.webp)
Ancaman serangan siber masih kerap menghantui warga internet. Apalagi saat ini, perkembangan teknologi yang massif kerap diikuti dengan kemunculan berbagai modus penipuan di internet.
Ada beragam serangan siber yang bisa mengancam para warga, salah satunya account takeover (ATO). Untuk itu, warga internet perlu berhati-hati terhadap serangan siber ini sebab mampu menghadirkan kerugian finansial atau nonfinansial seperti rusaknya reputasi hingga penyalahgunaan identitas.
Guru Besar Teknik Elektro dan Teknologi Informasi, UGM, Prof. Lukito Edi Nugroho mengatakan modus serangan siber ATO ini biasanya membuat korban kehilangan kendali atas akun yang dimiliki.
SCROLL TO CONTINUE WITH CONTENT
"ATO yakni peretasan yang mengambil alih akun sah (login, ubah sandi, transaksi). Target utamanya adalah pencurian kredensial. 88% serangan terhadap basic web app melibatkan kredensial curian. Menurut BSSN, pada tahun 2024, indikasi insiden terbanyak adalah data breach," kata Lukito kepada detikcom, Sabtu (8/11/2025).
Prof. Lukito menjelaskan ada sejumlah pintu masuk yang digunakan hacker untuk menjalankan serangan tersebut seperti phising hingga malware.
"Cara-cara orang melakukan ATO (melalui) phishing, malware pencuri kredensial, credential stuffing (pakai combo list bocoran), brute-force, SIM-swap/OTP interception, social engineering," tuturnya.
Serangan siber tersebut bisa dikatakan 'sukses' dilakukan tidak terlepas dari kelalaian para pengguna internet. Dia mencontohkan masih banyak para pengguna yang menggunakan kata sandi tergolong lemah. Hal ini yang menjadi celah bagi hackers untuk menjalankan aksinya.
"Faktor-faktor kerentanan reuse kata sandi oleh pengguna, multi-factor authentication (MFA) tidak aktif atau OTP lemah (menggunakan SMS), password lemah, kebocoran data massal, perangkat tidak ter-patch (diperbarui)," jelasnya.
"Faktor manusia & reuse password memperparah keadaan dan pada saat yang sama banyak serangan sukses karena proteksi platform tidak menerapkan kontrol modern anti-credential-abuse," sambungnya.
Prof. Lukito menjelaskan sejumlah ciri yang bisa dikenali ketika seseorang terserang ATO. Adapun ciri yang biasa muncul yakni munculnya notifikasi login tidak wajar, perubahan kata sandi, dan notifikasi transaksi hingga penarikan. Tidak hanya itu, logout secara mendadak juga bisa menjadi salah satu ciri seseorang terkena serangan ATO.
"Cara mencegah ATO aktifkan MFA, sebaiknya menghindari via SMS, pilih password yang lebih kuat dan kelola password dengan baik (password manager), waspada phising, update OS/app, selalu logout dari terminal publik, cek breach (ganti sandi), aktifkan alert login," tuturnya.
Menurutnya, ATO bisa dicegah kalau kolaborasi antara pemerintah, penyedia platform, dan masyarakat bisa dimaksimalkan. Pasalnya tiga elemen tersebut memiliki peran yang cukup penting dalam mencegah ATO.
"Untuk pemerintah kampanye literasi, menyediakan kanal pelaporan/CSIRT, penegakan private data protection (PDP). Platform menerapkan MFA secara default, deteksi anomali, takedown cepat, transparansi insiden. Serta masyarakat lapor cepat, adopsi praktik-praktik bertransaksi secara aman," jelasnya.
Tidak hanya itu, Prof. Lukito menyarankan agar platform mampu menerapkan sejumlah teknologi tambahan guna memberikan perlindungan lebih terhadap para penggunanya.
"Teknologi yang bisa membantu (cegah ATO) Passkeys/FIDO2, device fingerprinting, bot mitigation/anti-credential stuffing, rate-limit & CAPTCHA adaptif, monitoring sesi/anti-cookie theft, dan penggunaan MFA-by-default," katanya.
Upaya pencegahan serangan siber tersebut menurutnya bisa diperkuat dengan implementasi dari regulasi yang sudah ada. Menurutnya, saat ini, secara regulasi Indonesia sudah memiliki aturan yang memadai terkait kejahatan siber.
"Regulasi sudah lebih baik, tapi perlu implementasi & penegakan konsisten. Di Indonesia, kerangka PDP & peran BSSN/Id-SIRTII sudah ada. Namun tantangannya ada pada kepatuhan dan respons insiden lintas sektor," ungkapnya.
Sementara itu, Pakar sekaligus Praktisi E-Commerce Dedy Liem mengakui serangan ATO juga menghantui warga internet yang gemar untuk berbelanja atau berjualan di e-commerce. Menurutnya, modus yang biasa berkembang berpura-pura menjadi salah satu staf e-commerce agar dapat mendapatkan kode OTP.
"Modus yang masih paling sering digunakan adalah reset password di mana pelaku berpura-pura sebagai staff e-commerce dan berusaha mendapatkan kode OTP. Selain itu modus phishing juga masih sering terjadi dengan mengarahkan user untuk mengklik link yang diberikan. Selain itu, masih ada berbagai teknik lainnya," kata Dedy.
Khusus di dunia e-commerce, Dedy menjelaskan biasanya serangan ATO menarget para penjual yang cukup aktif dan memiliki banyak transaksi. Menurutnya, hal itu dikarenakan banyak penjual yang masih mengumpulkan saldo mereka di suatu platform.
"Untuk saat ini, dampak paling signifikan adalah terjadinya kehilangan dana, dan penyalahgunaan data pribadi," jelasnya.
Senada dengan Prof. Lukito, Dedy mengatakan pentingnya untuk memperbaharui sistem perlindungan untuk pengguna atau penjual di e-commerce. Serta terus meningkatkan edukasi terkait dengan berbagai macam serangan siber.
"Memberikan perlindungan ganda terhadap akun, seperti verifikasi 2 langkah. Selain itu, jangan terlalu percaya saat dihubungi nomor tidak dikenal yang mengatasnamakan pihak ecommerce dan meminta menyebutkan berbagai kode tertentu," jelasnya.
"Sangat penting, karena selain harus update untuk kemampuan selling juga untuk mengetahui berbagai kelemahan di sistem digital yang bisa merugikan pihak seller," tambahnya.
Menurutnya, faktor utama seseorang terkena serangan ATO bukan karena platform memiliki sistem keamanan yang lemah, karena umumnya platform digital sudah dilengkapi fitur keamanan yang canggih dan sertifikasi International Organization for Standardization (ISO). Namun, faktor utamanya yakni masih banyak pengguna internet khususnya di e-commerce yang belum teredukasi dengan baik.
"Menurut saya untuk dari sisi platform sendiri sudah cukup bagus dan kuat. Kebocoran yang seringkali terjadi lebih banyak diakibatkan oleh seller yang kurang literasi dan interaksi sehingga akhirnya mudah terperdaya oleh pelaku," jelasnya.
Dedy pun optimistis peningkatan edukasi terhadap pengguna bisa menjadi salah satu kunci untuk menekan jumlah korban ATO.
"Edukasi rutin kepada pelaku bisnis online agar tidak mudah terperdaya oleh berbagai trik tipuan dari orang-orang jahat," tutupnya.
(akd/ega)
