. . .

Situs EC-Council Justru Sebarkan Ransomware, Sertifikasi Cybersecurity Patut Dipertanyakan

Berita mencengangkan datang dari Fox IT. Pada tanggal 24 Maret 2016, Fox IT merilis artikel di dalam situs mereka yang membeberkan temuan bahwa situs EC-Council telah terinfeksi malware. Mereka mengaku telah menghubungi pihak EC-Council sebelumnya, namun tidak ada tindak lanjut dari si pemilik situs. Parahnya, situs tersebut merupakan kelas online (iClass) untuk sertifikasi CEH (Certified of Ethical Hacker). Butuh waktu beberapa hari hingga EC-Council memperbaiki situs mereka.

Situs milik EC-Council tersebut terinjeksi kode yang akan mengarahkan pengguna ke situs lain yang akan menginfeksi komputer pengguna dengan TeslaCrypt, salah satu ransomware yang akan mengenkripsi file milik pengguna dan meminta ransum dari pengguna agar dapat memperoleh kembali file mereka. Serangan ini dilakukan menggunakan Angler exploit kit, salah satu perangkat yang banyak digunakan oleh hacker untuk mengambil alih komputer target.

Serangan tersebut tidak berdampak pada semua pengguna, melainkan mentargetkan pengguna secara spesifik. Beberapa kondisi yang harus dipenuhi untuk mengaktifkan kode yang diinjeksikan hacker ke dalam situs EC-Council di antaranya:

  • Pengguna menggunakan Microsoft Internet Explorer sebagai browser.
  • Pengguna mengunjungi situs dari mesin pencari seperti Google atau Bing
  • Pengguna tidak berasal dari IP tertentu. Hal ini dilakukan untuk menghindari beberapa negara.

Serangan TeslaCrypt sendiri akan meminta tebusan sebesar 1,5 BTC (sekitar 7 juta rupiah) untuk memperoleh kunci enkripsi file. Ars Technica melaporkan bahwa kejadian di EC-Council ini hanya berjarak 8 hari setelah serangan serupa terhadap beberapa koran online terkemuka seperti The New York Times dan BBC.

Beberapa profesional cyber security mulai mempertanyakan efektivitas sertifikasi CEH dan bahkan mempertanyakan kapabilitas EC-Council dalam bidang cyber security. Sebab, jika EC-Council sendiri tidak mampu menangani keamanan mereka dan butuh waktu berhari-hari untuk menambal celah keamanan, bagaimana mereka menggelar sertifikasi keamanan?

 

Sumber gambar: eccouncil.org

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.