Perangkat IoT dapat dipaksa untuk menjadi bot yang dengan membabi buta mengikuti perintah melakukan tindak kejahatan sebagai bagian dari botnet. Botnet adalah jaringan perangkat terinfeksi yang disalahgunakan oleh penyerang untuk menjalankan aktivitas seperti melakukan penyerangan DDoS, penambangan Bitcoin, dan penyebaran email spam.

Hampir semua perangkat yang tersambung ke internet dapat diinfeksi dan menjadi bagian dari botnet.

Perangkat IoT seringkali direkrut menjadi bot karena perangkat tersebut lemah dari sisi keamanan dan mudah menjadi target infeksi.

Saat ini, sebagian besar botnet dimanfaatkan untuk melancarkan serangan DDoS dan menambang mata uang digital (cryptocurrency) (yang bahkan pernah kita saksikan berjalan di DVR), tetapi botnet tersebut mampu membuat ratusan ribu perangkat IoT menjalankan hal yang jauh lebih parah.

Botnet dapat mengirimkan pesan spam, mulai dari email phishing berisi malware yang bisa berujung pada pencurian uang atau kata sandi hingga skema pump and dump yang mencoba meyakinkan orang untuk membeli saham dari perusahaan tertentu.

Botnet dapat juga menjalankan kampanye click-jacking, menyebarkan iklan palsu, dan, yang lebih parah, menginfeksi perangkat IoT lain.

Uji coba serangan ini sekilas terkesan biasa saja, tetapi kesan itu akan segera berubah ketika kita memikirkan adanya fakta bahwa kota pintar akan dikembangkan dalam beberapa tahun ke depan, kota-kota di seluruh dunia akan sepenuhnya tersambung.

Apabila perangkat dan sistem IoT ini tidak mendapatkan pengamanan yang mencukupi, peretas, negara kebangsaan, dan bahkan teroris dapat mengambil alih kendali atas kota-kota tersebut dan menimbulkan kekacauan secara menyeluruh dengan, misalnya, mengendalikan semua lampu atau alur lalu lintas.

Selain diretasnya perangkat IoT untuk melancarkan serangan terhadap kota, ada pula kemungkinan perangkat IoT dijadikan target selanjutnya dari serangan ransomware.

Ketika sistem komputer sebuah hotel terinfeksi ransomware pada bulan Februari lalu, para tamu terkunci di dalam kamarnya karena sistem yang terinfeksi adalah sistem yang dipakai untuk memprogram kartu kunci elektronik.

Kini bayangkan jika termostat pintar Anda terinfeksi ransomware, apakah Anda akan membayar uang tebusannya agar dapat kembali mengatur suhu rumah Anda?.

Penjahat siber tidak hanya membidik perangkat rumah pintar menggunakan ransomware, mereka juga membidik tokoh publik atau fasilitas industri dan pabrik.

Satu risiko yang hampir selalu diabaikan dalam hubungannya dengan perangkat IoT adalah kemungkinan terjadinya kebocoran data pribadi dan juga pelacakan pergerakan perangkat.

Pikirkan berapa banyak informasi yang dapat diambil sebuah perangkat IoT: webcam dapat melihat apa pun yang ada di depannya, TV pribadi atau asisten pribadi pintar dapat merekam suara, dan mobil pintar dapat memberi tahu apakah pemiliknya berada rumah atau tidak.