Hanya 3 Cara Asas Penggodam Menceroboh Masuk!

Pernah tak anda terfikir pasal hacking atau penggodaman? Mesti ramai yang bayangkan ia sesuatu yang sangat rumit, kan?

Kita selalu disogokkan dengan imej stereotaip: seorang lelaki berhoodie dalam bilik gelap, menaip laju macam kilat depan skrin komputer yang penuh dengan kod hijau berjurai macam dalam filem Matrix. Nampak macam cool dan kompleks!

Realiti Sebenar Penggodaman

Tapi, tahu tak? Realitinya tak macam tu pun. Penggodam sebenarnya hanya menggunakan tiga cara asas untuk menceroboh sistem. Ya, cuma tiga! Tak ada magik, tak ada kuasa hebat macam adiwira dalam filem. Hanya tiga teknik mudah yang seringkali berkesan, berulang kali.

Yang paling menarik? Kemungkinan besar anda sendiri pernah ‘terkena’ sekurang-kurangnya satu daripada teknik ini tanpa sedar! Terkejut? Jangan risau, ramai lagi macam tu.

Cara #1: Kejuruteraan Sosial (Social Engineering) – Helah Psikologi!

Cara paling mudah nak godam seseorang? Bukan dengan kod canggih, tapi… tanya je password dia!

Eh, serius ni. Teknik ini dipanggil Kejuruteraan Sosial. Penggodam tak godam komputer semata-mata; mereka lebih fokus ‘menggodam’ manusia. Mereka memanipulasi, mempengaruhi, atau menipu mangsa untuk mendapatkan akses atau maklumat peribadi.

Pernah dapat emel pelik yang kata akaun anda telah diceroboh dan suruh klik pautan untuk log masuk? Haa… itu contoh klasik serangan pancingan data (phishing), sejenis kejuruteraan sosial.

Atau panggilan telefon daripada individu yang menyamar sebagai ‘sokongan teknikal Microsoft’ dan minta akses jauh ke komputer anda? Itu pun kejuruteraan sosial!

Ingat tak kes penggodaman besar Twitter pada tahun 2020? Ia berlaku sebab penggodam hanya perlu telefon beberapa pekerja Twitter dan minta maklumat log masuk mereka. Dan ia berjaya! Ini membuktikan, manusia adalah ‘pautan terlemah’ dalam rantaian keselamatan siber, dan penggodam tahu perkara ni. Mereka tak perlu susah payah guna brute force kalau boleh tipu anda untuk serahkan ‘kunci’ begitu saja.

Cara #2: Mengeksploitasi Kod Lemah (Exploiting Bad Code) – Mencari Celah Keselamatan!

Okay, kalau taktik menipu orang tak jalan, penggodam ada Pelan B: mengeksploitasi kod yang lemah atau bermasalah dalam perisian.

Setiap perisian, tak kira betapa hebat pun, pasti ada pepijat (bugs). Sesetengah pepijat ini boleh jadi kerentanan (vulnerability) yang boleh dieksploitasi oleh penggodam untuk melakukan perkara yang tak sepatutnya.

Contohnya:

• Serangan Suntikan (Injection Attack): Pernah tak anda saja-saja taip input pelik dalam kotak log masuk dan tiba-tiba laman web tu error atau rosak? Penggodam buat benda sama, tapi bukan untuk rosakkan laman web. Mereka suntik kod khas untuk curi kata laluan atau ambil alih pangkalan data.
• Limpahan Penimbal (Buffer Overflow): Penggodam ‘memaksa’ satu program menerima data lebih banyak daripada yang sepatutnya, menyebabkannya ‘melimpah’ dan mula menjalankan kod hasad milik penggodam.
• Kerentanan Hari-Sifar (Zero-day Vulnerability): Ini kerentanan yang sangat bahaya sebab ia dieksploitasi oleh penggodam sebelum pembangun perisian sendiri tahu tentang kewujudannya atau sempat keluarkan tampalan (patch). Contoh besar ialah kes Equifax pada 2017, di mana satu kerentanan yang belum ditampal menyebabkan data peribadi 147 juta orang terdedah! Bayangkan, data hampir separuh populasi AS bocor hanya sebab satu kemas kini perisian yang terlepas pandang.

Cara #3: Menggunakan Kredential Curi (Using Stolen Credentials) – Jalan Pintas!

Kenapa nak susah payah godam sistem kalau ramai orang ‘sedekahkan’ kata laluan mereka secara tak langsung?

Kredential atau maklumat log masuk yang dicuri adalah salah satu cara paling mudah penggodam menceroboh masuk. Setiap tahun, berjuta-juta kata laluan bocor daripada pelbagai pelanggaran data (data breach). Penggodam akan kumpul senarai ini dan cuba log masuk ke pelbagai akaun lain menggunakan kombinasi emel/nama pengguna dan kata laluan yang sama.

Teknik ini dipanggil Sumbatan Kredential (Credential Stuffing). Ia sangat berkesan sebab… malangnya, ramai orang suka guna semula kata laluan yang sama (contohnya “password123”) untuk banyak akaun berbeza.

Satu kata laluan yang bocor sudah cukup untuk penggodam dapat akses ke emel, Netflix, malah akaun bank anda! Kes penutupan Colonial Pipeline pada 2021 adalah contoh betapa seriusnya isu ini – ia berlaku hanya disebabkan satu kata laluan pekerja yang lemah dan telah bocor digunakan. Nampak tak? Kata laluan yang lemah boleh sebabkan masalah besar macam kekurangan bekalan minyak!

Bagaimana Penggodam Sebenar (Yang Buat Duit)?

Ramai yang cuba belajar menggodam tapi akhirnya ‘pokai’. Kenapa? Sebab mereka banyak habiskan masa tengok tutorial rawak di YouTube yang ajar benda bukan-bukan, tapi tak ajar cara sebenar buat duit melalui penggodaman (yang beretika, tentunya!).

Penggodam sebenar yang berjaya meraih pendapatan lumayan (ribuan ringgit melalui ganjaran pepijat atau bug bounty) tahu:

1. Di mana nak cari kerentanan.
2. Apa yang perlu dieksploitasi.
3. Bagaimana nak laporkan kerentanan itu untuk dapat bayaran.

Kesimpulan: Asas Keselamatan Siber Anda

Jadi, ingat ya: penggodam tak perlukan kuasa sakti. Mereka cuma perlukan salah satu daripada tiga kaedah ini berjaya:

1. Menipu anda (Kejuruteraan Sosial).
2. Mengeksploitasi kod lemah (Kerentanan Perisian).
3. Menggunakan kata laluan curi (Kredential Curi).

Memandangkan ramai orang mudah terpedaya atau cuai, penggodaman sebenarnya bukanlah susah sangat, tapi terlalu mudah untuk berlaku!

Langkah perlindungan asas:

• Sentiasa kemas kini perisian anda.
• Jangan guna semula kata laluan yang sama untuk akaun berbeza! Guna kata laluan unik dan kukuh.
• Berhati-hati dengan emel atau mesej pelik (macam daripada ‘Putera Nigeria’ tu – padam saja!).

Jaga diri dan data anda baik-baik!