Jadikan dark web sebagai sistem peringatan dini Anda
Dengan alat dan tim yang tepat, dark web bisa dimanfaatkan sebagai sistem deteksi dini—layaknya burung kenari di tambang—yang memberi peringatan akan adanya serangan sebelum serangan itu benar-benar menimbulkan kerusakan serius.
Bayangkan Anda seorang eksekutif maskapai penerbangan, duduk di meja kerja Anda dengan secangkir kopi segar pada Senin pagi yang damai dan tenteram. Anda merasa segar, santai, dan siap untuk menyambut seminggu ke depan.
Saat sedang membuka kotak masuk, bunyi tap-tap-tap yang khas dari notifikasi Slack menarik perhatian Anda.
Anda membuka jendela aplikasi. Ini adalah pesan dari pimpinan pusat operasi keamanan (SOC) Anda, dan tampaknya sebuah berita buruk: “Ada broker data di dark web yang mengiklankan harta besar catatan pelanggan kami untuk dijual.”
Apa yang akan Anda lakukan? Mengadakan pertemuan darurat para pemimpin perusahaan? Hubungi polisi?
Reaksi pertama Anda mungkin adalah panik. Data kami ada di dark web. Ini buruk.
Namun, idealnya, Anda akan meminta analis intelijen ancaman Anda untuk menggali sedikit lebih dalam sebelum bereaksi.
Karena penjahat siber tidak sepenuhnya dapat dipercaya, dan catatan yang mereka jajakan mungkin tidak seperti yang mereka katakan. Mungkin yang sebenarnya mereka miliki adalah data pihak ketiga dari situs web perjalanan yang hanya memiliki hubungan yang terbatas dengan Anda. Mungkin mereka hanya menggunakan nama organisasi Anda yang sangat dikenal untuk menarik pembeli.
Artinya, data pelanggan Anda aman dan terlindungi, dan Anda tidak perlu meluncurkan tanggapan publik besar-besaran yang mahal. Anda mungkin tidak perlu melakukan apa pun sama sekali.
Tujuan dari latihan pemikiran ini—yang diadaptasi dari insiden nyata yang ditangani oleh IBM X-Force—adalah bahwa dark web jauh lebih biasa daripada reputasi jahatnya yang mungkin membuat Anda percaya.
Biasa saja, dan dapat dipahami.
Tentu saja dark web adalah ruang bagi banyak aktivitas yang teduh dan berbahaya, tetapi pengetahuan seputar sudut gelap internet ini dapat mengaburkan penilaian orang.
Dengan memantau aktivitas dark web secara cermat, tenang, dan rasional, organisasi bisa mematahkan mitos dan mendapatkan gambaran akurat tentang apa yang sebenarnya terjadi di surga peretas terkenal itu.
Meskipun demikian, dark web bisa menjadi medan yang sulit untuk ditelusuri. Para penjahat bahkan mungkin saling menularkan virus untuk mendapatkan insight atau akses ke data dan rekening bank. Memiliki dukungan dari para profesional keamanan siber yang berkualifikasi dapat membantu membedakan ancaman kosong dari risiko yang sebenarnya.
Buletin Think
Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Jangan terpengaruh oleh nama yang menakutkan dan legenda urban. Dark web pada dasarnya hanyalah bagian tertentu dari internet—meskipun bagian yang sengaja dibuat tersembunyi.
Pada tingkat tinggi, kita dapat mengatakan bahwa internet memiliki tiga lapisan.
- Open web, yang mencakup semua situs publik yang dapat Anda temukan di mesin pencari.
- Deep web, yang mencakup hal-hal yang tidak diindeks oleh mesin pencari. Deep web jauh lebih besar daripada open web, dan sebagian besarnya tidak berbahaya. Rekening bank online Anda? Konten yang dibatasi aksesnya? Itu adalah deep web.
- Dark web adalah bagian dari deep web, yang membutuhkan perangkat lunak penjelajahan khusus, seperti peramban Tor, untuk mengaksesnya.
Seperti apa tampilan dark web? Ini tidak jauh berbeda dengan open web. Orang-orang berkumpul di forum. Mereka menjual barang-barang di pasar digital. Perbedaan besarnya adalah bahwa hal-hal yang mereka diskusikan dan jual membutuhkan sejumlah anonimitas.
Tidak semua yang terjadi di dark web bersifat jahat. Wartawan, misalnya, dapat menggunakannya untuk mencari dan berbagi informasi rahasia.
Namun, ya, banyak penghuni dark web adalah penjahat siber. Forum-forum mereka tidak didedikasikan untuk acara TV atau hobi khusus, melainkan untuk aktivitas perdagangan ilegal dan merekrut anggota baru untuk geng mereka. Alih-alih menjual pakaian dan video game, mereka menjual malware, nomor kartu kredit, dan kredensial curian. Banyak kredensial curian.
Menurut X-Force Threat Intelligence Index, pembajakan akun yang valid adalah salah satu vektor pelanggaran data awal yang paling umum, yang menyumbang 30% serangan siber.
Pada kuartal keempat tahun 2024 saja, X-Force mendeteksi 1,2 juta set kredensial yang dijual di dark web, sering kali dengan harga serendah USD 14 per catatan. Peretas lain membeli kredensial ini dan menggunakannya untuk melakukan pencurian identitas atau meretas jaringan perusahaan.
Beberapa penjahat siber menawarkan apa yang kami sebut "malware sebagai layanan," yang menerapkan model perangkat lunak sebagai layanan (SaaS ) klasik untuk ransomware dan perangkat lunak berbahaya lainnya. Para aktor ancaman ini menjual malware eksklusif kepada afiliasi, yang menggunakan malware untuk meluncurkan serangan dan berbagi sebagian dari hasil yang diperoleh secara tidak sah dengan kreator/pembuatnya.
Dan ada juga broker akses, yang mendapatkan akses awal ke sistem target dan menjual akses tersebut kepada penjahat siber lain untuk melakukan apa pun yang mereka inginkan.
Entah mereka menjual data, akses, atau malware, para penjahat siber ini biasanya mengorganisir diri mereka sendiri dalam kelompok-kelompok daripada bekerja sendirian. Namun, memantau gerak-gerik geng-geng ini tidaklah mudah. Mereka cenderung terbentuk, naik, dan memudar dengan cukup cepat. Sebagai contoh, lebih dari setengah dari geng ransomware paling aktif di dark web pada kuartal pertama tahun 2025 telah ada selama satu tahun atau kurang.
Keseimbangan kekuatan selalu berubah-ubah di dark web. Penegak hukum menindak geng-geng kriminal. Afiliasi yang terpecah memisahkan diri untuk membentuk perusahaan mereka sendiri. Terkadang persaingan antargeng menyebabkan serangan langsung. Hal serupa terjadi pada bulan Februari tahun ini, ketika sebuah geng rival membocorkan kode untuk versi terbaru ransomware kelompok Lockbit yang terkenal.
Laju perubahan yang cepat dan dinamika rumit antara geng dan pasar digital hanyalah beberapa alasan perlunya bekerja dengan analis intelijen ancaman khusus yang dapat mengawasi transaksi dark web untuk organisasi Anda. Dalam kekacauan itu semua, terlalu mudah untuk melewatkan tanda bahaya yang mungkin menandakan ancaman aktif bagi bisnis Anda.
Sebagian besar dari kita tahu lebih baik daripada mempercayai begitu saja postingan media sosial yang tidak bersumber dari orang asing. Namun, ketika penjahat siber mengklaim bahwa mereka memiliki data sensitif tanpa bukti sedikit pun, kita cenderung memercayai mereka.
Seharusnya kita tidak melakukannya. Dan ini adalah area lain di mana analis intelijen ancaman yang ahli dapat sangat berguna: membedakan fakta dari fiksi di dark web.
Penjahat siber berbohong. Banyak. Mereka secara rutin mengklaim memiliki data dari organisasi besar dan terkemuka—data yang sebenarnya tidak mereka miliki. Mengapa? Untuk terlihat lebih terampil daripada yang sebenarnya dan dengan demikian membangun reputasi yang tidak beralasan sebagai seorang peretas yang terampil. Atau mungkin mereka sedang berusaha menarik minat untuk data yang kurang menarik yang mereka miliki.
Misalnya, geng mungkin mengatakan memiliki data dari merek global utama. Ketika calon pelanggan datang, komplotan ini mengatakan bahwa data tersebut sudah terjual—tetapi mereka bisa menawarkan beberapa data lain dari organisasi yang kurang terkenal sebagai gantinya. Ini pada dasarnya adalah bentuk rekayasa sosial yang ditujukan pada penjahat siber lainnya.
Atau, penjahat siber tidak selalu secara terbuka mengiklankan data yang mereka miliki. Untuk menghindari tertangkap, mereka sering mengaburkan korbannya. Alih-alih mengatakan bahwa mereka memiliki data dari Perusahaan X, mereka mungkin akan mengatakan: "Kami memiliki data dari perusahaan dengan ukuran X di industri Y yang bernilai Z".
Yang dibutuhkan oleh organisasi adalah program pengawasan canggih yang dapat mengidentifikasi secara akurat kebocoran palsu dan ancaman yang nyata namun terselubung.
Nilai utama dari mengalokasikan sumber daya untuk pemantauan dark web bukanlah sekadar membantah mitos dan mengungkap kebohongan para penjahat siber. Sebaliknya, dengan alat dan tim yang tepat, organisasi dapat mengubah dark web menjadi sistem peringatan dini, kenari di tambang batu bara yang mendeteksi serangan sebelum mereka melakukan kerusakan besar.
Sekarang, jika data atau titik masuk jaringan sebuah organisasi dijual di dark web, itu berarti data atau titik masuk jaringan tersebut telah disusupi. Namun terkadang itu adalah titik paling awal di mana serangan dapat dideteksi.
Hal ini terutama berlaku saat ini, ketika aktor ancaman mengadopsi metode serangan yang lebih tersembunyi, seperti mengambil alih akun pengguna atau bahkan bermitra dengan orang dalam yang jahat yang menyalahgunakan izin sah mereka. Kami telah melihat para broker akses di dark web yang mengaku sebagai karyawan, atau bermitra dengan karyawan, dari perusahaan yang telah mereka bobol.
Para penyerang juga mulai menggunakan malware kecil yang disebut malware "pengganggu" untuk mengirimkan muatan yang lebih besar, seperti memasukkan ransomware melalui infostealer. Ketika mereka berhasil masuk ke dalam suatu jaringan, mereka sering kali “beroperasi tanpa sumber daya eksternal.” Artinya, mereka menggunakan infrastruktur jaringan yang sah, seperti skrip PowerShell dan akun pengguna asli, untuk bergerak di dalam jaringan dan mengakses aset sensitif.
Alat keamanan jaringan standar sering kali tidak mendeteksi aktivitas ini karena aktivitas tersebut tidak terlihat berbahaya; aktivitas tersebut terlihat seperti pengguna dan sistem yang berwenang melakukan tindakan yang diizinkan.
Jadi, terkadang, baru setelah data mencapai dark web, ada yang tahu ada yang salah. Dengan menangkap data itu ketika muncul, organisasi dapat mengambil tindakan cepat untuk meminimalkan dampaknya. Mereka dapat mengubah kredensial akun yang disusupi atau mematikan server dengan backdoor yang diketahui. Data dump menjadi tidak berguna, dan skala serangan yang sebenarnya tidak pernah terwujud.
Mencapai tingkat pemantauan ini membutuhkan lebih dari sekadar membeli beberapa umpan intelijen ancaman atau platform layanan mandiri. Ini membutuhkan analis khusus yang tahu apa yang harus dibuat dari semua data itu dan bagaimana menemukan ancaman yang sengaja disembunyikan oleh penjahat siber. Para analis ini dapat menginterpretasikan temuan, menambahkan konteks, memprioritaskan risiko yang nyata dan mengarahkan organisasi ke arah tindakan yang efektif.