusnya hanya digunakan jika Anda yakin dengan kemampuan Anda.

Terakhir, Anda dapat menggunakan Kunci Registri. Serupa dengan rekomendasi di atas, kunci registri memperkenalkan kontrol tambahan saat membuat perubahan yang menyulitkan Pendaftar untuk melakukan perubahan. Untuk melakukan ini, Anda harus melibatkan setiap Registri secara langsung untuk melihat fitur apa yang mereka tawarkan.

Jelas ada keseimbangan antara keamanan dan kenyamanan, gunakan rekomendasi di atas, atas kebijaksanaan Anda sendiri.