Nextren.com - Kita semua tentu memakai akun GMail, karena menjadi hal wajib saat memakai smartphone Android serta download aplikasi dan game di Gooole Play.Meski dipakai semua pengguna smartphone, GMail terbilang aman karena menerakan 'verifikasi 2 langkah' atau "Otentikasi 2 langkah'.Lewat fitur keamanan ini, seseorang harus memasukkan kode khusus yang dikirim ke smartphone terdaftar, saat ingin membuka di smartphone lainnya.Cara kerja "Otentikasi 2 langkah' ini adalah kamu perlu memasukkan sandi untuk masuk ke Google, lalu kamu juga akan diminta memasukan sesuatu.
Baca Juga : 5 Tips Buat Password yang Susah Untuk Ditembus Hacker, Dijamin Ampuh!Kamu akan menerima kode yang dikirimkan ke hape lewat SMS, panggilan telepon, atau aplikasi seluler. Dengan cara itu, akun kamu tetap terlindungi, karena saat kamu atau orang lain mencoba masuk ke akun dari komputer lain, maka Verifikasi 2 Langkah tersebut akan dimunculkan. Namun ternyata saat ini ada hackeryang berhasil menembusnya!Laporan Amnesty International terbaru, membahas beberapa detail teknis tentang bagaimana peretas (hacker) dapat secara otomatis memalsukan token otentikasi dua faktor yang dikirimkan ke hape. Baca Juga : Ini 10 Password Paling Buruk Sepanjang 2018, Ada yang Kamu Gunakan?
Berikut hasil wawancara Amnesty International dengan Michal Salat, Director of Threat Intelligence Avast. tentang hacker yang menyerang sistem otentikasih 2 faktor, seperti Google Mail atau Yahoo Mail.1. Bagaimana cara lain seorang pengguna melindungi dirinya sendiri, jika mereka benar-benar tidak dapat bergantung lagi pada 2FA?Dalam kasus ini, masalahnya tidak terletak pada proses otentikasi dua faktor, tetapi terletak pada pengguna itu sendiri.Serangan ini hanya merupakan versi lanjutan dari phishing biasa, di mana pengguna adalah orang yang memberikan identitasnya. Baca Juga : Berkat Update Windows 10, Akses Akun Microsoft Tanpa Password Tetap AmanSerangan ini tidak hanya menipu pengguna untuk memberikan password mereka lewat situs web phishing.Serangan ini juga membuat layanan resmi seperti Google Mail atau Yahoo Mail, mengirim kode otentikasi dua faktor lalu meminta pengguna memasukkan kode ke situs phishing.Otentikasi dua faktor telah dirancang untuk membantu membentengi akun terhadap penggunaan kata sandi yang berulang. Sebagai contoh, password login dibocorkan atau digunakan untuk banyak akun, misalnya dalam kasus email bersama untuk satu tim.Baca Juga : Mau Traveling ke New Zealand? Harus Mau Buka Password Gadget atau Didenda Rp 50 juta
Maka dua otentikasi faktor dapat memperingatkan pengguna, jika seseorang sedang mencoba untuk menggunakan password yang bocor tersebut, untuk masuk ke salah satu akunnya. Biasanya, otentikasi dua faktor tergolong aman.Alasannya, penyerang memerlukan kode token singkat yang dikirimkan lewat aplikasi atau pesan teks, selain password masuk akun untuk mengakses akun.Pengguna dapat menggunakan kunci perangkat keras (hardware), seperti Yubikey, untuk melindungi dirinya. Baca Juga : Gelombang Otak Bisa Jadi Password, Peneliti Sudah Tahu CaranyaSelanjutnya, pengguna harus menginstal antivirus di semua perangkat tersebut.Hal ini diperlukan untuk memblokir situs phishing. Bahkan situs phishing saat ini dirancang dengan sangat baik.Situs ini meningkatkan kemungkinan pengguna terjebak dalam penipuan phishing, terlepas dari seberapapun tingkat kewaspadaan pengguna. Baca Juga : Ini Alasan Kenapa Pengguna Twitter Harus Ganti Password, Penting!
Salah satu antivirus yaitu Avast, memakai artificial intelligence (AI) untuk mendeteksi situs phishing, memeriksa popularitas dan usia domain situs, token URL, dan kemudian meneliti piksel pada halaman tersebut.2. Apakah AI digunakan untuk ini?Artificial Intelligent tidak digunakan dalam kasus ini, serangan ini memanfaatkan otomatisasi lama dengan baik.3. Dapatkah kita menduga bahwa serangan yang serupa dapat terulang di masa depan?Berdasarkan laporan tersebut, tingkat perhatian yang diberikan oleh penyerang saat menyiapkan server tampaknya agak rendah.
Baca Juga : 5 Aplikasi Pengelola Password Android Ini Tawarkan Jaminan KeamananContohnya dengan menggunakan daftar direktori terbuka. Kita dapat menduga phishing komoditas untuk mengadopsi teknik ini dengan segera.4. Seberapa teknis yang dibutuhkan oleh seseorang dalam melakukan serangan phishing ini? Mungkinkah kode itu dijual di darknet agar orang lain dapat menyalahgunakannya?Kita bisa saja berharap melihat kit phishing yang berisikan fitur ini dijual atau disebarkan di pasar gelap segera, namun hal tersebut belum ada. Cybercriminal hanya perlu melakukan beberapa langkah tambahan untuk membuat dan menyebarkan serangan baru menggunakan teknik tersebut. (*)