Peringatan tentang serangan phishing untuk melewati autentikasi dua faktor

Autentikasi dua faktor (2FA) bukan lagi keamanan yang sepenuhnya aman. Foto ilustrasi

Bentuk serangan baru

Autentikasi dua faktor (2FA) telah menjadi fitur keamanan standar dalam keamanan siber. Fitur ini mengharuskan pengguna untuk memverifikasi identitas mereka dengan langkah autentikasi kedua, biasanya berupa kata sandi sekali pakai (OTP) yang dikirim melalui pesan teks, email, atau aplikasi autentikasi. Lapisan keamanan tambahan ini dirancang untuk melindungi akun pengguna meskipun kata sandi mereka dicuri.

Meskipun 2FA diadopsi secara luas oleh banyak situs web dan diwajibkan oleh berbagai organisasi, baru-baru ini, pakar keamanan siber Kaspersky telah menemukan serangan phishing yang digunakan oleh penjahat siber untuk menerobos 2FA.

Oleh karena itu, para penyerang siber telah beralih ke bentuk serangan siber yang lebih canggih, dengan menggabungkan phishing dengan bot OTP otomatis untuk mengelabui pengguna dan mendapatkan akses tidak sah ke akun mereka. Lebih tepatnya, penipu menipu pengguna agar mengungkapkan OTP ini agar mereka dapat melewati langkah-langkah perlindungan 2FA.

Penjahat siber menggabungkan phishing dengan bot OTP otomatis untuk mengelabui pengguna dan mendapatkan akses tidak sah ke akun mereka. Foto ilustrasi

Bahkan bot OTP, sebuah alat canggih, digunakan oleh penipu untuk mencegat kode OTP melalui serangan rekayasa sosial. Penyerang sering kali mencoba mencuri kredensial login korban melalui metode seperti phishing atau mengeksploitasi kerentanan data. Mereka kemudian masuk ke akun korban, yang memicu pengiriman kode OTP ke ponsel korban.

Selanjutnya, bot OTP akan secara otomatis menghubungi korban, menyamar sebagai karyawan organisasi tepercaya, menggunakan skrip percakapan terprogram untuk meyakinkan korban agar mengungkapkan kode OTP. Akhirnya, penyerang menerima kode OTP melalui bot dan menggunakannya untuk mengakses akun korban secara ilegal.

Penipu seringkali lebih memilih panggilan suara daripada pesan teks karena korban cenderung merespons lebih cepat. Oleh karena itu, bot OTP akan meniru nada dan urgensi panggilan manusia untuk menciptakan rasa percaya dan persuasi.

Penipu mengendalikan bot OTP melalui dasbor online khusus atau platform perpesanan seperti Telegram. Bot ini juga dilengkapi berbagai fitur dan paket berlangganan, sehingga memudahkan penyerang beraksi. Penyerang dapat menyesuaikan fitur bot untuk menyamar sebagai organisasi, menggunakan berbagai bahasa, dan bahkan memilih nada suara pria atau wanita. Opsi lanjutannya termasuk pemalsuan nomor telepon, yang membuat nomor telepon penelepon tampak berasal dari organisasi yang sah untuk mengelabui korban dengan cara yang canggih.

Semakin berkembangnya teknologi, semakin tinggi pula kebutuhan akan perlindungan akun. Ilustrasi foto

Untuk menggunakan bot OTP, penipu perlu mencuri kredensial login korban terlebih dahulu. Mereka sering menggunakan situs web phishing yang dirancang agar terlihat persis seperti halaman login resmi untuk bank, layanan email, atau akun online lainnya. Ketika korban memasukkan nama pengguna dan kata sandi, penipu secara otomatis mengumpulkan informasi ini secara instan (real-time).

Antara 1 Maret dan 31 Mei 2024, solusi keamanan Kaspersky berhasil mencegah 653.088 kunjungan ke situs web yang dibuat oleh kit phishing yang menargetkan bank. Data yang dicuri dari situs web ini sering digunakan dalam serangan bot OTP. Selama periode yang sama, para ahli mendeteksi 4.721 situs web phishing yang dibuat oleh kit tersebut untuk menerobos autentikasi dua faktor secara real-time.

Jangan membuat kata sandi umum.

Olga Svistunova, pakar keamanan di Kaspersky, berkomentar: "Serangan rekayasa sosial dianggap sebagai metode penipuan yang sangat canggih, terutama dengan munculnya bot OTP yang mampu mensimulasikan panggilan dari perwakilan layanan secara sah. Untuk tetap waspada, penting untuk tetap waspada dan mematuhi langkah-langkah keamanan."

Peretas hanya perlu menggunakan algoritma prediksi cerdas untuk mengetahui kata sandi dengan mudah. ​​Foto ilustrasi

Karena dalam analisis 193 juta kata sandi yang dilakukan oleh para ahli Kaspersky menggunakan algoritma tebakan cerdas pada awal Juni, kata sandi-kata sandi ini juga telah dibobol dan dijual di darknet oleh pencuri informasi. Hasilnya menunjukkan bahwa 45% (setara dengan 87 juta kata sandi) dapat berhasil dibobol dalam satu menit; hanya 23% (setara dengan 44 juta) kombinasi kata sandi yang dianggap cukup kuat untuk menahan serangan, dan pemecahan kata sandi ini akan memakan waktu lebih dari satu tahun. Namun, sebagian besar kata sandi yang tersisa masih dapat dibobol dalam waktu 1 jam hingga 1 bulan.

Selain itu, pakar keamanan siber juga mengungkap kombinasi karakter yang paling umum digunakan saat pengguna membuat kata sandi, seperti: Nama: "ahmed", "nguyen", "kumar", "kevin", "daniel"; kata-kata populer: "forever", "love", "google", "hacker", "gamer"; kata sandi standar: "password", "qwerty12345", "admin", "12345", "team".

Analisis menemukan bahwa hanya 19% kata sandi yang mengandung kombinasi kata sandi yang kuat, termasuk kata yang tidak terdapat dalam kamus, huruf besar dan kecil, serta angka dan simbol. Di saat yang sama, studi ini juga menemukan bahwa 39% dari kata sandi kuat tersebut masih dapat ditebak oleh algoritma pintar dalam waktu kurang dari satu jam.

Menariknya, penyerang tidak memerlukan pengetahuan khusus atau peralatan canggih untuk memecahkan kata sandi. Misalnya, prosesor laptop khusus dapat secara akurat melakukan brute force pada kombinasi kata sandi yang terdiri dari delapan huruf kecil atau angka hanya dalam 7 menit. Kartu grafis terintegrasi dapat melakukan hal yang sama dalam 17 detik. Selain itu, algoritma tebak kata sandi yang cerdas cenderung mengganti karakter ("e" untuk "3", "1" untuk "!" atau "a" untuk "@") dan string umum ("qwerty", "12345", "asdfg").

Sebaiknya gunakan kata sandi dengan rangkaian karakter acak agar sulit ditebak oleh peretas. Foto ilustrasi

"Secara tidak sadar, orang cenderung memilih kata sandi yang sangat sederhana, seringkali menggunakan kata-kata kamus dalam bahasa asli mereka, seperti nama dan angka... Bahkan kombinasi kata sandi yang kuat pun jarang menyimpang dari tren ini, sehingga sepenuhnya dapat diprediksi oleh algoritma," ujar Yuliya Novikova, Kepala Intelijen Jejak Digital di Kaspersky.

Oleh karena itu, solusi paling andal adalah membuat kata sandi yang sepenuhnya acak menggunakan pengelola kata sandi yang modern dan andal. Aplikasi semacam itu dapat menyimpan data dalam jumlah besar dengan aman, memberikan perlindungan yang komprehensif dan kuat bagi informasi pengguna.

Untuk meningkatkan kekuatan kata sandi, pengguna dapat menerapkan kiat-kiat sederhana berikut: Gunakan perangkat lunak keamanan jaringan untuk mengelola kata sandi; gunakan kata sandi yang berbeda untuk layanan yang berbeda. Dengan cara ini, meskipun salah satu akun Anda diretas, akun lainnya tetap aman; frasa sandi membantu pengguna memulihkan akun ketika mereka lupa kata sandi, dan lebih aman menggunakan kata-kata yang kurang umum. Selain itu, mereka dapat menggunakan layanan daring untuk memeriksa kekuatan kata sandi mereka.

Hindari penggunaan informasi pribadi, seperti tanggal lahir, nama anggota keluarga, nama hewan peliharaan, atau nama panggilan, sebagai kata sandi Anda. Informasi-informasi ini seringkali menjadi hal pertama yang dicoba oleh penyerang ketika mencoba memecahkan kata sandi.