Showing posts with label Sensitive Information. Show all posts
Showing posts with label Sensitive Information. Show all posts

Wednesday, July 20, 2011

Jangan Terjebak Permintaan "System Administrator"

Jika kita bekerja pada sebuah lembaga yang memberi akses email kepada kita, perhatikan baik-baik prosedur "security"-nya. Informasi terpenting ketika membuka akun email adalah user name dan password. Meski keduanya merupakan informasi yang sensitif, password biasanya merupakan informasi yang tidak pernah di-sharing pada siapapun.

Penulis memiliki akses email tetap ke webmail kampus Universitas Agder di Grimstad, Norwegia. Salah satu prosedur pengamanan akun email yang lazim dilakukan setiap tahun, yaitu mengganti password. Tetapi salah satu kebijakan utama kampus, system administrator tidak pernah menanyakan password pribadi kita. Sayangnya, mungkin tak semua menyimak informasi tersebut. Sehingga, jika mendapat email dari "system administrator", orang kadang cenderung mempercayainya, apalagi jika email itu tampak "legitimate", dan orang jadi lengah karena terbiasa mengganti password setiap tahun.

Coba perhatikan baik-baik contoh email di bawah ini yang butuh pengamatan lebih jauh untuk bisa menilai email ini sebagai email sah atau tidak.

Contoh email yang meminta password dari System Administrator

Mengapa Kelihatan Seperti Email Sah?

  1. Pengirimnya System Administrator
  2. Domain name-nya seperti systemadministrator.no (menunjukkan Norwegia) 
  3. Subjeknya meyakinkan, seolah-olah terjadi error atau kesalahan di akun kita.
  4. Alasan mengganti password juga meyakinkan, bahwa akun ini telah dipergunakan untuk login ke berbagai komputer.
  5. Pengirimnya Webmail Help Desk juga meyakinkan.
Apa yang membuat email ini terlihat palsu?
  1. Menanyakan user name (Brukernavn) kita. System administrator akan selalu mengetahui user name para pengguna webmail sehingga tak perlu menanyakan informasi tersebut.
  2. Email menanyakan password (passord) kita
  3. Email menanyakan tanggal lahir kita 
  4. Alamat reply-to-nya mencurigakan; domain namenya menunjukkan alamat ke Cina (.cn)
  5. Alamat email pengirim bukan systemadministrator.no, melainkan systemuadministrator.no. Mungkin jika hanya system administrator.no, telah ada orang yang memilikinya.
Jika orang berhasil memancing kita untuk mengisi data yang diminta tersebut, maka "bad guys" di sebrang sana bersorak kegirangan karena kita telah memberikan informasi konfidensial: password dan email. Dalam kebijakan security di kampus, system administrator tidak pernah menanyakan password dan kita selalu harus menggantinya sendiri tanpa intervensi pihak ketiga.




Posted by at No comments:
Labels:
Subscribe to: Posts (Atom)