Kewaspadaan siber yang memadai—seperti tidak membuka aplikasi dan tautan tidak dikenal—menjadi kian penting. Peretas Twitter diduga memanfaatkan kelengahan karyawan Twitter untuk mendapatkan akses akun pesohor.
TWITTER—Cuitan dari akun resmi Barack Obama setelah diretas pada Rabu (15/7/2020).
Penipuan ”papa mama minta pulsa” tampak sudah biasa terjadi di Indonesia dan bahkan mungkin sudah tidak mempan. Namun, bagaimana kalau akun resmi Twitter milik sang filantropis Bill Gates menawarkan penggandaan bitcoin? Atau dari mantan Presiden Amerika Serikat Barack Obama? Tampaknya tidak ada yang aman di media sosial.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Modus ini tergolong sederhana. Namun, pembajakan akun Twitter yang terjadi pada pekan lalu telah berhasil memperkaya pelakunya dengan uang kripto senilai lebih dari Rp 1,7 miliar (118.000 dollar AS).
Kompas memeriksa alamat bitcoin (bitcoin address) tersemat pada cuitan yang disampaikan oleh para akun yang diretas tersebut pada Selasa (21/7/2020) dan menemukan bahwa bitcoin address ini telah memindahkan hampir seluruh hasil penipuannya ke sejumlah alamat lain. Total terjadi 395 transaksi keluar-masuk. Kini hanya menyisakan 0,009 BTC atau sekitar 83 dollar AS.
KOMPAS/SATRIO PANGARSO WISANGGENI—Alamat dompet uang kripto bitcoin yang digunakan peretas akun Twitter para pesohor untuk menampung hasil penipuan terlihat pada Selasa (21/7/2020). Terlihat peretas sudah memindahkan uang sebesar 12,8 BTC atau setara 118.622 dollar AS (Rp 1,7 miliar).
Ada 15 akun terverifikasi yang sudah berhasil diretas. Selain dua yang sudah disebutkan tadi, juga ada bilioner CEO Tesla Elon Musk, mantan wakil Presiden AS Joe Biden, pendiri Amazon Jeff Bezos, musisi Kanye West, filantropis Warren Buffett, petinju Floyd Mayweather Jr, hingga perusahaan teknologi seperti Apple, Uber, dan Binance.
Pakar keamanan siber terkemuka Brian Krebs mengatakan, ada indikasi kuat bahwa peretasan ini dilakukan oleh sindikat peretas yang biasa memanfaatkan karyawan dari sebuah perusahaan media sosial atau telekomunikasi untuk mendapatkan akses terhadap akun milik target.
TWITTER—Cuitan dari akun resmi pendiri Microsoft dan filantropis Bill Gates setelah diretas pada Rabu (15/7/2020).
”Social engineering”
Krebs menyimpulkan hal ini karena peretas dengan spesialisasi ini biasa beraktivitas di forum peretasan akun ”OGusers”. Dan dalam beberapa hari sebelum peretasan terjadi, di situs tersebut, seorang pengguna bernama ”Chaewon” menawarkan jasa pengambilalihan akun Twitter dengan harga 2.000-3.000 dollar AS per akun.
Sejumlah akun Twitter yang diduga milik peretas pun mengunggah tangkapan layar aplikasi internal Twitter yang dapat digunakan untuk mengambil alih akun.
”Ini bisa dilakukan dengan cara menyuap, memaksa, atau bahkan meretas karyawan perusahaan-perusahaan ini,” kata Krebs melalui blognya.
BRIAN KREBS—Unggahan di situs OGusers yang menawarkan jasa pengambilalihan akun Twitter. Diduga ini menggunakan akses terhadap aplikasi internal Twitter.
Investigasi dari New York Times juga menunjukkan modus yang mirip. Seorang warga forum OGusers yang diwawancarai mengatakan bahwa sang pelaku mendapatkan akses ke aplikasi percakapan internal karyawan Twitter dan melihat kredensial log-in untuk aplikasi internal Twitter.
Twitter pun mengakui bahwa peretasan terjadi melalui faktor manusia, bukan peretasan sistem. Twitter mengatakan si pelaku telah melakukan social engineering terhadap sejumlah staf Twitter untuk mendapatkan akses sistem internal Twitter.
BRIAN KREBS—Tampilan layar aplikasi internal Twitter untuk mengubah kepemilikan sebuah akun Twitter.
Social engineering adalah rekayasa psikologis yang dilakukan terhadap target untuk memberikan informasi penting seperti kredensial log-in maupun data lainnya.
”Para pelaku berhasil memanipulasi sejumlah staf Twitter dan menggunakan kredensial para staf ini untuk mengakses sistem internal Twitter,” bunyi keterangan resmi Twitter.
Twitter mengatakan bahwa pihaknya akan terus melakukan investigasi dan meningkatkan keamanan sistemnya. Perusahaan media sosial tersebut juga akan menggelar pelatihan terhadap para karyawannya untuk dapat menangkal taktik manipulasi psikologis agar tidak terjadi insiden serupa di masa depan.
”Dari langkah ini, kami berharap dapat memperbaiki kepercayaan yang sudah masyarakat berikan kepada kami. Kami malu, kecewa, dan menyesal,” tulis Twitter.
”Malware”
Hingga kini, memang belum jelas secara persis bagaimana teknis manipulasi psikologi tersebut terjadi, apakah staf Twitter yang menjadi korban secara terbuka memberikan kredensial secara terbuka, atau mereka ditipu untuk membuka akses peretasan lebih jauh; seperti mengklik tautan yang mengunduh spyware yang dapat memata-matai.
BRIAN KREBS—Tampilan layar aplikasi internal Twitter untuk mengubah kepemilikan sebuah akun Twitter.
Chairman Lembaga Riset Siber Indonesia (Communication and Information System Security Research Center/CISSReC) Pratama Persadha mengatakan spyware adalah ancaman siber yang jamak ditemui. Di pasar, beredar spyware gratisan hingga yang mahal dan kontroversial seperti Pegasus buatan NSO Group asal Israel.
Terkecuali, Pegasus, dalam proses infeksi spyware, pelaku membutuhkan akses langsung terhadap ponsel target maupun ”kerja sama” dari target untuk mengklik sebuah tautan. Di sinilah proses rekayasa psikologis terhadap target dilakukan.
Apabila sudah terpasang, malware dapat berjalan sesuai dengan tujuan pembuatnya, termasuk memata-matai, menyedot data, hingga merekam setiap input yang kita ketikkan melalui keyboard.
”Prinsipnya, kita selalu waspada karena tidak ada teknologi yang benar-benar bebas 100 persen dari peretasan,” kata Pratama.
Deteksi ”spyware”
Pratama mengatakan, deteksi dini spyware ataupun malware lain yang paling mudah adalah dengan memeriksa paket data dan baterai yang lebih boros dari biasanya. Ini terjadi karena malware membuat ponsel bekerja lebih keras akibat proses pengiriman data ke peretas.
KOMPAS/SATRIO PANGARSO WISANGGENI—Dashboard kontrol Pegasus, berdasarkan dokumen yang diduga milik NSO Group.
Terakhir, Pratama juga meminta masyarakat untuk sesekali memerika log atau riwayat telepon dan pulsa. ”Apabila ada tambahan log telepon atau SMS yang tidak dilakukan, berarti ada yang mengendalikan smartphone kita,” ujarnya.
Untuk itu, Pratama meminta kepada masyarakat agar akses fisik terhadap ponsel jangan pernah diserahkan kepada orang lain, bahkan ke asisten pribadi sekalipun.
Kedua, menyembunyikan nomor utama. Pratama mengakui hal ini sangat penting, tetapi memang agak sulit diterapkan. Namun, bisa dilakukan, misalnya, dengan membedakan nomor yang dipasang di ponsel dengan nomor Whatsapp yang dipakai.
Jangan instal aplikasi asing
Ketiga, Pratama meminta masyarakat tidak pernah menginstal aplikasi asing dan jangan menginstal dari sumber tidak tepercaya.
KOMPAS/SATRIO PANGARSO WISANGGENI—Fungsi Pegasus dan data yang bisa diekstrak oleh aplikasi penyadap tersebut, berdasarkan dokumen yang diduga milik NSO Group.
Pada akhir Maret lalu, Badan Siber dan Sandi Nasional (BSSN) memublikasikan temuannya mengenai spyware yang menyaru sebagai aplikasi informasi pandemi Covid-19 bernama ”CoronaLive 1.1”.
Apabila dipasang dan dijalankan, aplikasi tersebut memang menampilkan informasi mengenai penyebaran Covid-19. Namun, sebetulnya, ketika dipasang, CoronaLive 1.1 meminta permission akses lokasi, media penyimpanan, mengambil gambar, merekam video, hingga mengaktifkan mikrofon.
Dengan demikian, jika izin diberikan, CoronaLive 1.1 dapat dimanfaatkan oleh pelaku untuk memanfaatkan kapabilitas itu dari jarak jauh.
”Sebenarnya, smartphone kita sudah diatur untuk menghindari instalasi dari sumber asing. Namun, sering akibat ketidaktahuan kita atau kesengajaan kita, setting itu berubah,” kata Pratama.
Oleh SATRIO PANGARSO WISANGGENI
Editor KHAERUDIN KHAERUDIN
Sumber: Kompas, 21 Juli 2020