Metode Phishing Terbaru yang Mampu Bobol 2FA Terungkap
- Istimewa
VIVA Tekno – Kaspersky, perusahaan keamanan terkemuka, telah mengungkap evolusi teknik phishing yang semakin canggih.
Teknik tersebut biasanya digunakan oleh penjahat siber untuk menghindari otentikasi dua faktor (2FA), sebuah langkah keamanan kunci yang dirancang untuk melindungi akun online.
Walaupun 2FA telah diadopsi secara luas oleh banyak situs web dan diwajibkan oleh banyak organisasi, penyerang telah mengembangkan metode canggih yang menggabungkan phishing dengan bot OTP (One-Time Password) otomatis untuk menipu pengguna dan mendapatkan akses yang tidak sah ke akun mereka.
Ilustrasi cek nomor tak dikenal di smartphone / main HP.
- TechnoPixel
2FA adalah fitur keamanan yang telah menjadi standar dalam dunia online. Fitur ini mengharuskan pengguna untuk memverifikasi identitas mereka menggunakan metode kedua, biasanya berupa kata sandi satu kali (OTP) yang dikirimkan melalui pesan teks, email, atau aplikasi otentikasi.
Fitur ini ditujukan untuk melindungi akun pengguna bahkan jika kata sandi mereka telah diretas. Namun, penipu telah menemukan cara untuk memperdaya pengguna agar memberikan OTP tersebut, sehingga memungkinkan mereka melewati lapisan keamanan 2FA.
Bot OTP adalah alat yang digunakan oleh penipu untuk mencuri OTP melalui rekayasa sosial. Penyerang biasanya mencoba untuk mendapatkan kredensial login pengguna melalui phishing atau kebocoran data, kemudian mereka login ke akun tersebut untuk memicu pengiriman OTP ke ponsel pengguna.
Ilustrasi Teknik Phishing
- Istimewa
Setelah itu, bot OTP akan menelepon pengguna dan berpura-pura menjadi perwakilan dari organisasi yang sah, menggunakan dialog yang telah diprogram sebelumnya untuk membujuk korban agar memberikan OTP tersebut. Akhirnya, penyerang akan menerima OTP melalui bot dan menggunakannya untuk mendapatkan akses ke akun korban.
Penipu lebih memilih panggilan telepon daripada pesan karena panggilan tersebut meningkatkan kemungkinan korban merespons dengan cepat. Bot dapat meniru nada dan urgensi panggilan yang sah, sehingga membuatnya lebih meyakinkan. Penipu mengelola bot OTP melalui panel online khusus atau platform pengiriman pesan seperti Telegram.
Bot ini memiliki berbagai fitur dan paket berlangganan, dan dapat disesuaikan untuk meniru organisasi yang berbeda, menggunakan berbagai bahasa, dan bahkan memilih antara suara laki-laki dan perempuan. Fitur lanjutan termasuk spoofing nomor telepon, yang membuat ID penelepon tampak berasal dari organisasi yang sah.
Sebelum menggunakan bot OTP, penipu harus mencuri kredensial korban. Mereka sering menggunakan situs web phishing yang menyerupai halaman login resmi dari bank, layanan email, atau akun online lainnya. Saat korban memasukkan nama pengguna dan kata sandinya, penipu menangkap informasi tersebut secara real-time.
Penelitian dari Kaspersky menunjukkan dampak signifikan dari serangan bot phishing dan OTP ini. Dalam periode tertentu, produk perusahaan mencegah ribuan upaya mengunjungi situs phishing yang menargetkan sektor perbankan, yang seringkali digunakan dalam serangan dengan bot OTP. Selama periode yang sama, teknologi Kaspersky mendeteksi ribuan halaman phishing yang bertujuan untuk melewati otentikasi dua faktor secara real-time.
“Rekayasa sosial bisa menjadi sangat rumit, terutama dengan penggunaan bot OTP yang dapat meniru panggilan nyata dari representatif layanan atau organisasi yang sah. Penting untuk tetap waspada dan mengikuti praktik keamanan terbaik. Melalui penelitian dan inovasi berkelanjutan, Kaspersky memberikan solusi keamanan mutakhir untuk menjaga kehidupan digital,” komentar Olga Svistunova, pakar keamanan di Kaspersky.
