Hati-hati, robot penyedot debu dan mesin kopi Anda mungkin mencuri Bitcoin Anda?

Perangkat rumah pintar rentan terhadap peretasan, mencatat kata sandi atau frasa mnemonik, dan kemudian mencuri aset kripto Anda. Di bawah ini mengungkap berbagai risiko keamanan perangkat internet of things. Artikel ini berasal dari tulisan Felix Ng, disusun, diterjemahkan, dan ditulis oleh TechFlow. (Latar belakang: Lucu! Peretas UXLINK mencuri 11,3 juta dolar AS "namun terkena serangan phishing", dunia kripto berisiko tinggi) Robot penyapu dan perangkat rumah pintar lainnya sangat mudah diretas, digunakan untuk mencatat input kata sandi atau frasa mnemonik Anda. Bayangkan suatu pagi Anda terbangun dan menemukan robot penyapu tidak terkendali, kulkas mulai meminta tebusan, sementara aset kripto dan dana rekening bank Anda telah dibobol habis. Ini bukan plot film horor Stephen King tahun 1986 "Maximum Overdrive", yang menceritakan tentang komet yang menyebabkan kegilaan mesin pembunuh di seluruh dunia. Sebaliknya, risiko nyata yang mungkin terjadi jika peretas masuk ke komputer Anda melalui perangkat pintar di rumah Anda. Dengan jumlah perangkat IoT di seluruh dunia diperkirakan mencapai 18,8 miliar, dengan rata-rata sekitar 820.000 serangan IoT terjadi setiap hari, kemungkinan skenario ini semakin meningkat. "Perangkat internet of things yang tidak aman (seperti router) dapat menjadi pintu masuk untuk menyerang jaringan rumah," kata peneliti Tao Pan dari perusahaan keamanan blockchain Beosin dalam sebuah wawancara. Hingga 2023, rata-rata rumah tangga di AS memiliki 21 perangkat yang terhubung, di mana sepertiga perangkat rumah pintar konsumen mengalami pelanggaran data atau penipuan dalam 12 bulan terakhir. "Setelah diretas, penyerang dapat bergerak secara lateral untuk mengakses perangkat yang terhubung, termasuk komputer atau ponsel yang digunakan untuk transaksi aset kripto, dan dapat menangkap kredensial login antara perangkat dan pertukaran. Ini sangat berbahaya bagi pengguna yang melakukan transaksi aset kripto menggunakan API," tambahnya. Jadi, informasi apa yang dapat dicuri peretas dari rumah Anda, dan kerusakan apa yang dapat ditimbulkan? "Magazine" mengumpulkan beberapa kejadian peretasan paling aneh yang terjadi dalam beberapa tahun terakhir, termasuk kasus sensor akses pintu yang diretas untuk menambang aset kripto. Kami juga telah merangkum beberapa saran praktis untuk melindungi data dan keamanan aset kripto. Mengakses mesin kopi Pada tahun 2019, peneliti keamanan siber Avast, Martin Hron, menunjukkan bagaimana peretas dapat dengan mudah mengakses jaringan rumah dan perangkatnya. Dia memilih target yang sederhana: meretas mesin kopi miliknya. Hron menjelaskan, seperti kebanyakan perangkat pintar, mesin kopi menggunakan pengaturan default yang memungkinkan perangkat terhubung ke WiFi tanpa kata sandi, sehingga memudahkan untuk mengunggah kode berbahaya ke dalam mesin. "Banyak perangkat IoT pertama-tama terhubung ke jaringan rumah melalui jaringan WiFi mereka sendiri, yang hanya digunakan untuk mengatur perangkat. Idealnya, konsumen segera melindungi jaringan WiFi tersebut dengan kata sandi," jelas Hron. "Tetapi banyak perangkat tidak memiliki kata sandi yang diatur untuk melindungi jaringan WiFi saat keluar dari pabrik, dan banyak konsumen juga tidak mengatur kata sandi," tambahnya. Tautan video asli "Saya bisa melakukan apa pun yang saya inginkan, karena saya bisa mengganti firmware, yaitu perangkat lunak yang mengoperasikan mesin kopi. Dan saya bisa menggantinya dengan apa saja yang saya inginkan. Saya bisa menambah fungsi, menghapus fungsi, dan meretas langkah-langkah keamanan yang ada. Jadi, saya bisa melakukan apa pun yang saya inginkan," katanya dalam video yang dirilis oleh Avast. Dalam demonstrasinya, Hron menunjukkan pesan tebusan melalui mesin kopi, perangkat terkunci, dan tidak dapat digunakan kecuali tebusan dibayar. Anda bisa memilih untuk mematikan perangkat, tetapi itu berarti Anda tidak akan pernah bisa minum kopi lagi (Avast/YouTube) Namun, selain menunjukkan pesan tebusan, mesin kopi juga bisa digunakan untuk melakukan tindakan yang lebih berbahaya, seperti menyalakan pemanas yang berpotensi menyebabkan kebakaran, atau menyemprotkan air mendidih untuk mengancam korban. Yang lebih menakutkan, ia bisa secara diam-diam menjadi pintu masuk ke seluruh jaringan, memungkinkan peretas untuk memantau informasi rekening bank Anda, email, bahkan frasa mnemonik aset kripto. Mengakses akuarium kasino Salah satu kasus paling terkenal terjadi pada tahun 2017, ketika peretas berhasil menyusup ke akuarium terhubung di lobi sebuah kasino di Las Vegas dan mentransfer 10GB data. Akuarium dilengkapi dengan sensor untuk mengatur suhu, memberi makan, dan membersihkan, yang terhubung ke komputer di jaringan kasino. Peretas menggunakan akuarium untuk masuk ke area lain dari jaringan dan mengirim data ke server jarak jauh di Finlandia. Akuarium mungkin terlihat seperti ini (Muhammad Ayan Butt/ Unsplash) Meskipun kasino telah menerapkan firewall dan perangkat lunak antivirus standar, serangan tersebut tetap berhasil. Untungnya, serangan tersebut cepat terdeteksi dan ditangani. CEO perusahaan keamanan siber Darktrace, Nicole Eagan, mengatakan kepada BBC saat itu, "Kami segera menghentikannya, tidak ada kerusakan yang terjadi." Dia juga menambahkan bahwa jumlah perangkat yang terhubung ke internet yang terus meningkat berarti "itu adalah surga bagi peretas." Sensor pintu juga dapat digunakan untuk menambang secara diam-diam Pada tahun 2020, saat kantor ditutup di seluruh dunia karena pandemi COVID-19, perusahaan keamanan siber Darktrace menemukan kasus penambangan aset kripto secara rahasia—peretas menggunakan server yang mengontrol akses pintu biometrik kantor untuk penambangan ilegal. Petunjuk kejadian ini berasal dari server yang mengunduh file eksekusi mencurigakan dari alamat IP eksternal yang belum pernah muncul di jaringan. Selanjutnya, server terhubung beberapa kali ke endpoint eksternal yang terkait dengan pool penambangan Monero, sebuah token privasi. Serangan semacam ini disebut "cryptojacking", tim intelijen ancaman Microsoft menemukan lebih banyak kasus serangan semacam ini pada tahun 2023, di mana peretas menargetkan sistem Linux dan perangkat pintar yang terhubung ke internet. Penyelidikan Microsoft menemukan bahwa penyerang akan melakukan serangan dengan menembus perangkat Linux dan IoT yang terhubung ke internet melalui brute force attack. Setelah memasuki jaringan, mereka menginstal backdoor, kemudian mengunduh dan menjalankan malware untuk penambangan aset kripto. Ini tidak hanya menyebabkan lonjakan tagihan listrik, tetapi juga mengalihkan semua hasil penambangan langsung ke dompet peretas. Kasus cryptojacking ini terus muncul, salah satu kasus terbaru melibatkan penanaman kode cryptojacking ke dalam halaman HTML 404 yang dipalsukan. Peretas meretas perangkat pintar: menghancurkan jaringan listrik Yang lebih menakutkan, peneliti keamanan dari Universitas Princeton pernah mengajukan hipotesis: jika peretas dapat mengendalikan cukup banyak perangkat berkonsumsi tinggi, seperti 210.000 pendingin udara, dan menghidupkannya secara bersamaan, hal ini dapat menyebabkan pemadaman listrik mendadak yang setara dengan populasi California, sekitar 38 juta orang. Perangkat-perangkat ini perlu terpusat di bagian tertentu dari jaringan listrik dan dihidupkan secara bersamaan, untuk menyebabkan kelebihan arus di beberapa saluran listrik, sehingga merusak atau memicu pemutus perlindungan di saluran tersebut untuk mematikan. Ini akan memindahkan beban ke saluran yang tersisa, semakin membebani jaringan listrik, yang pada akhirnya memicu reaksi berantai. Namun, situasi ini memerlukan penjadwalan waktu jahat yang tepat, karena fluktuasi jaringan listrik adalah fenomena umum saat cuaca ekstrem (seperti gelombang panas). Robot penyapu sedang mengawasi Anda Tahun lalu, robot penyapu di banyak tempat di AS tiba-tiba mulai menyala sendiri. Ternyata, peretas menemukan kerentanan keamanan serius pada robot penyapu Ecovac yang dibuat di China. Dilaporkan, peretas bisa mengendalikan perangkat ini dari jarak jauh, mengintimidasi hewan peliharaan, berteriak kata-kata kasar kepada pengguna melalui speaker bawaan, bahkan mengintip lingkungan pengguna menggunakan kamera bawaan.