Havedev Logo
← Back to Blog

Havedev

Ancaman Siber Tidak Selalu Masuk Lewat Malware, Kadang Masuk Lewat Rekrutmen

Ancaman Siber Tidak Selalu Masuk Lewat Malware, Kadang Masuk Lewat Rekrutmen

The Core Update

CrowdStrike melaporkan bahwa kelompok peretas Korea Utara menjadi salah satu sumber terbesar intrusi siber terhadap perusahaan teknologi Amerika Serikat dalam setahun terakhir.

Dalam laporan tahunannya, CrowdStrike menyebut kelompok yang mereka namai Famous Chollima menyumbang 47% dari seluruh aktivitas state-backed yang menargetkan sektor teknologi pada periode April 2025 sampai Mei 2026.

Yang membuat kasus ini penting bukan hanya angkanya. Cara masuknya juga semakin dekat dengan proses bisnis sehari-hari.

Mereka tidak selalu memulai dari malware yang terlihat mencurigakan. Banyak serangan dimulai dari pencurian kredensial, penyamaran sebagai pekerja IT remote, developer, coder, atau recruiter online. Setelah masuk, mereka memakai tool sah yang memang sudah ada di sistem perusahaan untuk mempertahankan akses.

Dengan kata lain, sistem bisa terlihat normal. Akun terlihat seperti akun karyawan. Aktivitas terlihat seperti pekerjaan biasa. Tetapi di baliknya, ada operator manusia yang sedang membaca, mengambil, dan menahan akses ke informasi sensitif.

CrowdStrike menyebut jenis intrusi ini sebagai hands-on-keyboard intrusion, karena ada manusia sungguhan yang aktif mengendalikan serangan, bukan sekadar malware otomatis yang mudah diblokir oleh sistem keamanan tradisional.

Kasus ini juga menunjukkan perubahan penting dalam risiko kerja remote. Penyerang tidak hanya mencoba membobol perusahaan dari luar. Mereka mencoba terlihat seperti bagian dari perusahaan.

The Reality Check

Banyak bisnis masih memandang cybersecurity sebagai urusan software keamanan. Antivirus, firewall, password manager, VPN, dan monitoring dianggap sebagai lapisan utama.

Itu semua tetap penting.

Tetapi kasus ini memperlihatkan masalah yang lebih dasar: keamanan digital juga sangat bergantung pada cara bisnis mempercayai orang, memberi akses, dan memverifikasi identitas.

Jika proses rekrutmen remote terlalu longgar, akun kerja diberikan terlalu cepat, akses repository terlalu luas, atau offboarding tidak rapi, maka masalahnya bukan hanya di teknologi. Masalahnya ada di proses operasional.

Peretas Korea Utara yang menyamar sebagai pekerja remote dilaporkan menggunakan dokumen identitas palsu atau curian, wajah deepfake real-time, dan profil profesional yang terlihat meyakinkan. Mereka melamar pekerjaan di perusahaan teknologi, mendapatkan gaji, lalu pada saat yang sama mencuri intellectual property dan informasi sensitif.

Ini membuat batas antara HR risk, IT risk, dan security risk semakin kabur.

Dulu, perusahaan mungkin berpikir pertanyaan seperti ini hanya urusan tim people atau recruiter:

  • apakah kandidat benar-benar orang yang sama dengan dokumennya?
  • apakah lokasi kerja sesuai dengan yang diklaim?
  • apakah perangkat yang dipakai aman?
  • apakah akses yang diberikan sesuai kebutuhan kerja?
  • apakah ada pola kerja yang tidak wajar setelah onboarding?

Sekarang, pertanyaan seperti itu adalah bagian dari keamanan perusahaan.

Masalahnya, banyak perusahaan teknologi tumbuh dengan budaya akses cepat. Developer baru butuh repository. Engineer butuh staging. IT contractor butuh admin panel. Freelancer butuh file desain, API key, atau dashboard internal.

Kecepatan ini membantu produktivitas. Tetapi tanpa batas yang jelas, kecepatan yang sama juga memperbesar permukaan serangan.

Risikonya bukan hanya data bocor. Dalam kasus yang dilaporkan, informasi yang dicuri bisa dipakai untuk pemerasan. Ketika pelaku akhirnya terdeteksi, mereka dapat mengancam membocorkan data kecuali perusahaan membayar tebusan.

Untuk perusahaan blockchain dan crypto, risikonya lebih langsung. Penyerang menargetkan developer dan akses teknis untuk mencuri aset digital dalam jumlah besar. Laporan tersebut mengaitkan aktivitas Korea Utara dengan pencurian crypto bernilai miliaran dolar dalam beberapa tahun terakhir.

Namun pelajaran utamanya tidak hanya berlaku untuk perusahaan besar atau perusahaan crypto.

Setiap bisnis yang punya tim remote, akses cloud, dashboard internal, repository kode, data pelanggan, atau sistem pembayaran perlu menganggap proses akses sebagai bagian dari security architecture.

Bukan sekadar siapa yang bisa login.

Tetapi siapa yang diverifikasi, kapan akses diberikan, akses apa yang benar-benar dibutuhkan, bagaimana aktivitasnya dipantau, dan kapan akses dicabut.

The Havedev Way

Dari sudut pandang Havedev, berita ini mengingatkan satu hal sederhana: keamanan tidak bisa hanya ditempel di akhir setelah sistem, website, aplikasi, atau workflow selesai dibuat.

Keamanan harus ikut masuk ke desain proses.

Untuk bisnis yang bekerja secara remote atau hybrid, langkah awal tidak harus langsung rumit. Mulai dari memetakan akses yang paling berisiko.

Tanyakan dulu:

  • siapa saja yang punya akses ke repository kode?
  • siapa saja yang bisa membuka data pelanggan?
  • siapa saja yang punya akses ke payment, invoice, atau finance dashboard?
  • siapa saja yang bisa membuat API key atau token baru?
  • siapa saja yang masih punya akses setelah project selesai?
  • apakah akses contractor berbeda dari akses karyawan tetap?

Pertanyaan ini sering terdengar administratif. Padahal inilah fondasi keamanan praktis.

Banyak kebocoran tidak terjadi karena perusahaan tidak punya tool mahal. Kebocoran terjadi karena akses lama tidak dicabut, akun bersama dipakai ramai-ramai, kredensial tersebar di chat, atau semua orang diberi akses terlalu luas karena dianggap lebih praktis.

Untuk tim teknologi, prinsip least privilege perlu menjadi kebiasaan kerja. Orang hanya mendapat akses sesuai kebutuhan tugasnya. Jika tugas berubah, akses ikut berubah. Jika kerja sama selesai, akses dicabut tanpa menunggu ada masalah.

Untuk proses rekrutmen remote, verifikasi juga perlu lebih sadar risiko. Bukan berarti setiap kandidat harus diperlakukan dengan curiga. Tetapi perusahaan perlu punya standar yang konsisten, terutama untuk posisi yang akan memegang akses teknis penting.

Misalnya:

  • verifikasi identitas dilakukan lewat proses yang jelas
  • interview teknis tidak hanya menilai skill, tetapi juga konsistensi identitas dan pengalaman
  • perangkat kerja dan akun kerja dipisahkan dari akun pribadi
  • akses awal dibatasi selama masa onboarding
  • aktivitas sensitif memiliki log yang bisa diaudit
  • akses produksi tidak diberikan terlalu cepat

Untuk bisnis yang belum punya tim security khusus, langkah paling realistis adalah membuat daftar akses dan statusnya. Siapa pemilik akun, untuk apa aksesnya, kapan terakhir dipakai, dan kapan harus direview.

Ini mirip dengan merapikan status operasional. Jika status pekerjaan tidak jelas, pekerjaan sulit dipantau. Jika status akses tidak jelas, risiko sulit dibaca.

Tool security tetap penting. MFA, password manager, device management, logging, SSO, endpoint protection, dan monitoring bisa sangat membantu. Tetapi tool tersebut akan lebih efektif jika bisnis sudah punya aturan akses yang sehat.

Tanpa aturan, tool hanya mencatat kekacauan dengan lebih rapi.

Pelajaran dari laporan CrowdStrike bukan bahwa semua pekerja remote berbahaya. Itu kesimpulan yang terlalu dangkal.

Pelajaran yang lebih tepat adalah: model kerja modern membutuhkan model kepercayaan yang lebih matang.

Remote work tetap bisa aman. Hiring global tetap bisa bernilai. Contractor tetap bisa membantu bisnis bergerak cepat. Tetapi semuanya perlu dibungkus dengan verifikasi, pembatasan akses, monitoring yang wajar, dan kebiasaan offboarding yang disiplin.

Bagi bisnis yang sedang membangun website, aplikasi internal, dashboard, sistem booking, CRM, atau automation, pertanyaan security sebaiknya diajukan sejak awal:

  • data apa yang paling sensitif?
  • siapa yang boleh melihatnya?
  • siapa yang boleh mengubahnya?
  • akses mana yang perlu approval?
  • aktivitas mana yang perlu dicatat?
  • apa yang terjadi jika akun seseorang bocor?

Jawaban dari pertanyaan itu sering lebih penting daripada memilih tool keamanan paling mahal.

Karena pada akhirnya, serangan modern tidak selalu datang sebagai file aneh atau link mencurigakan. Kadang ia datang sebagai kandidat yang terlihat profesional, akun yang terlihat sah, atau aktivitas kerja yang terlihat normal.

Bisnis tidak perlu panik. Tetapi bisnis perlu lebih rapi dalam memberi kepercayaan.

Kepercayaan tanpa struktur adalah celah. Akses tanpa batas adalah risiko. Remote work tanpa verifikasi adalah pintu yang terlalu mudah dibuka.

Sebelum menambah tool keamanan baru, cek dulu satu hal sederhana: apakah bisnis Anda tahu dengan jelas siapa punya akses ke apa, kenapa akses itu diberikan, dan kapan akses itu harus dicabut?

Kalau jawabannya belum jelas, mulai dari sana.

Dapatkan Audit Teknis Gratis untuk meninjau risiko akses, website, workflow, dan sistem internal sebelum bisnis Anda membangun automation atau platform digital yang lebih besar.

Sumber referensi berita: TechCrunch

Continue Reading

All Articles Category: Tech