Pencurian identitas: Sampah Anda, harta mereka

Penulis Jim Stickley telah mencuri kartu kredit, membuat ATM palsu, nomor keamanan sosial yang diretas, dan merampok bank. Tapi dia bukan kriminal. Stickley dipekerjakan oleh perusahaan untuk menemukan kelemahan keamanan mereka. Dalam bukunya, “Kebenaran Tentang Pencurian Identitas,” Stickley menulis tentang bagaimana orang yang rentan dapat dicuri identitasnya. Dalam kutipan ini, dia memperingatkan bahwa orang harus berpikir dua kali tentang apa yang mereka buang.

Bagian II: Kebenaran tentang sampah

Sampah satu orang adalah identitas pria lain
Selama bertahun-tahun, saya telah membobol banyak bank melalui ratusan serangan yang berbeda. Meskipun masing-masing berbeda, tujuan utamanya sering sama: untuk mendapatkan akses ke uang tunai atau informasi rahasia. Saya pernah didekati oleh lembaga keuangan besar yang tidak hanya peduli dengan keamanan lokasi fisik dan jaringannya, tetapi juga memiliki kekhawatiran tentang risiko yang terkait dengan manajemen tingkat atas. Lembaga ini meminta saya untuk menyelidiki apakah tim manajemennya dapat diserang dengan cara yang memungkinkan pencuri identitas memiliki akses yang lebih besar ke organisasinya.

Jadi setiap sore saya menunggu di tempat parkir dan menyaksikan anggota tim manajemen masuk ke kendaraan mereka. Lalu saya mengikuti mereka pulang. Dalam beberapa minggu, saya memiliki masing-masing alamat rumah mereka. Karena saya tidak punya izin untuk masuk ke rumah mereka dan memeriksa barang-barang pribadi mereka, saya memilih hal terbaik berikutnya: sampah mereka.

Selama bertahun-tahun, saya kagum pada hal-hal yang dapat Anda temukan di tempat sampah. Ada bisnis besar untuk pencuri identitas dalam sampah pribadi. Lebih penting lagi, setelah Anda membuang sampah di jalan untuk pengambilan sampah, biasanya dibuka untuk umum. Ini berarti bahwa jika saya begitu ingin, saya dapat mengambil sampah itu dan membawanya pulang, itulah yang saya lakukan. Setiap minggu saya akan memasang sarung tangan karet saya dan memeriksa setiap barang dari tempat sampah: daftar ping toko kelontong, catatan tempel dengan nomor telepon, undangan pribadi untuk seorang gadis kecil ke pesta ulang tahun seorang teman, dan banyak lagi. Karena saya terus melalui sampah manajer, saya dapat menyusun daftar penyedia layanan mereka: tagihan air, tagihan telepon, gas dan listrik, kabel, dan sebagainya. Saya dapat menggunakan informasi ini tidak hanya untuk mendapatkan akses ke kehidupan mereka tetapi, jika saya ingin, untuk mengambil alih hidup mereka.

Pada akhirnya, saya memutuskan untuk menggunakan informasi penagihan untuk penyedia layanan Internet manajer bank sebagai titik akses untuk serangan saya. Menggunakan informasi yang saya peroleh dari tagihan, saya menghubungi para manajer dan menjelaskan bahwa saya berasal dari perusahaan itu. Saya memberi tahu mereka bahwa kami memperbarui layanan kami dan itu, agar mereka terus memiliki layanan Internet, mereka akan diminta untuk menginstal perangkat lunak yang diperbarui. Saya menjelaskan bahwa perangkat lunak akan tiba dalam minggu depan.

Karena saya juga dapat mereferensikan informasi penagihan mereka di masa lalu selama panggilan, para korban tidak pernah curiga. Dalam seminggu, mereka masing-masing menerima paket di surat yang berisi “perangkat lunak peningkatan” dan instruksi. Satu per satu, para manajer menginstal perangkat lunak.

Tentu saja, perangkat lunak yang baru saja mereka instal sebenarnya berbahaya dan dirancang khusus untuk memungkinkan saya mengakses komputer mereka melalui Internet dari mana saja di dunia. Tak lama setelah mereka menginstal perangkat lunak, saya berada di komputer mereka melalui semua file mereka. Dalam beberapa hari yang singkat, saya memiliki nama pengguna dan kata sandi untuk sistem perusahaan dan bahkan akses VPN, yang memungkinkan saya untuk terhubung langsung ke jaringan internal lembaga keuangan.

Ketika saya menyerahkan laporan saya kepada para eksekutif di organisasi, mereka jelas-jelas di lantai. Tak satu pun dari mereka yang pernah menduga bahwa saya telah menargetkan mereka di rumah, meskipun mereka semua telah menandatangani surat pernyataan membiarkan saya melakukannya. Mereka mengatakan mereka berhati-hati tentang email yang dikirimkan kepada mereka, karena mereka yakin itulah yang akan saya coba dapatkan; tetapi gagasan bahwa saya akan pergi melalui sampah mereka dan menggunakannya untuk melawan mereka tidak pernah terlintas dalam pikiran mereka.

Sekarang, Anda mungkin bertanya pada diri sendiri apa kaitan cerita itu dengan pencurian identitas. Tentu, saya bisa mendapatkan akses ke lembaga keuangan itu dengan menyerang karyawannya di rumah, tetapi secara teknis karyawan itu tidak pernah ditempatkan secara langsung pada risiko, hanya majikan. Kenyataannya, para karyawan itu ternyata jauh lebih rentan daripada yang saya bayangkan. Namun, karena saya tidak disewa untuk menguji mereka secara pribadi, saya hanya melewati peluang tersebut dan tetap fokus pada target utama saya: bank.

Jika Anda memiliki kartu kredit, Anda mungkin terbiasa dengan kekacauan surat sampah yang datang atas nama perusahaan kartu kredit. Meskipun sebagian besar sampah termasuk dengan tagihan Anda tidak berbahaya, masalah ini terjadi ketika perusahaan kartu kredit memutuskan untuk mempermudah Anda membelanjakan uang. Cek kartu kredit telah menjadi bisnis yang menguntungkan bagi perusahaan kartu kredit. Pemeriksaan ini dapat digunakan seperti cek biasa untuk membayar apa pun dari tagihan kartu kredit lain untuk membeli makanan di toko kelontong. Karena Anda dapat menggunakan pemeriksaan ini dalam situasi di mana kartu kredit tidak akan diterima, mereka memungkinkan Anda kebebasan baru untuk terus meraup utang kartu kredit. Pemeriksaan ini sering kali disertakan dengan banyak dokumen lain yang semuanya dimasukkan ke dalam laporan kartu kredit bulanan Anda.

Saat menyerang tim manajemen bank, saya menemukan banyak dari cek ini masih di dalam amplop pernyataan terbuka, yang telah dibuang di tempat sampah. Yang harus saya lakukan adalah mengambil pemeriksaan ini dan pergi ke pesta. (Saya tidak, tentu saja, tetapi apakah saya telah menjadi pencuri yang nyata, saya hanya akan menabrak tambang emas benar-benar.)

Ada peluang serangan pencurian identitas lain yang tersedia bagi saya selama tes ini. Setiap tagihan yang saya temukan mengandung informasi yang luar biasa. Misalnya, pada tagihan kabel, nama, alamat, dan nomor akun korban telah tersedia. Selain itu, saya bisa melihat total tagihan saat ini, jumlah tagihan sebelumnya, dan jika mereka membayarnya. Dengan hanya menggunakan informasi ini, saya dapat menelepon korban, menjelaskan bahwa saya berasal dari perusahaan TV kabel, dan mengatakan bahwa kami belum menerima pembayaran untuk tagihan bulan ini. Korban, tentu saja, akan mengatakan bahwa dia telah membayarnya, dan saya berpendapat bahwa dia mungkin telah mengirimkan cek, tetapi kami belum menerimanya, jadi itu mungkin hilang dalam surat. Saya akan menjelaskan bahwa, meskipun disayangkan, layanannya dimatikan dan dia harus dikenakan biaya untuk membuatnya diaktifkan kembali.

Saya kemudian akan menawarkan korban kemampuan untuk membayar tagihan melalui kartu kredit atau memeriksa melalui telepon. Saya akan menjelaskan bahwa jika pembayarannya yang lain akhirnya muncul, itu akan dihancurkan. Sekali lagi, penting untuk diperhatikan bahwa menyebutkan jumlah pembayaran sebelumnya dari korban dan ketika diterima membantu saya mendapatkan kredibilitas. Korban akan mengalah dan memberikan nomor kartu kredit atau nomor rekening dan nomor routing bank. Setelah selesai, saya bisa saja mengambil informasi itu dan pergi berbelanja.

Ada solusi sederhana untuk menghindari serangan semacam ini: Hancurkan semuanya. Saya sungguh-sungguh. Segala sesuatu! Jika Anda membuang kertas apa pun yang berisi informasi pribadi, hancurkan terlebih dahulu. Shredder memiliki beberapa jenis yang berbeda, tetapi saya sangat menyarankan Anda menghabiskan sedikit ekstra untuk memastikan bahwa itu memotong-potong potongan dan dapat mencabik-cabik CD dan kartu kredit. Jenis shredder ini berjalan lebih cepat dan cabik lebih banyak barang dalam satu waktu, memungkinkan Anda menghabiskan lebih sedikit waktu di depannya.

Ingat: Satu sampah pria benar-benar dapat menjadi harta orang lain. Sayangnya, harta seseorang mungkin benar-benar dicuri dari identitas pria lain. Jadi mulailah memotong-motong.

Dumpster diving demi keuntungan
Dalam Kebenaran sebelumnya, saya berbicara tentang apa yang orang buang ketika mereka berada di rumah dan risiko yang menyertainya. Namun, risiko-risiko itu tidak ada apa-apanya dibandingkan dengan apa yang rekan kerja saya dan saya temukan ketika melakukan dumpster-diving selama bertahun-tahun. Sementara banyak negara telah mulai menuntut perusahaan karena membuang informasi rahasia konsumen secara tidak aman, tampaknya mayoritas dunia sama sekali tidak memperhatikan.

Pada awal 2007, Radio Shack diduga membuang lebih dari 20 kotak yang berisi informasi pribadi untuk ribuan pelanggan. Seorang pria mengaduk-aduk tempat sampah menemukan kotak-kotak dan melaporkannya. Pada bulan April, Negara Bagian Texas mengajukan gugatan perdata terhadap Radio Shack karena diduga mengekspos pelanggannya terhadap pencurian identitas. Gugatan itu mengklaim bahwa perusahaan “gagal melindungi informasi dengan memotong-motong, menghapus, atau sarana lain, untuk membuatnya tidak dapat dibaca atau tidak dapat diuraikan sebelum membuang catatan bisnisnya.”

Fakta bahwa data itu ditemukan tidak mengherankan. Fakta sederhananya adalah bahwa di seluruh ratusan tempat sampah yang saya punya kesenangan untuk “mengunjungi,” itu adalah hari yang langka bahwa saya datang dengan tangan kosong. Paling sering saya pergi dengan informasi rahasia yang cukup untuk menjaga pencuri identitas rata-rata dalam bisnis selama berbulan-bulan, atau bahkan bertahun-tahun. Saya telah menemukan nomor jaminan sosial, salinan lisensi pengemudi, aplikasi kredit, nomor kartu kredit, nama dan alamat lengkap, dan nomor telepon – semuanya di tempat sampah. Dan itu hanyalah hal-hal yang jelas.

Sebuah perusahaan yang baru-baru ini kami uji coba benar-benar membuang dokumentasi tes narkoba pada semua karyawan baru yang potensial. Setiap dokumen termasuk nama, alamat, nomor jaminan sosial, dan hasil tes. Tidak hanya perusahaan yang menempatkan orang itu pada risiko pencurian identitas, tetapi itu juga merupakan bom waktu berjalan untuk gugatan. Bayangkan jika salah satu karyawan potensial itu telah gagal dalam tes itu dan informasinya diumumkan? Kejatuhan itu bisa sangat merugikan di semua sisi.

Di lokasi lain, lembaga keuangan membuang informasi rahasia, termasuk salinan aplikasi pinjaman, nomor jaminan sosial, nomor rekening bank, dan banyak lagi. Namun dalam kasus ini, alih-alih menempatkan barang-barang di tempat sampah, lembaga itu menempatkan informasi di tempat sampah yang terletak di luar fasilitas yang ditujukan untuk didaur ulang. Saya telah memperhatikan bahwa ini tampaknya menjadi bagian dari tren yang berkembang dalam kebocoran informasi rahasia. Secara umum, orang-orang tertarik pada gerakan hijau, dan bukannya melempar barang-barang yang perlu diparut ke dalam bagian-bagian yang telah ditentukan, mereka menempatkan dokumen ke dalam recycle bin.

Daur ulang dibandingkan dengan shredding
Ketika saya berbicara dengan karyawan yang telah tertangkap menempatkan dokumen-dokumen sensitif ke dalam tempat sampah daur ulang, penjelasan mereka adalah bahwa mereka berpikir daur ulang berbeda dari sampah dan oleh karena itu entah bagaimana aman. Ketika diminta untuk menjelaskan lebih lanjut, para karyawan umumnya mengatakan kepada saya bahwa, sementara sampah berakhir di tempat pembuangan sampah di mana ada yang bisa mendapatkan tangannya di atasnya, daur ulang dibawa ke tempat di mana itu akan digunakan kembali. Mereka sering memberi tahu saya bahwa mereka merasa aman untuk menempatkan dokumen rahasia ke tempat sampah daur ulang karena dokumen tersebut akan dihancurkan dan bukannya dikirim ke TPA. Biarkan saya menjadi sangat jelas: Daur ulang tidak lebih aman daripada membuang barang-barang ke tempat sampah. Bagi mereka di luar sana yang khawatir tentang menjadi hijau, sebagian besar perusahaan penghancur utama melakukan daur ulang setelah mereka memangkas dokumen.

Daur ulang tidak lebih aman daripada membuang barang-barang ke tempat sampah.

Apa garis perusahaan Anda?
Saya telah menemukan bahwa jumlah informasi rahasia yang saya temukan di sampah secara langsung terkait dengan seberapa banyak organisasi mengajarkan kebajikan memotong-motong karyawannya.

Teori pribadi saya adalah ini: Berjalan ke meja karyawan dan tempelkan lengan Anda lurus seperti sayap di pesawat terbang. Sekarang berputar dalam lingkaran. Apakah ada tempat bagi karyawan untuk menempatkan dokumen rahasia yang memerlukan perataan dalam rentang lengan Anda? Jika tidak, saya dapat berjanji kepada Anda bahwa karyawan mungkin tidak mencabik-cabik semua yang mereka butuhkan.

Masalahnya adalah ini: Sering kali sebuah organisasi menempatkan tong yang rusak di setiap lantai fasilitasnya. Para karyawan kemudian diharapkan untuk bangun sepanjang hari dan menempatkan kertas apa pun yang mereka miliki dengan informasi rahasia di dalamnya ke dalam tong tersebut. Tentu saja, yang akhirnya terjadi adalah para karyawan mulai membangun tumpukan di atas meja-meja barang mereka yang meragukan. Seiring berlalunya hari, koran mulai menghalangi. Karena karyawan sibuk dan tidak mau mengambil tumpukan ke tong yang rusak, mereka sering hanya meletakkannya di tempat sampah atau melakukan apa yang saya sebut sebagai “orang miskin yang rusak.” Artinya, mereka secara fisik merobek kertas itu sendiri. Ketika saya menemukan dokumen yang telah robek dengan tangan, saya membawanya pulang dan memberikannya kepada putra saya yang berusia 7 tahun dan mengatakan kepadanya bahwa itu adalah teka-teki. Dia selalu menempatkan mereka kembali bersama.

Dalam kasus lain, jika karyawan hanya memiliki satu dokumen yang perlu diparut, mereka mungkin tidak ingin menyia-nyiakan perjalanan ke tong yang rusak, sehingga sekali lagi, dokumen tersebut berakhir di tempat sampah..

Shredder untuk semua
Solusi terbaik adalah memiliki shredder kecil di setiap meja. Ini memudahkan karyawan untuk mencabik-cabik setiap kertas kerja, menghilangkan kebingungan apa pun yang ada dan tidak dianggap rahasia. Jika itu bukan opsi yang layak, tambahkan tempat sampah kedua di setiap meja yang ditujukan untuk memotong-motong. Jika Anda memilih opsi kedua ini, ketahuilah bahwa ini memang memiliki risiko tambahan. Anda harus memastikan bahwa daur ulang di setiap meja karyawan dihapus pada akhir setiap hari. Anda tidak ingin meninggalkan kotak dokumen rahasia terbuka di setiap meja tempat kru pembersih atau pengunjung lain mungkin memiliki akses.

Saran terakhir saya adalah yang paling penting. Saya sangat menyarankan Anda mendapatkan beberapa sarung tangan karet dan beberapa kantong sampah kosong dan pergi ke tempat sampah Anda sendiri. Cari tahu sendiri apa yang berakhir di tempat sampah Anda. Anda mungkin akan kagum dan mungkin sedikit khawatir tentang apa yang Anda temukan.

Komputer bekas Anda bernilai berat emas
Beberapa tahun yang lalu, saya bekerja untuk sebuah perusahaan yang memiliki perwakilan penjualan yang berlokasi di seluruh AS. Suatu hari saya menerima telepon dari rekan kerja yang sangat kesal dengan panggilan telepon yang baru saja dia terima. Seorang pria di Las Vegas telah menelepon untuk memberi tahu dia bahwa dia sedang melihat-lihat file untuk sejumlah klien korporat kami. Selain itu, ia memiliki akses ke email perusahaan beberapa bulan dan berbagai memo dan informasi kepemilikan lainnya. Meskipun kedengarannya seolah-olah orang ini mencoba mengancam perusahaan kami, ternyata dia hanya merasa jengkel karena pelanggaran keamanan yang konyol dan merasa berkewajiban untuk menelepon dan memberi tahu seseorang.

Beberapa bulan sebelumnya, agen penjualan lain yang pernah tinggal di Las Vegas membeli laptop pribadi. Sementara dia benar-benar memiliki laptop, dia menggunakannya untuk melakukan telecommuting dari rumah ke kantor perusahaan. Sebagai tenaga penjualan, ia memiliki akses ke berbagai file perusahaan, email, akun pelanggan, dan sebagainya. Setelah beberapa bulan, dia memutuskan bahwa laptop tidak lagi memadai. Jadi dia kembali ke toko tempat dia membelinya dan meminta pengembalian uang. Luar biasanya, ia mendapat pengembalian uang dan mengembalikan komputer ke toko dengan semua file rahasia masih ada di dalamnya. Semua nama pengguna dan kata sandi yang disimpan di sistem tertinggal di [md] email, memo, file, dokumen, semuanya.

Sekarang, orang mungkin berpikir bahwa laptop ini akan diformat ulang dan kembali ke spesifikasi pabrik sebelum dijual kembali. Sudah jelas bahwa itu telah digunakan selama beberapa bulan. Sayangnya, laptop tersebut dijual ke pelanggan lain, masih berisi semua file rahasia staf penjualan.

Saya hanya bisa membayangkan kejutan pemilik kedua ketika membuka Outlook dan secara otomatis masuk ke jaringan perusahaan dan mulai mengunduh email terbaru dari penjualan. Untungnya, pembeli kedua ternyata jujur, dan data pada sistem itu akhirnya hancur. Namun, tidak semua orang seberuntung itu, dan yang lebih penting, tidak setiap situasi cukup jelas.

Setiap hari, ribuan komputer yang berisi data sensitif akhirnya dibuang ke tempat sampah atau disumbangkan ke individu dan organisasi. Masalahnya adalah bahwa seringkali komputer hanya dimatikan dan dikotak-kotak tanpa memikirkan data yang ada masih di hard drive. Komputer ini seringkali tidak berakhir di tempat pembuangan sampah. Sebaliknya, mereka dibundel bersama dengan komputer lain, ditempatkan di palet, dan kemudian dijual dalam jumlah besar di lelang untuk sen dolar.

Pencuri identitas telah menyadari praktik ini selama bertahun-tahun dan mencari pelelangan di mana palet komputer ini ditawarkan. Mereka kemudian membawa pulang komputer dan, satu per satu, memeriksa semua data yang ada di hard drive. Beberapa orang menyadari risiko yang terkait dengan hard drive mereka dan menghapus file rahasia sebelum mereka menyerahkannya. Sayangnya, pencuri mengharapkan ini, jadi selain hanya melihat data yang ada, mereka menjalankan perangkat lunak undelete yang melewati hard drive dan menemukan file yang sebelumnya telah dihapus.

Sementara para pencuri tidak dijamin untuk mendapatkan informasi rahasia dengan cara ini, hadiah dari risiko-untuk-hadiah jelas menguntungkan mereka. Bahkan jika hanya satu komputer yang berisi hanya satu informasi rahasia seseorang, pencuri identitas akan membuat jauh lebih banyak daripada investasi kecil yang ia bayarkan untuk palet komputer tersebut.

Tentu saja, bukan hanya komputer yang Anda berikan. Dalam kasus lain, pencuri membeli laptop dan komputer lama melalui situs seperti eBay. Komputer-komputer ini sering ditawarkan oleh pengguna rumahan dan perusahaan besar. Sekali lagi, tujuan dari pencuri adalah untuk membatalkan penghapusan file di komputer ketika tiba dengan harapan mendapatkan informasi yang dapat dia gunakan untuk melakukan pencurian identitas.

Sementara pencurian identitas menjadi perhatian utama, ada juga masalah hukum yang dapat berasal dari data yang ditinggalkan di komputer. Sebagai contoh, seorang pengacara yang meninggalkan informasi kasus rahasia pada hard drive dapat bernilai berat emas untuk pencuri identitas. Sekali lagi, hanya menghapus informasi tidak berarti bahwa itu hilang. Jika itu berakhir di tangan yang salah, biayanya bisa jutaan atau bahkan miliaran ke perusahaan yang terkena dampak.

Hancurkan data Anda sebelum menghentikan komputer
Meskipun saran saya adalah menghancurkan hard drive (membuka drive dan mengambil palu ke piringan drive akan melakukan trik) sebelum membuang komputer, Anda tidak akan memiliki opsi ini jika Anda menjual komputer. Jika Anda menjual komputer dengan hard drive yang masih terpasang, opsi terbaik berikutnya adalah memformat ulang hard drive menggunakan perangkat lunak yang dirancang untuk menghapus data dengan aman.

Ketika Anda menghapus file dari hard drive komputer, file tersebut secara teknis tidak hilang. Sebaliknya, catatan penunjuk yang menunjukkan di mana file itu ditempatkan dihapus, tetapi file itu sendiri tetap. Seiring waktu, beberapa atau semua file akan ditimpa karena program baru disimpan di tempatnya. Dengan drive kecil, ini dapat terjadi dengan cepat, tetapi dengan drive yang besar, ini mungkin membutuhkan waktu yang lebih lama. Banyak aplikasi perangkat lunak telah dirancang untuk mencari dan membatalkan penghapusan file Anda yang terhapus. Program-program ini sangat mudah digunakan dan hanya butuh beberapa menit untuk melacak ratusan file yang sebelumnya dihapus.

Namun ada perangkat lunak yang dirancang untuk menghapus file yang dipilih dari hard drive dengan aman. Dalam sebagian besar kasus, bendera perangkat lunak tempat file berada di hard drive dan kemudian menulis data baru ke lokasi tersebut beberapa kali. Semakin sering menulis data ke lokasi file sebelumnya, semakin kecil kemungkinan seseorang dapat membatalkan penghapusan file asli. Versi gratis dan korporat dari program ini tersedia untuk menghapus data dan aplikasi perangkat lunak Anda secara permanen. Meskipun versi gratis mungkin tidak cukup ramah pengguna, mereka umumnya sama amannya.

Sangat mudah bagi saya untuk mengatakan bahwa Anda harus menghapus segala sesuatu yang bersifat rahasia; akhirnya, itu mungkin terbukti lebih sulit dari yang Anda pikirkan. Seringkali, sistem operasi menyimpan data, termasuk cadangan dari apa yang Anda ketikkan, saat Anda sedang mengerjakannya. Bahkan jika Anda menghapus file utama, cadangan mungkin masih ada tersembunyi di drive Anda tetapi mudah ditemukan oleh perangkat lunak “undelete”. Oleh karena itu, jika memungkinkan, saya sarankan untuk tidak pernah memberikan komputer lama Anda dengan hard drive yang masih terpasang dan utuh kepada siapa pun yang tidak dapat Anda percaya sepenuhnya. Dan pastikan Anda menghancurkan drive Anda sebelum melemparkannya ke tempat sampah.

Disarikan dari “The Truth About Identity Theft” oleh Jim Stickley. Hak Cipta (c) 2008 oleh Pearson Education. Dicetak ulang dengan izin dari Pearson.