Waspada, Email Ngaku-ngaku Curi Password! #SCAMMER

Kasus Cambridge Analytica merupakan teknik piawai dalam mengolah dan memanfaatkan data yang bagi kebanyakan orang tidak berguna, namun di tangan yang tepat, data tersebut terbukti mempengaruhi hasil Pemilihan Presiden di Amerika Serikat (AS).

Eksploitasi serupa terjadi pada spam email dua minggu terakhir. Kepiawaian memanfaatkan data yang bagi kebanyakan orang tidak berguna, ternyata menimbulkan kepanikan pada banyak penerima email, sekalipun pengguna email tersebut termasuk pengguna yang cukup kawakan.
Jika Anda menggunakan layanan email server yang cukup mumpuni seperti Gmail, kemungkinan scam ini sudah terdeteksi dan dihentikan sebelum masuk ke inbox Anda (lihat gambar dibawah).

Email scam yang mengaku mengetahui password Anda.

Namun jika scam tersebut berhasil masuk, isinya dijamin minimal akan membuat penerimanya terkejut, karena ‘kata kunci’ yang selama ini Anda rahasiakan dan gunakan, termasuk aktivitas rahasia, ternyata telah diketahui oleh pengirim scam.

Isinya kira-kira seperti ini:

Saya mengetahui password saudara, password saudara adalah *******. Langsung saja ke inti masalah. Saudara mungkin tidak mengenal saya dan saudara bertanya-tanya mengapa mendapatkan email ini.
Tidak ada orang yang membayar saya untuk melacak saudara. Sebenarnya, saya menempatkan software pada situs video klip dewasa dan saudara tahu? Saudara mengunjungi situs tersebut untuk bersenang-senang (Anda tahu maksud saya).
Ketika saudara menonton video tersebut, browser saudara mulai berfungsi sebagai remote control dengan pencuri password yang memberikan saya akses pada layar dan kamera saudara.
Setelah itu, program mengambil semua kontak dari messenger, media sosial dan email saudara. Kemudian saya membuat video dengan dua layar. Bagian pertama menampilkan video yang saudara lihat dan bagian kedua menampilkan muka saudara.
Sekarang saudara memiliki dua pilihan. Pertama, cuekin email saya dan saya akan mengirimkan semua materi tentang Anda ke semua kontak personal Anda. Bisa Anda bayangkan, bagaimana pandangan orang terhadap Anda jika ini tersebar.
Kedua, bayar saya USD 7.000. Katakanlah ini donasi. Saya akan menghapus semua video Anda, dan Anda akan kembali ke kehidupan rutin seakan hal ini tidak pernah terjadi, dan Anda tidak akan pernah mendengar apapun lagi dari saya.

Kehebatan dari scam, adalah kemampuannya untuk mengirimkan scam yang unik dan hanya cocok untuk alamat email yang menerima scam. Dapat dipastikan scam ini dikirimkan dalam jumlah yang masif dan tetap unik.
Di mana letak keunikannya? Keunikannya adalah pasangan email dan password yang memang sesuai dengan kenyataan di mana password tersebut memang digunakan oleh pemilik email tersebut.
Jika data tersebut tidak akurat dan password yang diklaim diketahui oleh penyebar scam tidak sesuai dengan password yang digunakan penerima email, maka efek kejutnya tidak akan besar dan korbannya tidak akan terkejut atau terpana seperti kerbau dicocok hidung mengikuti perintah pembuat scam. (lihat gambar dibawah)

Scam yang memanfaatkan data email dan password yang valid untuk memeras.

Dipersiapkan dengan serius.
Email scam ini dipersiapkan dengan sangat serius dan kemungkinan besar ada program khusus untuk memproduksi scam ini, di mana pembuat scam hanya tinggal memasukkan data yang valid (email dan password) dan secara otomatis program akan membuat email dengan narasi yang telah dipersiapkan.
Narasi yang disiapkan ini juga mencantumkan satu alamat Bitcoin untuk setiap penerima email sebagai wadah menerima uang hasil pemerasan, jika korbannya termakan oleh scam ini.
Hal ini menunjukkan kepiawaian pelaku kejahatan cyber dalam pengelolaan Big Data yang disalahgunakan untuk tujuan pemerasan.

Antisipasi:
Lalu jika benar password yang dikirimkan melalui email tersebut adalah password yang sedang atau pernah Anda gunakan, apa yang dapat kita lakukan untuk mengantisipasi kerugian dari hal ini?

Jangan menggunakan password yang sama pada layanan yang berbeda. Dari kasus ini, tentunya Anda sudah belajar kalau password di salah satu platform diketahui, maka semua akun Anda akan bisa dikuasai oleh peretas.
Gunakan password manager sehingga Anda tidak perlu mengingat banyak password dan hanya perlu mengingat satu password master program password manager yang akan mengingat semua password Anda, seberapapun rumitnya.
Untuk memperlancar akses, simpan database password Anda dalam kondisi terenkrip di cloud, sehingga koleksi password Anda bisa diakses dari manapun dengan mudah dan tetap aman.
Aktifkan Two Factor Authentication (TFA) dan One Time Password (OTP) untuk melindungi akun dan aset digital Anda.
Gunakan password yang unik dengan kombinasi cukup rumit untuk mempersulit bruteforce. Jangan pernah mendaur ulang password yang sama.
Jika Anda ingin melacak sejarah password Anda, simpan password yang pernah dipakai pada bagian note di Password Manager. Dengan demikian, ketika ada yang berpura-pura mengetahui password Anda, Anda bisa mengetahui dengan persis dari aplikasi mana dia mengetahui password Anda.

Sebagai penutup, menjawab rasa penasaran Anda dari mana pembuat scam ini mengetahui password Anda, sebagai informasi, menurut catatan Vaksincom, password pada gambar 1 dan 2 di atas pernah digunakan pada layanan LinkedIn. Dan seperti kita ketahui, 117 juta kredensial LinkedIn (username dan password) pernah bocor pada Mei 2016 dan dengan mudah di dapatkan dari Paste bin.
Jadi, lain kali jangan mudah percaya kalau ada yang mengklaim kalau mereka memiliki data Anda sedang menonton film dewasa, kecuali email tersebut menyertakan bukti foto Anda sedang menonton film dewasa.