Cara mencegah dan mengantisipasi biar terhindar dari akun WhatsApp dibajak. (Foto: Adi Fida Rahman/detikINET)
Jakarta – Pada masa awal internet banking dan e-commerce, tingkat kepercayaan terhadap keamanan transaksi internet banking dan e-commerce masih sangat rendah.
Pengamanan yang ketika itu mengandalkan kredensial username, password, nomor kartu, tanggal kadaluarsa kartu hingga CVV code menjadi gampang bocor kalau komputer pengguna berhasil disusupi oleh trojan/keylogger yang akan merekam semua ketukan keyboard ketika melaksanakan transaksi.
Apalagi di Indonesia yang, ketika itu, belum mempunyai pengelolaan sistem kependudukan yang baik sehingga tidak sulit untuk menciptakan KTP ganda sehingga mempermudah pelaku transaksi bodong untuk membuka akun guna menampung hasil kejahatannya dan membuka akun gres dengan kartu identitas gres setiap kali akun usang terdeteksi dan diblokir oleh pihak berwenang.
Penerapan Two Factor Authentication (TFA) dan One Time Password (OTP) menjadi titik balik. Transaksi finansial sekarang menjadi lebih kondusif dan sulit dieksploitasi, sehabis sebelumnya sangat rentan dieksploitasi oleh pelaku kriminal memakai trojan/keylogger.
Kuncinya yakni penggunaan OTP, atau password sekali pakai, yang digunakan untuk verifikasi transaksi penting menyerupai persetujuan setiap kali melaksanakan pembelian. Keunikan sistem OTP ini memungkinkan transaksi keuangan dilakukan dengan cukup kondusif sekalipun kredensial akun telah diketahui oleh peretas melalui trojan yang menginfeksi komputer yang melaksanakan transaksi.
Karena alasan yang sama pula layanan publik berbasis akun menyerupai Gmail, Yahoo, dan layanan media umum menyerupai Facebook, Twitter, dan Instagram menerapkan pengamanan TFA-OTP pada layanannya, di mana setiap kali perangkat, aplikasi, atau peramban gres digunakan untuk mengakses layanan maka OTP digunakan untuk verifikasi identitas pengguna layanan tersebut.
Pelan tapi niscaya otentikasi dua faktor (TFA) dan OTP menjadi standar pengamanan transaksi keuangan dan kredensial layanan berbasis akun. Demikian pula yang terjadi di ranah bertukar pesan/messaging menyerupai WhatsApp, dengan basis pengguna miliaran, yang juga menerapkan TFA-OTP dalam mengamankan akun, guna mengidentifikasi dan melindungi penggunanya supaya tak terjadi pencurian atau akun WhatsApp dibajak.
Namanya juga teknologi, kalau membisu saja di kawasan dan tidak berkembang tentu akan dilibas oleh teknologi baru. TFA yang pada awalnya harus memasukkan OTP password sekali pakai setiap kali melaksanakan verifikasi mulai dianggap merepotkan dan solusi gres yang lebih mudah mulai diterapkan menyerupai login approval dimana verifikasi tidak lagi dilakukan dengan memasukkan arahan verifikasi tetapi cukup hanya mengklik tombol [Ok], [Confirm], [I Agree] atau [Next] yang muncul di telepon cendekia sudah cukup untuk menyetujui verifikasi.
Maka muncullah versi yang lebih simpel dari TFA yang terkenal dengan istilah verifikasi satu klik. (lihat gambar 1)
Gambar 1, Login approval pengganti TFA
|
Sekalipun verifikasi satu klik sudah mulai diadopsi oleh banyak layanan, termasuk layanan produk Microsoft dan Google dalam memverifikasi pelanggannya yang masuk dari perangkat/aplikasi gres yang belum dikenal, tapi perlu menjadi catatan bahwa verifikasi satu klik ini cukup rentan kesalahan mengingat akseptor approval pop up atau SMS di ponsel akan cenderung gampang menyetujui undangan approval akhir hanya tinggal melaksanakan klik untuk melaksanakan verifikasi. Oleh Karena itu penyedia jasa banyak yang menyediakan fitur untuk membatalkan approval atau mengklaim kembali akun kalau terjadi kesalahan verifikasi.
Institusi finansial, baik perbankan dan kartu kredit menyerupai Mastercard dan Visa, hingga ketika ini masih tetap mengandalkan TFA konvensional untuk proses verifikasi menyerupai 3D secure atau SMS, dengan proses verifikasi masih harus memasukkan PIN OTP secara manual dan tidak mengadopsi metode once click approval.
Verifikasi Satu Klik dan Bahayanya
Implementasi verifikasi satu klik memang memudahkan pengguna layanan yang memakai TFA OTP alasannya yakni proses verifikasi tidak perlu lagi repot membuka aplikasi otentikasi seperti: Google Authenticator, Authy, atau SMS, dan memasukkan PIN otentikasi secara manual. Cukup hanya mengklik 1 tombol [Confirm] saja sudah cukup untuk melaksanakan verifikasi.
Sejatinya, proses verifikasi memang sebaiknya tidak terlalu gampang dan setidaknya membutuhkan sedikit perjuangan untuk menghindari kesalahan verifikasi yang tidak disengaja. Hal ini juga sesuai dengan metode TFA-OTP yang memanfaatkan jalur yang berbeda dalam menyimpan atau mengirimkan kata kunci / PIN verifikasi. Sebagai pola kredensial Username dan Password biasanya disimpan di komputer / ponsel pada file belakang layar atau Password Manager dan OTP dikirimkan melalui jalur lain menyerupai Token TFA, SMS, USSD Code atau email. Tujuannya terperinci supaya ada dua faktor yang berbeda pada proses otentikasi sehingga memperlihatkan tingkat keamanan lebih tinggi.
Namun alasannya yakni alasan kemudahan, Verifikasi satu klik mulai banyak diadopsi oleh layanan utama internet menyerupai Google, Firefox, Microsoft, dan terakhir oleh Whatsapp. Sebagai contoh, verifikasi PIN melalui SMS yang seharusnya dimasukkan secara manual oleh pengguna Whatsapp kemudian diotomasi dimana 6 angka aktivasi yang dikirimkan melalui SMS akan di deteksi dan dikopikan secara otomatis ke dalam box verifikasi dan pengguna hanya perlu menyetujui tanpa perlu memasukkan 6 angka PIN aktivasi tersebut (lihat gambar 2)
Gambar 2, Proses verifikasi Whatsapp yang secara otomatis mengkopikan PIN OTP dari SMS
|
Prinsip sekuriti tidak menyarankan hal ini alasannya yakni pengguna tidak melalui proses otentikasi dengan sempurna. Pengguna terkadang tidak menyadari bahwa ia sedang melaksanakan satu proses verifikasi, yang akan berdampak besar menyerupai pengalihan akun Whatsapp-nya ke nomor telepon lain.
Jika proses verifikasi hal ini terjadi pada login akun Firefox, Gmail, atau Microsoft setiap kali memakai layanan baru, aplikasi baru, komputer baru, ponsel baru, atau peramban baru, yang terjadi rutin dan sering dilakukan, kemungkinan pengguna menciptakan kesalahan akan lebih kecil alasannya yakni hal ini cukup sering dilakukan.
Tetapi kalau hal ini diterapkan pada aktivasi akun Whatsapp atau penggantian nomor telepon yang terasosiasi pada akun Whatsapp yang sangat jarang dilakukan dan hanya dilakukan pada ketika mengganti HP gres atau mengganti nomor telepon baru, dengan rata-rata itu belum tentu dilakukan setahun sekali, pengguna Whatsapp tentu kurang familiar dengan proses ini sehingga sanggup dengan gampang memperlihatkan persetujuan secara tidak sengaja.
Celakanya lagi, proses pemindahan nomor telepon yang terasosiasi dengan akun Whatsapp ini sanggup diinisiasi dari nomor telepon gres tanpa memerlukan verifikasi apapun, dengan pemilik nomor gres hanya perlu melaksanakan proses pancingan seperti ia yakni pemilik nomor telepon Whatsapp usang dan memasukkan nomor Whatsapp yang di incarnya dan menunggu korbannya lengah dan tidak sengaja menyetujui proses pemindahan nomor telepon. (lihat gambar 3)
Gambar 3, Proses pemingahan nomor telepon Whatsapp sanggup di inisiasi oleh pembajak tanpa batasan proses verifikasi
|
Semua proses verifikasi terjadi di nomor telepon lama/pemilik akun yang sah. Jika pemilik akun usang yang sah secara tidak sadar, baik alasannya yakni kurang mengerti dengan proses verifikasi, salah mengerti proses verifikasi, atau tidak sengaja menyetujui proses verifikasi, maka pemindahan akun Whatsapp akan sah berpindah tangan. Dengan kata lain: WhatsApp dibajak.
Sistem Whatsapp seharusnya tidak memasukkan PIN otentikasi secara otomatis alasannya yakni itu mempermudah verifikasi yang tidak disengaja. Selain itu, seharusnya Whatsapp menambahkan otentikasi perhiasan pada nomor telepon gres dengan setiap nomor anyar yang ingin melaksanakan inisiasi pemindahan nomor telepon akun Whatsapp juga harus memasukkan satu PIN otentikasi yang hanya dikirimkan ke nomor usang ketika proses inisiasi dilakukan. Ini akan menciptakan pembajak jadi lebih sulit menginisiasi dan melaksanakan pemindahan akun Whatsapp.
Cara Mencegah Akun WhatsApp Dibajak
Sambil menunggu Whatsapp untuk menyempurnakan sistem verifikasi pemindahan akun yang gampang dieksploitasi ini, penulis menyarankan Anda untuk berhati-hati kalau mendapat SMS verifikasi penggantian nomor telepon WhatsApp. Jangan sekali-kali disetujui atau klik tanpa mengerti apa yang sedang anda lakukan.
Selain itu, Anda juga sanggup mengaktifkan PIN untuk masuk ke WhatsApp anda, di mana kalau terjadi akun Anda berhasil diambil alih oleh pembajak, ia tetap membutuhkan PIN perhiasan untuk membuka akun WhatsApp yang dibajaknya. (lihat gambar 4)
Gambar 4, PIN sumbangan perhiasan TSV Two Step Verification akan mencegah akun Whatsapp anda dibuka pembajak
|
Caranya yakni klik 3 titik pada aplikasi WhatsApp anda, kemudian pilih [Settings] [Account][Two-step verification], dan masukkan PIN Anda. Ingat, aktifkan alamat email pada proses TSV ini sebagai cadangan kalau Anda lupa PIN perhiasan tersebut. Jika tidak dan Anda benar-benar lupa PIN, maka tidak ada cara lain untuk mengembalikan PIN perhiasan itu.
——
*) Alfons Tanujaya, jago keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memperlihatkan informasi dan edukasi perihal malware dan sekuriti bagi komunitas IT Indonesia.
Sumber detik.com