Jangan pernah membayangkan bahwa whatspp termasuk aplikasi yang paling aman dalam berkomunikasi. Ibarat pohon makin tinggi, semakin kencang pula tertiup angin, nasib whatsapp pun demikian. Media komunikasi yang sangat populer ini ternyata kian mudah dibobol peretas.
Senin, 24 Desember 2018 pukul 13.25 WIB, tiba-tiba saya menerima sebuah pesan singkat pada telepon seluler nomor 0818xxxxxxxx. Pengirim pesan itu tertulis Whatsapp (WA). Intinya meminta saya melakukan verifikasi whatsapp.
KOMPAS/JANNES EUDES WAWA–Iliustrasi WA
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Mula-mula pesan itu saya abaikan, sebab sejauh ini saya tidak mengalami masalah dalam menggunakan WA. Akan tetapi, sekitar setengah jam kemudian yakni pukul 14.10 WIB, masuk lagi pesan yang sama dengan pengirim yang sama pula.
Dalam pesan itu, selain ada nomor kode Whatsapp pada kalimat pertama. Pada kalimat berikutnya tersedia link yang diinformasikan bahwa, “Anda juga dapat mengetuk tautan ini untuk verifikasi”.
Pesan kali ini benar-benar mengganggu. Apalagi pengirimnya tertulis Whatssapp. Saya pun langsung tergoda melakukan klik pada tautan yang diberikan tanpa melihat lagi bahwa di bagian akhir tertulis larangan membagikan kode itu kepada siapa pun.
Begitu klik selesai, saat itu pula saya pun tidak bisa mengakses WA lagi dari nomor XL tersebut. Bahkan, semua WA group dimana saya terlibat sebagai admin pun langsung terkunci. Nomor kontak teman-teman saya dalam whatsapp seolah diambilalih peretas, kemudian melakukan komunikasi dengan mereka.
Tidak lama kemudian saya ditelepon beberapa teman yang mengabarkan bahwa WA saya dengan nomor XL diretas alias dibobol atau dibajak. Mereka mengaku menerima pesan via WA dari nomor saya tersebut yang intinya meminta ditransferkan sejumlah uang.
Saya langsung mengontak operator XL, dan meminta dilakukan pemblokiran terhadap nomor yang saya gunakan. Ini sebagai upaya agar aksi sang peretas tidak memakan korban.
Akan tetapi, permintaan saya itu malah ditolak. Alasannya, nomor saya tidak terkategori hilang atau dicuri. “Bapak kan masih memegang nomor itu, sehingga kami tidak bisa melakukan pemblokiran,” kata petugas XL melalui telepon.
Jawaban itu sempat membuat saya marah. Saya katakan kepada petugas bahwa saya adalah konsumen yang sedang mengalami musibah dimana whatsapp yang menggunakan nomor XL sedang dibajak. Peretas mengambil nomor kontak lalu mengontak teman-teman melalui nomor saya itu untuk memita uang. Maka saya minta nomor itu diblokir dengan tujuan mencegah agar aktivitas peretas tidak meluas dan segera diakhiri.
KOMPAS/NOBERTUS ARYA DWIANGGA–Teknisi tengah memeriksa jaringan telekomunikasi PT XL Axiata Tbk yang berada di dalam unit menara pemancar (BTS, Kamis (28/5/2015), di Pelabuhan Merak, Cilegon, Banten.
Tetapi, permintaan saya tersebut tetap ditolak. Saya disarankan mendatangi gerai XL terdekat untuk bertemu langsung dengan petugas jika ingin melakukan pemblokiran. Saya kemudian mendatangi gerai XL di Pondok Indah Mall.
Saya pun sempat menghapus whatsapp dari telepon seluler. Beberapa menit kemudian saya instal lagi dan melakukan pendaftaran ulang dengan menggunakan nomor yang sama. Tetapi, registrasi itu ditolak whatsapp.
Sekitar tiga kali, saya melakukan hal yang sama. Hasilnya tetap nihil. Jawaban dari whatsapp, registrasi baru bisa berhasil setelah tujuh jam kemudian. Ini yang berbeda dengan facebook, dimana saat akun kita diretas, pemilik akun bisa langsung mengganti kata sandi (password), dan seketika itu pula peretasan bisa teratasi.
Saya merasa sedih karena ada tiga teman yang menjadi korban. Mereka sempat mengirimkan sejumlah uang kepada peretas yang bernama Hamzah Ridwan. Nama ini diketahui dari nomor rekening Bank Mandiri yang diinformasikan kepada ketiga teman tersebut. Semua uang yang masuk disinyalir langsung ditarik dan ditransferkan ke nomor rekening lain pada bank lainnya.
Iliustrasi WA–Minta nomor kontak
Beberapa hari setelah kejadian ini, dua teman saya yakni Suwesta Wignyakuta di Bogor dan Erwin Soepai di Surabaya juga terkena kasus serupa. Modus yang digunakan peretas nyaris sama. Mula-mula, papar Suwesta, dia menerima pesan dari sesorang melalui facebook yang mengajak obrol seputar barang-barang yang dipasarkan. Kebetulan Suwesta menekuni bisnis penjualan barang-barang untuk aktivitas di alam terbuka, seperti pendakian gunung dan lainnya.
Orang ini belum pernah dikenal Suwesta. Tetapi, dari cara yang bersangkutan ngobrol, terkesan orangnya baik. Tak lama kemudian, orang itu meminta nomor kontak Suwesta yang sudah diaktifkan whatsapp. Katanya, agar komunikasi lebih aman dan lancar. Suwesta pun tanpa menaruh curiga, lalu mengabarkan nomor kontaknya.
Setelah diberikan, orang itu mengatakan kepada Suwesta bahwa koneksi antara nomor dia dan nomor Suwesta sulit tersambung. Orang itu kemudian bertanya lagi mengapa koneksi tidak tersambung. Suwesta pun menjawab bahwa dirinya pun tidak mengetahuinya.
Sang peretas menyampaikan lagi via chatting facebook kepada Suwesta bahwa harus memasukan kode agar koneksi tersambung. Suesta pun balik bertanya kepadanya, kode apaan tuh. Lalu dia menjelaskan bahwa segera dikirimkan kode melalui pesan singkat ke nomor telepon selulernya.
KOMPAS/LUCKY PRANSISKA–Halaman muka Facebook.
Tak lama kemudian masuklah pesan singkat dengan pengirimnya dari Whatsapp. Dalam pesan tersebut diinformasikan kode verifikasi whatsapp. “ Saat pesan pertama masuk, saya masih abaikan. Tetapi, datang lagi pesan dari whatsapp. Saya lalu menginformasi kode verifikasi itu kepada orang tersebut melalui facebook. Tanpa sadar, sejak itu pula ternyata whatsapp saya kena hack. Ada teman tiba-tiba menelepon saya mengabarkan itu barulah saya kaget. Ketika mau akses whatsapp ternyata tidak bisa lagi,” ungkap Suwesta.
Erwin Soepai, pilot Sriwijaya Air juga akun whatsapp-nya nyaris diretas. Mula-mula, dia pun mendapatkan pesan dari temannya di facebook. Setelah basa-basi menanyakan kabar terkini dari Erwin, temannya itu kemudian meminta nomor kontak yang sudah diaktifkan akun WA. Katanya, agar komunikasinya lebih lancar dan mudah.
Tanpa sedikit pun rasa curiga, Erwin kemudian menginformasikan nomor kontaknya yang sudah terakses dengan whatsapp. Tidak lama kemudian, temannya tersebut mengabarkan bahwa, jika ada pesang singkat masuk di telepon seluler Erwin, mohon menginformasikan kode verifikasi kepadanya.
Melihat pesan ini, Erwin pun kaget dan tersadar. Dia langsung teringat pada kejadian yang saya alami beberapa hari sebelumnya. Erwin pun mengontak saya dan menceritakan kejadian yang baru saja dialami. Saya langsung meminta Erwin mengabaikan pesan itu. Jika menginformasikan kode verifikasi maka tak lama lagi whatsappnya bakal dibajak atau diretas. Erwin pun menuruti saran saya, sehingga selamatlah dia dari peretasan tersebut.
Kelemahan sistem WA
Alfons Tanujaya, pakar Teknologi Informasi menyatakan kasus pembajakan whatsapp di Indonesia semakin sering terjadi. Celakanya, sistem Whatsapp juga secara otomatis memberikan hak penuh kepada pembajak, seperti hak administrator pada group Whatsapp, foto profil Whatsapp pada nomor baru (pembajak) sama dengan akun yang dibajak. “Ini yang membuat para teman dari korban ikut menjadi korban pula, terutama pemerasan,” ujarnya.
Pemilik akun whatsapp yang asli pun tidak akan bisa mengambil kembali akun yang dibajak dalam waktu singkat karena sistem whatsapp menganggap bahwa dengan proses pengalihan akun yang tidak sengaja diverifikasi oleh pemilik akun lama tersebut adalah proses yang sah berdasarkan One Time Password (OTP) yang dikirimkan ke SMS HP lama. Padahal sistem whatsapp secara tidak langsung mempermudah pembajakan akun karena secara otomatis memasukkan OTP dari SMS ke dalam kotak persetujuan dimana seharusnya dimasukkan secara manual oleh pemilik akun.
Pembajak akan memasukkan nomor telepon pemilik akun WA yang diincar pada fitur nomor telepon lama dan memasukkan nomornya sendiri pada bagian nomor telepon baru baru. Fitur yang disediakan Whatsapp sebenarnya untuk memudahkan pengguna berganti nomor telepon. Namun fitur ini rupanya dapat disalahgunakan untuk membajak akun Whatsapp.
“Jadi kuncinya, selama pemilik nomor telepon tidak memberikan persetujuan atas perubahan nomor telepon akun Whatsapp tersebut, maka proses pengalihan akun tidak akan berhasil. Namun yang menjadi catatan adalah pembajak bisa memancing sistem Whatsapp untuk mengirimkan SMS dari nomor telepon baru manapun tanpa adanya pembatasan, seperti dalam kasus-kasus ini,” jelas Alfons.
Belajar dari kasus ini, pengguna Whatsapp harus lebih berhati-hati. Jangan mudah terpancing dan menyetujui atau mengklik link tanpa mengerti sebenarnya apa yang sedang disetujui.–JANNES EUDES WAWA
Sumber: Kompas, 22 Januari 2019