Autentikasi dua faktor (2FA) bukan lagi solusi keamanan yang sangat efektif. Foto ilustrasi
Bentuk serangan baru
Autentikasi dua faktor (2FA) telah menjadi fitur keamanan standar dalam keamanan siber. Fitur ini mengharuskan pengguna untuk memverifikasi identitas mereka dengan langkah autentikasi kedua, biasanya berupa kata sandi sekali pakai (OTP) yang dikirim melalui pesan teks, email, atau aplikasi autentikasi. Lapisan keamanan ekstra ini dirancang untuk melindungi akun pengguna meskipun kata sandi mereka dicuri.
Meskipun 2FA diadopsi secara luas oleh banyak situs web dan diwajibkan oleh berbagai organisasi, baru-baru ini, pakar keamanan siber Kaspersky telah menemukan serangan phishing yang digunakan oleh penjahat siber untuk menerobos 2FA.
Oleh karena itu, para penyerang siber telah beralih ke bentuk serangan siber yang lebih canggih, dengan menggabungkan phishing dengan bot OTP otomatis untuk mengelabui pengguna dan mendapatkan akses tidak sah ke akun mereka. Lebih tepatnya, penipu menipu pengguna agar mengungkapkan OTP ini agar mereka dapat melewati langkah-langkah perlindungan 2FA.
Penjahat siber menggabungkan phishing dengan bot OTP otomatis untuk mengelabui pengguna dan mendapatkan akses tidak sah ke akun mereka. Foto ilustrasi
Bahkan bot OTP, sebuah alat canggih, digunakan oleh penipu untuk mencegat kode OTP melalui serangan rekayasa sosial. Penyerang sering kali mencoba mencuri kredensial login korban melalui metode seperti phishing atau mengeksploitasi kerentanan data. Mereka kemudian masuk ke akun korban, memicu pengiriman kode OTP ke ponsel korban.
Selanjutnya, bot OTP akan secara otomatis menghubungi korban, menyamar sebagai karyawan organisasi tepercaya, menggunakan skrip percakapan terprogram untuk meyakinkan korban agar mengungkapkan kode OTP. Terakhir, penyerang menerima kode OTP melalui bot dan menggunakannya untuk mendapatkan akses tanpa izin ke akun korban.
Penipu seringkali lebih memilih panggilan suara daripada pesan teks karena korban cenderung merespons lebih cepat. Oleh karena itu, bot OTP akan meniru nada dan urgensi panggilan manusia untuk menciptakan rasa percaya dan persuasi.
Penipu mengendalikan bot OTP melalui dasbor online khusus atau platform perpesanan seperti Telegram. Bot ini juga dilengkapi dengan beragam fitur dan paket berlangganan yang memungkinkan penyerang beroperasi. Penyerang dapat menyesuaikan fitur bot untuk menyamar sebagai organisasi, menggunakan berbagai bahasa, dan bahkan memilih nada suara pria atau wanita. Opsi lanjutannya termasuk spoofing nomor telepon, yang membuat nomor telepon penelepon tampak berasal dari organisasi yang sah untuk mengelabui korban dengan cara yang canggih.
Semakin berkembangnya teknologi, semakin tinggi pula kebutuhan akan perlindungan akun. Ilustrasi foto
Untuk menggunakan bot OTP, penipu harus terlebih dahulu mencuri kredensial login korban. Mereka sering kali menggunakan situs web phishing yang dirancang agar terlihat persis seperti halaman login resmi untuk bank, layanan email, atau akun online lainnya. Ketika korban memasukkan nama pengguna dan kata sandi, penipu secara otomatis mengumpulkan informasi ini secara instan (real-time).
Antara 1 Maret dan 31 Mei 2024, solusi keamanan Kaspersky mencegah 653.088 upaya mengunjungi situs web yang dibuat oleh kit phishing yang menargetkan bank. Data yang dicuri dari situs web ini sering digunakan dalam serangan bot OTP. Selama periode yang sama, para ahli mendeteksi 4.721 situs web phishing yang dibuat oleh kit yang bertujuan untuk melewati autentikasi dua faktor secara real-time.
Jangan membuat kata sandi yang umum
Olga Svistunova, pakar keamanan di Kaspersky, berkomentar: "Serangan rekayasa sosial dianggap sebagai metode penipuan yang sangat canggih, terutama dengan munculnya bot OTP yang mampu mensimulasikan panggilan dari perwakilan layanan secara sah. Untuk tetap waspada, penting untuk selalu berhati-hati dan mematuhi langkah-langkah keamanan."
Peretas cukup menggunakan algoritma prediksi cerdas untuk mengetahui kata sandi dengan mudah. Foto ilustrasi
Karena dalam analisis 193 juta kata sandi yang dilakukan oleh para ahli Kaspersky menggunakan algoritma tebakan cerdas pada awal Juni, kata sandi-kata sandi ini juga telah dibobol dan dijual di darknet oleh pencuri informasi. Hasilnya menunjukkan bahwa 45% (setara dengan 87 juta kata sandi) dapat berhasil dibobol dalam satu menit; hanya 23% (setara dengan 44 juta) kombinasi kata sandi yang dianggap cukup kuat untuk menahan serangan, dan pemecahan kata sandi ini akan memakan waktu lebih dari satu tahun. Namun, sebagian besar kata sandi yang tersisa masih dapat dibobol dalam waktu 1 jam hingga 1 bulan.
Selain itu, pakar keamanan siber juga mengungkap kombinasi karakter yang paling umum digunakan saat pengguna membuat kata sandi, seperti: Nama: "ahmed", "nguyen", "kumar", "kevin", "daniel"; kata-kata populer: "forever", "love", "google", "hacker", "gamer"; kata sandi standar: "password", "qwerty12345", "admin", "12345", "team".
Analisis menemukan bahwa hanya 19% kata sandi yang mengandung kombinasi kata sandi yang kuat, termasuk kata yang tidak terdapat dalam kamus, huruf besar dan kecil, serta angka dan simbol. Di saat yang sama, studi ini juga menemukan bahwa 39% dari kata sandi kuat tersebut masih dapat ditebak oleh algoritma pintar dalam waktu kurang dari satu jam.
Menariknya, penyerang tidak memerlukan pengetahuan khusus atau peralatan canggih untuk memecahkan kata sandi. Misalnya, prosesor laptop khusus dapat secara akurat melakukan brute force pada kombinasi kata sandi yang terdiri dari delapan huruf kecil atau angka hanya dalam tujuh menit. Kartu grafis terintegrasi dapat melakukan hal yang sama dalam 17 detik. Selain itu, algoritma tebak kata sandi yang cerdas cenderung mengganti karakter ("e" untuk "3", "1" untuk "!" atau "a" untuk "@") dan string umum ("qwerty", "12345", "asdfg").
Sebaiknya gunakan kata sandi dengan rangkaian karakter acak agar sulit ditebak oleh peretas. Foto ilustrasi
"Secara tidak sadar, orang cenderung membuat kata sandi yang sangat sederhana, seringkali menggunakan kata-kata kamus dalam bahasa asli mereka, seperti nama dan angka... Bahkan kombinasi kata sandi yang kuat pun jarang menyimpang dari tren ini, sehingga sepenuhnya dapat diprediksi oleh algoritma," ujar Yuliya Novikova, Kepala Intelijen Jejak Digital di Kaspersky.
Oleh karena itu, solusi paling andal adalah membuat kata sandi yang sepenuhnya acak menggunakan pengelola kata sandi yang modern dan andal. Aplikasi semacam itu dapat menyimpan data dalam jumlah besar dengan aman, memberikan perlindungan yang komprehensif dan kuat bagi informasi pengguna.
Untuk memperkuat kata sandi, pengguna dapat menerapkan kiat-kiat sederhana berikut: Gunakan perangkat lunak manajemen kata sandi; gunakan kata sandi yang berbeda untuk layanan yang berbeda. Dengan cara ini, meskipun salah satu akun Anda diretas, akun lainnya tetap aman; frasa sandi membantu pengguna memulihkan akun ketika mereka lupa kata sandi, dan lebih aman menggunakan kata-kata yang lebih jarang digunakan. Selain itu, mereka dapat menggunakan layanan daring untuk memeriksa kekuatan kata sandi mereka.
Hindari penggunaan informasi pribadi, seperti tanggal lahir, nama anggota keluarga, hewan peliharaan, atau nama panggilan, sebagai kata sandi. Informasi-informasi ini seringkali menjadi hal pertama yang dicoba oleh penyerang ketika mencoba memecahkan kata sandi.
Sumber
![[Foto] Sekretaris Jenderal To Lam menerima Ketua Kongres Rakyat Nasional Tiongkok Zhao Leji](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/31/5af9b8d4ba2143348afe1c7ce6b7fa04)
![[Foto] Pertemuan pertama Komite Kerjasama antara Majelis Nasional Vietnam dan Kongres Rakyat Nasional Tiongkok](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/31/f5ed4def2e8f48e1a69b31464d355e12)
![[Foto] Berbaris bersama di hati rakyat](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/31/8b778f9202e54a60919734e6f1d938c3)
![[Foto] Ketua Majelis Nasional Tran Thanh Man menyambut dan mengadakan pembicaraan dengan Ketua Kongres Rakyat Nasional Tiongkok Zhao Leji](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/31/9fa5b4d3f67d450682c03d35cabba711)
Komentar (0)