Image credit: Pixabay
BADBOX 2.0 Perangkat Pintar Mata-Mata Siber – Perangkat Internet of Things (IoT) sudah ada di mana-mana. Mulai dari kamera pintar di kantor, speaker cerdas di rumah, hingga sensor di lantai pabrik.
Konektivitas ini memang menjanjikan efisiensi, tetapi sayangnya, hal ini juga memperluas “permukaan serangan” siber secara dramatis.
Faktanya, terlalu banyak perangkat IoT yang diproduksi dengan keamanan yang minimal. Perangkat-perangkat ini berubah menjadi sasaran empuk bagi malware, ransomware, dan botnet, yang pada akhirnya menjadikannya liabilitas besar bagi seluruh perusahaan yang terhubung dengannya.
Botnet BADBOX 2.0
Ambil contoh kasus mengkhawatirkan dari botnet BADBOX 2.0 yang, pada tahun 2025, menginfeksi lebih dari satu juta perangkat Android berbiaya rendah.
Seperti Smart TV dan set-top box ilegal, banyak perangkat ini datang dengan malware yang sudah terinstal dari pabrik atau terkompromi melalui aplikasi berbahaya saat diatur.
Botnet ini kemudian mengontrol perangkat-perangkat tersebut untuk menciptakan jaringan proksi perumahan, yang disalahgunakan oleh penjahat siber untuk:
- Penipuan iklan (ad fraud).
- Pencurian kredensial (credential stuffing)
- Dan aktivitas terlarang lainnya, sambil menyamarkan asal-usul mereka yang sebenarnya.
Meskipun FBI dan beberapa peneliti telah berupaya melakukan penindakan, BADBOX 2.0 dilaporkan masih aktif di lebih dari 220 negara. Ini bukan sekadar masalah konsumen.
Ketika perangkat tidak bersertifikat ini terhubung ke jaringan kantor atau jaringan rumah yang digunakan untuk bekerja, mereka menjadi jalur masuk yang berbahaya, menempatkan seluruh data dan operasi perusahaan dalam risiko.
|
Baca juga: Alasan Kenapa Pabrik Mobil Menjadi Target Empuk Peretas |
Keamanan Dimulai dari Keputusan Pembelian
Tim keamanan siber harus mengembangkan strategi mendalam untuk mengatasi risiko IoT yang terus meningkat, dan ini harus dimulai dari proses pengadaan (procurement).
1. Pengadaan Harus Menjadi Garis Pertahanan Pertama
Perangkat terhubung yang murah dan diam-diam masuk ke jaringan Anda tidak hanya nyaman; mereka berbahaya. FBI memperingatkan bahwa perangkat IoT yang disusupi disalahgunakan dalam skala besar, bahkan pada jaringan rumah yang digunakan untuk kerja hybrid.
Kunci Keamanan dalam Pengadaan
- Jangan Beli Hardware yang tidak jelas, berhenti membeli perangkat keras yang tidak transparan
- Tuntut Verifikasi: Jika sebuah vendor tidak dapat memverifikasi bagaimana pembaruan perangkat lunak mereka ditandatangani (signed), merinci apa saja komponen di dalam perangkat, atau menunjukkan akuntabilitas untuk keamanan, perangkat itu tidak boleh masuk ke jaringan Anda.
- Permintaan Transparansi: Tuntut pembaruan yang dapat diverifikasi, daftar perangkat lunak komponen yang transparan (Software Bills of Materials/SBOM), dan dukungan keamanan yang akuntabel.
Mengizinkan perangkat yang tidak bersertifikat masuk ke jaringan kerja Anda adalah undangan terbuka bagi aktivitas kriminal untuk berkembang biak.
2. Mengamankan Rantai Pasok (Supply Chain)
Perangkat IoT pihak ketiga yang murah, seringkali datang dengan kata sandi default dan komponen yang tidak diketahui, adalah mimpi buruk bagi tim keamanan. Organisasi harus memperlakukan perangkat ini seperti pemasok berisiko tinggi mana pun.
Langkah-Langkah Kritis
- Validasi di Lab: Validasi perangkat di lingkungan lab sebelum pembelian massal.
- Klausul Kontrak: Sertakan klausul keamanan yang ketat dalam kontrak, mengikuti panduan seperti yang dikeluarkan oleh US National Institute of Standards and Technology (NIST), yang merupakan kerangka kerja keamanan siber global.
