WASPADA, Sistem Google Mail atau Yahoo Mail Bisa Diserang Hacker, Ini Penjelasannya

SRIPOKU.COM-- Kita semua tentu memakai akun GMail, karena menjadi hal wajib saat memakai smartphone Android serta download aplikasi dan game di Gooole Play.

Meski dipakai semua pengguna smartphone, GMail terbilang aman karena menerakan 'verifikasi 2 langkah' atau "Otentikasi 2 langkah'.

Lewat fitur keamanan ini, seseorang harus memasukkan kode khusus yang dikirim ke smartphone terdaftar, saat ingin membuka di smartphone lainnya.

Cara kerja "Otentikasi 2 langkah' ini adalah kamu perlu memasukkan sandi untuk masuk ke Google, lalu kamu juga akan diminta memasukan sesuatu.

Kamu akan menerima kode yang dikirimkan ke hape lewat SMS, panggilan telepon, atau aplikasi seluler. 

Dengan cara itu, akun kamu tetap terlindungi, karena saat kamu atau orang lain mencoba masuk ke akun dari komputer lain, maka Verifikasi 2 Langkah tersebut akan dimunculkan. 

• 3 Hal Yang Gagal Dipenuhi Jose Mourinho Ini Berhasil Diselesaikan Oleh Solskjaer

• Total 7 Manajemen Persija Mundur Setelah Gede Widiade Sebagai Direktur Utama Pilih Mundur

Namun ternyata saat ini ada hacker yang berhasil menembusnya!

Laporan Amnesty International terbaru, membahas beberapa detail teknis tentang bagaimana peretas (hacker) dapat secara otomatis memalsukan token otentikasi dua faktor yang dikirimkan ke hape. 

Berikut hasil wawancara Amnesty International dengan Michal Salat, Director of Threat Intelligence Avast. tentang hacker yang menyerang sistem otentikasih 2 faktor, seperti Google Mail atau Yahoo Mail.

1. Bagaimana cara lain seorang pengguna melindungi dirinya sendiri, jika mereka benar-benar tidak dapat bergantung lagi pada 2FA?

Dalam kasus ini, masalahnya tidak terletak pada proses otentikasi dua faktor, tetapi terletak pada pengguna itu sendiri.

Serangan ini hanya merupakan versi lanjutan dari phishing biasa, di mana pengguna adalah orang yang memberikan identitasnya.

Serangan ini tidak hanya menipu pengguna untuk memberikan password mereka lewat situs web phishing.

Serangan ini juga membuat layanan resmi seperti Google Mail atau Yahoo Mail, mengirim kode otentikasi dua faktor lalu meminta pengguna memasukkan kode ke situs phishing.

Otentikasi dua faktor telah dirancang untuk membantu membentengi akun terhadap penggunaan kata sandi yang berulang.

Sebagai contoh, password login dibocorkan atau digunakan untuk banyak akun, misalnya dalam kasus email bersama untuk satu tim.

Maka dua otentikasi faktor dapat memperingatkan pengguna, jika seseorang sedang mencoba untuk menggunakan password yang bocor tersebut, untuk masuk ke salah satu akunnya.

Biasanya, otentikasi dua faktor tergolong aman.

Alasannya, penyerang memerlukan kode token singkat yang dikirimkan lewat aplikasi atau pesan teks, selain password masuk akun untuk mengakses akun.

Pengguna dapat menggunakan kunci perangkat keras (hardware), seperti Yubikey, untuk melindungi dirinya.

Selanjutnya, pengguna harus menginstal antivirus di semua perangkat tersebut.

Hal ini diperlukan untuk memblokir situs phishing.

Bahkan situs phishing saat ini dirancang dengan sangat baik.

Situs ini meningkatkan kemungkinan pengguna terjebak dalam penipuan phishing, terlepas dari seberapapun tingkat kewaspadaan pengguna.

Salah satu antivirus yaitu Avast, memakai artificial intelligence (AI) untuk mendeteksi situs phishing, memeriksa popularitas dan usia domain situs, token URL, dan kemudian meneliti piksel pada halaman tersebut.

2. Apakah AI digunakan untuk ini?

Artificial Intelligent tidak digunakan dalam kasus ini, serangan ini memanfaatkan otomatisasi lama dengan baik.

3. Dapatkah kita menduga bahwa serangan yang serupa dapat terulang di masa depan?

Berdasarkan laporan tersebut, tingkat perhatian yang diberikan oleh penyerang saat menyiapkan server tampaknya agak rendah.

Contohnya dengan menggunakan daftar direktori terbuka. 

Kita dapat menduga phishing komoditas untuk mengadopsi teknik ini dengan segera.

4. Seberapa teknis yang dibutuhkan oleh seseorang dalam melakukan serangan phishing ini? 

Mungkinkah kode itu dijual di darknet agar orang lain dapat menyalahgunakannya?

Kita bisa saja berharap melihat kit phishing yang berisikan fitur ini dijual atau disebarkan di pasar gelap segera, namun hal tersebut belum ada. 

Cybercriminal hanya perlu melakukan beberapa langkah tambahan untuk membuat dan menyebarkan serangan baru menggunakan teknik tersebut. (*)

Artikel ini telah tayang di situs nextren.grid.id dengan judul:

Waspada, Verifikasi 2 Langkah Google Ternyata Bisa DItembus Hacker