Perangkat rumah pintar semakin menjadi "pintu gelap" bagi para peretas, frasa mnemonik Anda mungkin telah dipantau!

Judul asli: Hati-hati, robot penyedot debu dan mesin kopi Anda mungkin mencuri Bit Anda?

Penulis asli: Shen Chao Techflow

Sumber asli:

Diterjemahkan oleh: Daisy, Mars Finance

Robot penyapu dan perangkat rumah pintar lainnya dengan mudah dapat diretas, digunakan untuk merekam input kata sandi atau frasa pemulihan. Bayangkan, suatu pagi Anda terbangun dan menemukan robot penyapu tidak terkendali, kulkas mulai meminta tebusan, sementara dana cryptocurrency dan rekening bank Anda telah dibersihkan.

Ini bukan alur cerita dari film horor Stephen King tahun 1986 "Maximum Overdrive", yang menceritakan tentang sebuah komet yang mengembara yang memicu gelombang pembunuhan mesin di seluruh dunia.

Sebaliknya, risiko nyata yang mungkin ditimbulkan jika peretas menyerang komputer Anda melalui perangkat pintar di rumah Anda. Dengan jumlah perangkat IoT global yang diperkirakan mencapai 18,8 miliar, dan rata-rata terjadi sekitar 820.000 serangan IoT setiap hari, kemungkinan skenario ini semakin meningkat.

"Perangkat IoT yang tidak aman (seperti router) dapat menjadi pintu masuk untuk menyerang jaringan rumah," kata peneliti Tao Pan dari perusahaan keamanan blockchain Beosin dalam wawancaranya.

Hingga tahun 2023, rata-rata rumah tangga di Amerika Serikat memiliki 21 perangkat terhubung, di mana sepertiga konsumen perangkat rumah pintar mengalami kebocoran data atau penipuan dalam 12 bulan terakhir.

"Setelah diretas, penyerang dapat bergerak secara lateral untuk mengakses perangkat yang terhubung, termasuk komputer atau ponsel yang digunakan untuk transaksi cryptocurrency, dan juga dapat menangkap kredensial login antara perangkat dan bursa. Ini sangat berbahaya bagi pengguna yang melakukan transaksi cryptocurrency menggunakan API," tambahnya.

Jadi, informasi apa yang sebenarnya dapat dicuri oleh peretas dari rumah Anda, dan kerusakan apa yang dapat ditimbulkannya?

Majalah "Magazine" telah mengumpulkan beberapa kejadian peretasan yang paling aneh dalam beberapa tahun terakhir, termasuk satu kasus di mana sensor akses telah diretas untuk menambang Bit. Kami juga telah menyusun beberapa informasi perlindungan dan saran praktis untuk keamanan cryptocurrency.

Invasif mesin kopi

Pada tahun 2019, peneliti dari perusahaan keamanan siber Avast, Martin Hron, menunjukkan bagaimana peretas dapat dengan mudah mengakses jaringan rumah dan perangkatnya.

Dia memilih tujuan yang sederhana: menyusup ke mesin kopi miliknya dari jarak jauh.

Hron menjelaskan bahwa, seperti kebanyakan perangkat pintar, mesin kopi menggunakan pengaturan bawaan yang memungkinkan perangkat terhubung ke WiFi tanpa kata sandi, yang membuatnya mudah untuk mengunggah kode berbahaya ke dalam mesin.

"Banyak perangkat IoT pertama-tama terhubung ke jaringan rumah melalui jaringan WiFi mereka sendiri, yang hanya digunakan untuk mengatur perangkat. Idealnya, konsumen akan segera melindungi jaringan WiFi tersebut dengan kata sandi," jelas Hron.

"Tetapi banyak perangkat yang tidak memiliki kata sandi untuk melindungi jaringan WiFi saat keluar dari pabrik, dan banyak konsumen juga tidak mengatur kata sandi," tambahnya.

Tautan video asli

"Saya bisa melakukan apa saja yang saya inginkan, karena saya dapat mengganti firmware, yaitu perangkat lunak yang mengoperasikan mesin kopi. Dan saya bisa menggantinya dengan apa pun yang saya inginkan. Saya dapat menambahkan fitur, menghapus fitur, dan juga bisa membobol langkah-langkah keamanan yang ada. Jadi, saya bisa melakukan apa saja," katanya dalam video yang dirilis oleh Avast.

Dalam presentasinya, Hron menunjukkan sebuah surat tebusan melalui mesin kopi, perangkat tersebut terkunci dan tidak dapat digunakan kecuali pembayaran tebusan dilakukan.

Anda dapat memilih untuk mematikan perangkat, tetapi itu berarti Anda tidak akan bisa minum kopi lagi (Avast/YouTube)

Namun, selain menampilkan surat tebusan, mesin kopi juga dapat digunakan untuk melakukan operasi yang lebih jahat, seperti menyalakan pemanas untuk menciptakan bahaya kebakaran, atau menyemprotkan air mendidih untuk mengancam korban.

Yang lebih menakutkan adalah, itu mungkin diam-diam menjadi pintu masuk ke seluruh jaringan, memungkinkan hacker untuk memantau informasi akun bank Anda, email, bahkan frasa sandi kripto.

Menyusup ke akuarium kasino

Salah satu kasus paling terkenal terjadi pada tahun 2017, di mana para peretas berhasil mengakses akuarium terhubung di lobi sebuah kasino di Las Vegas dan mentransfer 10GB data.

Akuarium dilengkapi dengan sensor untuk mengatur suhu, memberi makan, dan membersihkan, yang terhubung ke komputer di jaringan kasino. Hacker masuk ke area lain dari jaringan melalui akuarium dan mengirimkan data ke server jarak jauh di Finlandia.

Akuarium mungkin terlihat seperti ini (Muhammad Ayan Butt/ Unsplash)

Meskipun kasino telah menerapkan firewall dan perangkat lunak antivirus yang biasa, serangan tersebut tetap berhasil dilakukan. Untungnya, serangan itu cepat dikenali dan ditangani.

CEO perusahaan keamanan siber Darktrace, Nicole Eagan, mengatakan kepada BBC: "Kami segera menghentikannya, tidak ada kerusakan yang terjadi." Dia juga menambahkan bahwa jumlah perangkat yang terhubung ke internet yang terus meningkat berarti "itu adalah surga bagi para peretas."

Sensor pintu juga dapat menambang secara diam-diam

Pada tahun 2020, di kantor-kantor yang ditutup di seluruh dunia karena pandemi COVID-19, perusahaan keamanan siber Darktrace menemukan sebuah insiden penambangan cryptocurrency rahasia—peretas memanfaatkan server yang mengendalikan akses biometrik kantor untuk melakukan penambangan ilegal.

Petunjuk dari kejadian ini berasal dari server yang mengunduh file executable yang mencurigakan dari alamat IP eksternal yang belum pernah muncul di jaringan. Selanjutnya, server tersebut beberapa kali terhubung ke titik akhir eksternal yang terkait dengan kolam penambangan koin privasi Monero.

Serangan ini dikenal sebagai "Cryptojacking", tim intelijen ancaman Microsoft menemukan lebih banyak kasus serangan semacam itu pada tahun 2023, di mana peretas menargetkan sistem Linux dan perangkat pintar yang terhubung ke internet.

Survei Microsoft menemukan bahwa penyerang akan memulai serangan dengan membobol perangkat Linux dan Internet of Things yang terhubung ke internet melalui brute force. Setelah masuk ke jaringan, mereka akan menginstal program pintu belakang, kemudian mengunduh dan menjalankan malware penambangan cryptocurrency. Ini tidak hanya akan menyebabkan lonjakan biaya listrik, tetapi juga akan mengalihkan semua hasil penambangan langsung ke dompet peretas.

Kasus peretasan kripto semacam ini bermunculan tanpa henti, salah satu kasus terbaru melibatkan penyisipan kode peretasan kripto ke dalam halaman HTML 404 yang dipalsukan.

Peretasan perangkat cerdas: menghancurkan jaringan listrik

Yang lebih menakutkan adalah, peneliti keamanan dari Universitas Princeton pernah mengajukan sebuah hipotesis: jika peretas dapat mengendalikan cukup banyak perangkat berenergi tinggi, seperti 210.000 pendingin udara, dan membuatnya menyala secara bersamaan, itu dapat menyebabkan pemadaman listrik secara tiba-tiba yang setara dengan jumlah penduduk California, sekitar 38 juta orang.

Perangkat ini perlu dipusatkan di suatu bagian dari jaringan listrik, dan diaktifkan secara bersamaan, untuk menyebabkan kelebihan arus pada beberapa saluran listrik, yang dapat merusak atau memicu relay perlindungan di saluran tersebut, sehingga menutupnya. Ini akan memindahkan beban ke saluran yang tersisa, lebih lanjut memperburuk tekanan pada jaringan, dan akhirnya memicu reaksi berantai.

Namun, situasi ini memerlukan pengaturan waktu jahat yang tepat, karena fluktuasi jaringan listrik adalah fenomena umum selama cuaca khusus (seperti gelombang panas).

Robot penyapu sedang melihatmu

Tahun lalu, banyak robot pembersih di berbagai lokasi di Amerika Serikat tiba-tiba mulai menyala sendiri. Ternyata, peretas menemukan bahwa robot pembersih Ecovac buatan China memiliki celah keamanan yang serius.

Menurut laporan, peretas dapat mengendalikan perangkat ini dari jarak jauh, menggunakannya untuk menakut-nakuti hewan peliharaan, berteriak kata-kata kotor kepada pengguna melalui speaker bawaan, dan bahkan menggunakan kamera bawaan untuk mengintip lingkungan di rumah pengguna.

Sebuah gambar tampilan langsung dari robot penyedot debu Ecovac yang diretas (ABC News)

"Salah satu masalah serius dengan perangkat IoT adalah, banyak produsen masih kurang memperhatikan masalah keamanan," kata perusahaan keamanan siber Kaspersky.

Jelas bahwa jika peretas mendapatkan video tempat Anda memasukkan kata sandi atau mencatat frasa pemulihan, akibatnya akan sangat mengerikan.

Bagaimana cara melindungi diri dari serangan peretasan perangkat cerdas?

Melihat sekeliling, Anda mungkin akan menemukan hampir semua perangkat di rumah Anda terhubung ke internet—robot penyedot debu, bingkai foto digital, kamera bel pintu. Lalu, bagaimana Anda dapat menjaga keamanan Bitcoin Anda?

Salah satu pilihan adalah mengikuti metode hacker profesional Joe Grand: sepenuhnya menghindari penggunaan perangkat pintar.

"Ponsel saya adalah perangkat paling cerdas di rumah, tetapi meskipun begitu, saya tidak mau menggunakan ponsel, hanya untuk navigasi dan berkomunikasi dengan keluarga," katanya kepada "Magazine", "tetapi perangkat cerdas? Sama sekali tidak mungkin."

Hron dari Avast mengatakan bahwa cara terbaik adalah memastikan untuk mengatur kata sandi untuk perangkat pintar dan menghindari penggunaan pengaturan bawaan.

Para ahli lainnya menyarankan untuk menggunakan jaringan tamu yang terpisah untuk perangkat IoT, terutama untuk perangkat yang tidak perlu berbagi jaringan dengan komputer dan ponsel; memutuskan sambungan saat perangkat tidak digunakan; dan memastikan perangkat lunak diperbarui secara berkala.

Selain itu, ada mesin pencari berbayar yang terhubung yang dapat membantu pengguna melihat perangkat terhubung di rumah dan kemungkinan kerentanannya.