Peringatan tentang serangan phishing untuk melewati autentikasi 2 faktor

Bentuk baru serangan phishing sedang meningkat

Autentikasi dua faktor telah menjadi fitur keamanan standar dalam keamanan siber. Fitur ini mengharuskan pengguna untuk memverifikasi identitas mereka dengan langkah autentikasi kedua, biasanya berupa kata sandi sekali pakai (OTP) yang dikirim melalui pesan teks, email, atau aplikasi autentikasi.

Lapisan keamanan ekstra ini dirancang untuk melindungi akun pengguna meskipun kata sandi mereka dicuri. Namun, penipu telah menggunakan metode canggih untuk mengelabui pengguna agar mengungkapkan OTP ini, yang memungkinkan mereka melewati perlindungan 2FA melalui bot OTP.

Bot OTP adalah alat canggih yang digunakan oleh penipu untuk mencegat kode OTP melalui serangan rekayasa sosial. Penyerang sering kali mencoba mencuri kredensial login korban menggunakan metode seperti phishing atau mengeksploitasi kerentanan data untuk mencuri informasi.

Mereka kemudian masuk ke akun korban, memicu pengiriman kode OTP ke ponsel korban. Selanjutnya, bot OTP secara otomatis menghubungi korban, menyamar sebagai karyawan organisasi tepercaya, menggunakan skrip percakapan terprogram untuk meyakinkan korban agar mengungkapkan kode OTP. Akhirnya, penyerang menerima kode OTP melalui bot dan menggunakannya untuk mendapatkan akses tanpa izin ke akun korban.

Penipu lebih menyukai panggilan suara daripada pesan teks karena korban cenderung merespons metode ini lebih cepat. Oleh karena itu, bot OTP akan meniru nada dan urgensi panggilan manusia untuk menciptakan rasa percaya dan persuasi.

Untuk menggunakan bot OTP, penipu harus terlebih dahulu mencuri kredensial login korban. Mereka sering kali menggunakan situs web phishing yang dirancang agar terlihat persis seperti halaman login resmi untuk bank, layanan email, atau akun online lainnya. Ketika korban memasukkan nama pengguna dan kata sandi, penipu secara otomatis mengumpulkan informasi ini secara instan (real-time).

Menurut statistik Kaspersky, dari 1 Maret hingga 31 Mei 2024, solusi keamanan mereka mencegah 653.088 kunjungan ke situs web yang dibuat oleh perangkat phishing yang menargetkan bank.

Data yang dicuri dari situs-situs ini sering digunakan dalam serangan bot OTP. Selama periode yang sama, perusahaan keamanan siber tersebut juga mendeteksi 4.721 situs phishing yang dibuat oleh perangkat lunak yang dirancang untuk melewati autentikasi dua faktor secara real-time.

Larutan

Meskipun 2FA merupakan langkah keamanan yang penting, ini bukanlah solusi instan. Untuk melindungi pengguna dari penipuan canggih ini, para pakar keamanan siber merekomendasikan:

- Hindari mengeklik tautan dalam pesan email yang mencurigakan. Jika Anda perlu masuk ke akun organisasi mana pun, ketikkan alamat situs web yang tepat atau gunakan bookmark.

Pastikan alamat situs web benar dan bebas dari kesalahan ketik. Anda dapat menggunakan alat Whois untuk memeriksa informasi pendaftaran situs web. Jika situs web tersebut baru saja terdaftar, kemungkinan besar itu penipuan.

Jangan pernah memberikan kode OTP melalui telepon, betapapun meyakinkannya si penelepon. Bank dan organisasi terkemuka lainnya tidak pernah meminta pengguna untuk membaca atau memasukkan kode OTP melalui telepon untuk memverifikasi identitas mereka.