Prompt Tes Keamanan Federal Fraud Alert

Tes keamanan yang disetujui dari bank sistem komputer memiliki beberapa konsekuensi tak terduga minggu ini, memimpin agen federal yang mengawasi serikat kredit AS untuk mengeluarkan peringatan penipuan.

Pada hari Selasa, National Credit Union Administration (NCUA) memperingatkan semua serikat kredit yang diasuransikan federal dari surat palsu bahwa serikat kredit yang tidak disebutkan namanya telah diterima bersama dengan dua CD. Surat palsu mengklaim bahwa CD berisi materi pelatihan anti-kecurangan NCUA, tetapi dalam peringatan penipuannya, NCUA memperingatkan bahwa menjalankan CD "dapat mengakibatkan pelanggaran keamanan ke sistem komputer Anda, atau memiliki konsekuensi buruk lainnya."

Hanya saja ternyata CD itu tidak dikirim oleh penipu. Mereka dikirim oleh karyawan MicroSolved, Columbus, Ohio, perusahaan penguji keamanan. "Ini adalah bagian dari beberapa rekayasa sosial yang kami lakukan dalam uji penetrasi yang sepenuhnya disetujui," kata CEO MicroSolved Brent Huston dalam pesan email.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Perusahaan seperti MicroSolved secara rutin dipekerjakan untuk secara mandiri menguji keamanan perusahaan dan lembaga pemerintah.

Penerjemah penetrasi sering menggunakan apa yang disebut teknik rekayasa sosial sebagai bagian dari pekerjaan penilaian keamanan mereka. Dengan rekayasa sosial, penyerang biasanya berpura-pura menjadi mitra sah atau rekan kerja untuk mengelabui karyawan agar mengorbankan sistem komputer mereka atau membocorkan informasi sensitif. "Latihan teknik sosial adalah bagian dari sebagian besar penilaian kami," kata Huston.

Juru bicara NCUA John McKechnie tidak banyak bicara tentang peringatan organisasinya. Dalam e-mail singkat Kamis, ia menulis "pada titik ini, tampaknya ini adalah peristiwa yang terpisah."

Bahkan jika ancaman yang mendorong peringatan NCUA tidak didasarkan pada serangan nyata, peringatan itu mengandung informasi yang baik., menurut Johannes Ullrich, kepala peneliti di SANS Institute, kelompok pelatihan keamanan. "Ini pelajaran yang bagus," katanya. Menurutnya, semua pihak dalam latihan itu bertindak cukup banyak sebagaimana seharusnya. Bank "melaporkannya kepada agen pengendali mereka, yang kemudian mengeluarkan peringatan ini berdasarkan itu."

Direktur Riset dan Informasi California Credit Union League, Rita Fillingane, mengatakan peringatan itu masih berguna, bahkan jika itu tidak berdasarkan tindakan kriminal yang sebenarnya. "Di masa depan, sesuatu seperti ini dapat menyebabkan tombak," katanya.

Namun, Ullrich mengatakan dia tidak mengetahui adanya kasus di mana CD palsu benar-benar digunakan untuk berkompromi dengan jaringan komputer.

Dia mengatakan dia awalnya sangat tertarik ketika dia melihat peringatan NCUA awal. "Saya pikir, 'Akhirnya ini di alam liar, karena saya hanya pernah melihatnya di tes pena sebelumnya.'"