Kamis, 03 Jan 2019 12:39 WIB

Kolom Telematika

Waspada Akun WhatsApp Dibajak, Berikut Cara Pencegahannya

Alfons Tanujaya - detikInet
Cara mencegah dan mengantisipasi agar terhindar dari akun WhatsApp dibajak. (Foto: Adi Fida Rahman/detikINET) Cara mencegah dan mengantisipasi agar terhindar dari akun WhatsApp dibajak. (Foto: Adi Fida Rahman/detikINET)
Jakarta - Pada masa awal internet banking dan e-commerce, tingkat kepercayaan terhadap keamanan transaksi internet banking dan e-commerce masih sangat rendah.

Pengamanan yang saat itu mengandalkan kredensial username, password, nomor kartu, tanggal kadaluarsa kartu sampai CVV code menjadi mudah bocor jika komputer pengguna berhasil disusupi oleh trojan/keylogger yang akan merekam semua ketukan keyboard ketika melakukan transaksi.

Apalagi di Indonesia yang, saat itu, belum memiliki pengelolaan sistem kependudukan yang baik sehingga tidak sulit untuk membuat KTP ganda sehingga mempermudah pelaku transaksi bodong untuk membuka akun guna menampung hasil kejahatannya dan membuka akun baru dengan kartu identitas baru setiap kali akun lama terdeteksi dan diblokir oleh pihak berwenang.




Penerapan Two Factor Authentication (TFA) dan One Time Password (OTP) menjadi titik balik. Transaksi finansial kini menjadi lebih aman dan sulit dieksploitasi, setelah sebelumnya sangat rentan dieksploitasi oleh pelaku kriminal menggunakan trojan/keylogger.

Kuncinya adalah penggunaan OTP, atau password sekali pakai, yang digunakan untuk verifikasi transaksi penting seperti persetujuan setiap kali melakukan pembelian. Keunikan sistem OTP ini memungkinkan transaksi keuangan dilakukan dengan cukup aman sekalipun kredensial akun telah diketahui oleh peretas melalui trojan yang menginfeksi komputer yang melakukan transaksi.

Karena alasan yang sama pula layanan publik berbasis akun seperti Gmail, Yahoo, dan layanan media sosial seperti Facebook, Twitter, dan Instagram menerapkan pengamanan TFA-OTP pada layanannya, di mana setiap kali perangkat, aplikasi, atau peramban baru dipakai untuk mengakses layanan maka OTP digunakan untuk verifikasi identitas pengguna layanan tersebut.




Pelan tapi pasti otentikasi dua faktor (TFA) dan OTP menjadi standar pengamanan transaksi keuangan dan kredensial layanan berbasis akun. Demikian pula yang terjadi di ranah bertukar pesan/messaging seperti WhatsApp, dengan basis pengguna miliaran, yang juga menerapkan TFA-OTP dalam mengamankan akun, guna mengidentifikasi dan melindungi penggunanya supaya tak terjadi pencurian atau akun WhatsApp dibajak.

Namanya juga teknologi, kalau diam saja di tempat dan tidak berkembang tentu akan dilibas oleh teknologi baru. TFA yang pada awalnya harus memasukkan OTP password sekali pakai setiap kali melakukan verifikasi mulai dianggap merepotkan dan solusi baru yang lebih praktis mulai diterapkan seperti login approval dimana verifikasi tidak lagi dilakukan dengan memasukkan kode verifikasi tetapi cukup hanya mengklik tombol [Ok], [Confirm], [I Agree] atau [Next] yang muncul di telepon pintar sudah cukup untuk menyetujui verifikasi.

Maka muncullah versi yang lebih simpel dari TFA yang populer dengan istilah verifikasi satu klik. (lihat gambar 1)

Waspada Akun WhatsApp Dibajak, Berikut Cara PencegahannyaGambar 1, Login approval pengganti TFA

Sekalipun verifikasi satu klik sudah mulai diadopsi oleh banyak layanan, termasuk layanan produk Microsoft dan Google dalam memverifikasi pelanggannya yang masuk dari perangkat/aplikasi baru yang belum dikenal, tapi perlu menjadi catatan bahwa verifikasi satu klik ini cukup rentan kesalahan mengingat penerima approval pop up atau SMS di ponsel akan cenderung mudah menyetujui permintaan approval akibat hanya tinggal melakukan klik untuk melakukan verifikasi. Oleh Karena itu penyedia jasa banyak yang menyediakan fitur untuk membatalkan approval atau mengklaim kembali akun jika terjadi kesalahan verifikasi.

Institusi finansial, baik perbankan dan kartu kredit seperti Mastercard dan Visa, sampai saat ini masih tetap mengandalkan TFA konvensional untuk proses verifikasi seperti 3D secure atau SMS, dengan proses verifikasi masih harus memasukkan PIN OTP secara manual dan tidak mengadopsi metode once click approval.




Verifikasi Satu Klik dan Bahayanya

Implementasi verifikasi satu klik memang memudahkan pengguna layanan yang menggunakan TFA OTP karena proses verifikasi tidak perlu lagi repot membuka aplikasi otentikasi seperti: Google Authenticator, Authy, atau SMS, dan memasukkan PIN otentikasi secara manual. Cukup hanya mengklik 1 tombol [Confirm] saja sudah cukup untuk melakukan verifikasi.

Sejatinya, proses verifikasi memang sebaiknya tidak terlalu mudah dan setidaknya membutuhkan sedikit usaha untuk menghindari kesalahan verifikasi yang tidak disengaja. Hal ini juga sesuai dengan metode TFA-OTP yang memanfaatkan jalur yang berbeda dalam menyimpan atau mengirimkan kata kunci / PIN verifikasi. Sebagai contoh kredensial Username dan Password biasanya disimpan di komputer / ponsel pada file rahasia atau Password Manager dan OTP dikirimkan melalui jalur lain seperti Token TFA, SMS, USSD Code atau email. Tujuannya jelas supaya ada dua faktor yang berbeda pada proses otentikasi sehingga memberikan tingkat keamanan lebih tinggi.

Namun karena alasan kemudahan, Verifikasi satu klik mulai banyak diadopsi oleh layanan utama internet seperti Google, Firefox, Microsoft, dan terakhir oleh Whatsapp. Sebagai contoh, verifikasi PIN melalui SMS yang seharusnya dimasukkan secara manual oleh pengguna Whatsapp kemudian diotomasi dimana 6 angka aktivasi yang dikirimkan melalui SMS akan di deteksi dan dikopikan secara otomatis ke dalam box verifikasi dan pengguna hanya perlu menyetujui tanpa perlu memasukkan 6 angka PIN aktivasi tersebut (lihat gambar 2)

Waspada Akun WhatsApp Dibajak, Berikut Cara PencegahannyaGambar 2, Proses verifikasi Whatsapp yang secara otomatis mengkopikan PIN OTP dari SMS

Prinsip sekuriti tidak menyarankan hal ini karena pengguna tidak melalui proses otentikasi dengan sempurna. Pengguna terkadang tidak menyadari bahwa ia sedang melakukan satu proses verifikasi, yang akan berdampak besar seperti pengalihan akun Whatsapp-nya ke nomor telepon lain.

Jika proses verifikasi hal ini terjadi pada login akun Firefox, Gmail, atau Microsoft setiap kali menggunakan layanan baru, aplikasi baru, komputer baru, ponsel baru, atau peramban baru, yang terjadi rutin dan sering dilakukan, kemungkinan pengguna membuat kesalahan akan lebih kecil karena hal ini cukup sering dilakukan.

Tetapi jika hal ini diterapkan pada aktivasi akun Whatsapp atau penggantian nomor telepon yang terasosiasi pada akun Whatsapp yang sangat jarang dilakukan dan hanya dilakukan pada saat mengganti HP baru atau mengganti nomor telepon baru, dengan rata-rata itu belum tentu dilakukan setahun sekali, pengguna Whatsapp tentu kurang familiar dengan proses ini sehingga bisa dengan mudah memberikan persetujuan secara tidak sengaja.




Celakanya lagi, proses pemindahan nomor telepon yang terasosiasi dengan akun Whatsapp ini bisa diinisiasi dari nomor telepon baru tanpa memerlukan verifikasi apapun, dengan pemilik nomor baru hanya perlu melakukan proses pancingan seolah-olah ia adalah pemilik nomor telepon Whatsapp lama dan memasukkan nomor Whatsapp yang di incarnya dan menunggu korbannya lengah dan tidak sengaja menyetujui proses pemindahan nomor telepon. (lihat gambar 3)

Waspada Akun WhatsApp Dibajak, Berikut Cara PencegahannyaGambar 3, Proses pemingahan nomor telepon Whatsapp dapat di inisiasi oleh pembajak tanpa batasan proses verifikasi

Semua proses verifikasi terjadi di nomor telepon lama/pemilik akun yang sah. Jika pemilik akun lama yang sah secara tidak sadar, baik karena kurang mengerti dengan proses verifikasi, salah mengerti proses verifikasi, atau tidak sengaja menyetujui proses verifikasi, maka pemindahan akun Whatsapp akan sah berpindah tangan. Dengan kata lain: WhatsApp dibajak.

Sistem Whatsapp seharusnya tidak memasukkan PIN otentikasi secara otomatis karena itu mempermudah verifikasi yang tidak disengaja. Selain itu, seharusnya Whatsapp menambahkan otentikasi tambahan pada nomor telepon baru dengan setiap nomor anyar yang ingin melakukan inisiasi pemindahan nomor telepon akun Whatsapp juga harus memasukkan satu PIN otentikasi yang hanya dikirimkan ke nomor lama ketika proses inisiasi dilakukan. Ini akan membuat pembajak jadi lebih sulit menginisiasi dan melakukan pemindahan akun Whatsapp.




Cara Mencegah Akun WhatsApp Dibajak

Sambil menunggu Whatsapp untuk menyempurnakan sistem verifikasi pemindahan akun yang mudah dieksploitasi ini, penulis menyarankan Anda untuk berhati-hati jika mendapatkan SMS verifikasi penggantian nomor telepon WhatsApp. Jangan sekali-kali disetujui atau klik tanpa mengerti apa yang sedang anda lakukan.

Selain itu, Anda juga dapat mengaktifkan PIN untuk masuk ke WhatsApp anda, di mana jika terjadi akun Anda berhasil diambil alih oleh pembajak, ia tetap membutuhkan PIN tambahan untuk membuka akun WhatsApp yang dibajaknya. (lihat gambar 4)

Waspada Akun WhatsApp Dibajak, Berikut Cara PencegahannyaGambar 4, PIN perlindungan tambahan TSV Two Step Verification akan mencegah akun Whatsapp anda dibuka pembajak

Caranya adalah klik 3 titik pada aplikasi WhatsApp anda, lalu pilih [Settings] [Account][Two-step verification], dan masukkan PIN Anda. Ingat, aktifkan alamat email pada proses TSV ini sebagai cadangan kalau Anda lupa PIN tambahan tersebut. Jika tidak dan Anda benar-benar lupa PIN, maka tidak ada cara lain untuk mengembalikan PIN tambahan itu.



------

*) Alfons Tanujaya, ahli keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.

(krs/fyk)

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed