Teknogav.com – Teknik phishing yang dimanfaatkan penjahat siber untuk melewati langkah keamanan autentikasi dua faktor (2FA) terus berevolusi dengan canggih. Pengamanan 2FA sudah diadopsi secara luas di situs web dan banyak organisasi mewajibkan penerapan 2FA ini. Namun, Kaspersky berhasil mengungkap evolusi canggih dari teknik phishing dengan metode canggih yang dikembangkan penyerang untuk menembus pengamanan 2FA tersebut. Metode ini memadukan phishing dengan bot OTP otomatis untuk menipu pengguna dan mendapatkan akses secara tidak sah ke akun.
Fitur keamanan 2FA sudah menjadi praktik standar dalam keamanan online. Auntentikasi kedua dibutuhkan untuk melakukan verifikasi identitas pengguna, biasanya menggunakan kata sandi satu kali (OTP) yang dikirim atau aplikasi autitentikator. Pengiriman OTP tersebut bisa ke SMS, aplikasi messenger instan seperti WhatsApp atau email. Tujuan lapisan keamanan tambahan ini adalah melindungi akun pengguna walau kata sandi disusupi. Namun, penipu lebih lihai mengembangkan cara untuk mengelabui pengguna agar mengungkap OTP sehingga bisa lolos perlindungan 2FA tersebut.
Baca juga: Pertumbuhan Serangan Phishing Tahun 2023 Mencapai 40%, Ini Tips Menghindarinya!
Penipu menggunakan bot OTP untuk mencegat OTP dengan rekayasa sosial. Kredensial login pengguna diperoleh melalui phishing dan kebocoran data, sehingga penyerang bisa login ke akun pengguna. Saat login, tentu OTP akan dikirim ke media yang digunakan pengguna untuk pengiriman OTP. Nah, penyerang berusaha memperoleh OTP tersebut melalui bot OTP yang menelpon pengguna. Bot OTP tersebut menyamar sebagai perwakilan dari organisasi terpercaya dan menggunakan dialog yang diatur untuk membujuk korban memberikan OTP tersebut. Jika penyerang berhasil memperoleh OTP, maka OTP tersebut akan digunakan untuk mengakses akun korban.
Panggilan telepon dipiplih penipu dibandingkan pesan karena cenderung ditanggapi calon korban dengan cepat. Bot dapat meniru nada dan mendesaknya panggilan yang sah, sehingga terdengar lebih meyakinkan. Pengelolaan bot OTP dilakukan melalui panel online khusus atau platform pengiriman pesan seperti Telegram. Berbagai fitur dan paket berlangganan menyertai bot tersebut, sehingga bisa disesuaikan untuk meniru organisasi berbeda, dengan berbagai bahasa. Bot tersebut bahkan menyediakan pilihan suara pria atau wanita. Pilihan lanjutan mencakup spoofing nomor telepon yang dapat menampilkan ID seolah-olah dari organisasi yang sah.
Situs phishing yang meniru halaman masuk bank online |
Kredensial korban harus dimiliki penipu sebelum memakai bot OTP. Biasanya, kredensial diperoleh melalui situs web phishing yang dirancang menyerupai halaman login resmi bank, layanan email dan akun online lain. Ketika nama pengguna dan kata sandi dimasukkan, informasi tersebut direkam penipu secara real-time.
Baca juga: Jaringan Bisnis Asia Tenggara Terhambat Phishing Finansial selama Tahun 2023
Hasil penelitian Kaspersky menunjukn bahwa serangan bot phishing dan OTP berdampakk signifikan. Produk Kaspersky berhasil mencegah 653.088 upaya mengunjungi situs phishing yang menargetkan perbankan selama periode 1 Maret-31 Mei 2024. Data situs phishing tersebut biasa digunakan dalam serangan bot OTP. Sejumlah 4.721 halaan phishing yang dibuat kit untuk melewati 2FA secara real-time juga berhasil dideteksi teknologi Kaspersky selama periode tersebut.
“Rekayasa sosial bisa sangat rumit, terutama dengan penggunaan bot OTP yang dapat meniru panggilan nyata dari representatif layanan atau organisasi resmi. Penting untuk tetap waspada dan mengikuti praktik keamanan terbaik. Melalui penelitian dan inovasi berkelanjutan, Kaspersky memberikan solusi keamanan mutakhir untuk menjaga kehidupan digital,” ucap Olga Svistunova, pakar keamanan di Kaspersky.
Tips Terhindar dari Teknik Phishing
Penerapan keamanan 2FA tidak selalu mudah, Kaspersky memberikan beberapa tips berikut ini agar senantiasa terlindung dari teknik phishing:
- Jangan membuka tautan dari email mencurigakan. Biasakan masuk akun dengan mengetik alamat secara manual atau memakai bookmark
- Pastikan alamat situs web benar dan tak ada kesalahan ketik sebelum memasukkan kredensial. Pakai Whois untuk memeriksa situs web, jika baru didaftarkan, kemungkinan besar situs tersebut merupakan situs penipuan
- Jangan mengucapkan atau memasukkan OTP saat sedang menelpon, tidak peduli seberapa meyakinkan suara penelpon. Bank dan perusahaan biasanya tak menggunakan metode tersebut untuk melakukan verifikasi data
- Pakai solusi produk yang memberikan perlindungan real-time, visibilitas ancaman, investigasi, serta kemampuan respons EDR dan XDR. Upaya ini penting untuk melindungi perusahaan berbagai kala dan sektor dari bermacam-macam ancaman. Salah satu solusi yang bisa dipilih adalah Kaspersky Next yang tingkatnya dapat dipilih sesuai kebutuhan. Solusi ini juga mudah untuk migrasi ke tingkat produk lain jika persyaratan keamanan siber yang dimiliki berubah
- Tanamkan inevstasi pada pelatihan keamanan siber tambahan agar karyawan selalu mendapat informasi terkini. Pelatihan Kaspersky Expert memiiliki orientasi praktis, para profesional InfoSec dapat meningkatkan keterampilan teknis dan kemampuan mempertahankan perusahaan dari serangan cangih. Format yang palilng sesuai dapat dipilih secara mandiri, mengikuti kursus online dan pelatihan langsung dari para ahlii
Demikianlah beberapa tips dari Kaspersky agar senantiasa aman dari teknik phishing.