Credit image: Freepix
Gawat! Autentikasi Tahan Phising Bobol – Dalam upaya melawan serangan phising yang kian marak, metode autentikasi modern seperti passkey dan protokol FIDO2/WebAuthn telah digadang-gadang sebagai solusi yang hampir kebal phising.
Metode ini dirancang untuk menggantikan kata sandi tradisional dengan teknologi yang jauh lebih aman, membuat penipu tidak bisa mencuri kredensial hanya dengan menipu Anda agar memasukkannya ke situs palsu.
Namun, laporan terbaru menunjukkan bahwa para penyerang siber tidak tinggal diam. Mereka telah mengembangkan taktik baru yang cerdik untuk melewati sistem keamanan ini.
Alih-alih mencuri kata sandi, mereka sekarang berfokus untuk menipu pengguna agar secara sukarela menyetujui permintaan login yang sah, tetapi atas nama penyerang.
|
Baca juga: Phising Phyton |
Apa Itu Autentikasi Tahan Phising?
Secara sederhana, autentikasi tahan phising bekerja dengan cara yang sangat berbeda dari kata sandi. Ketimbang menggunakan kunci yang sama untuk semua pintu (seperti kata sandi yang bisa dicuri dan digunakan berulang kali), metode ini menggunakan kunci digital unik untuk setiap situs web.
Ketika Anda membuat passkey untuk sebuah situs, perangkat Anda (misalnya ponsel atau laptop) akan menghasilkan sepasang kunci: satu kunci publik yang disimpan di situs web, dan satu kunci privat yang tersimpan dengan aman di perangkat Anda.
Kunci ini terikat pada situs web tersebut. Artinya, bahkan jika penipu berhasil mencuri kunci privat dari perangkat Anda, kunci itu tidak akan berfungsi di situs lain. Inilah yang membuatnya “tahan phising.”
Taktik Baru untuk Menipu Pengguna
Karena metode lama tidak lagi berhasil, para penyerang kini beralih ke rekayasa sosial yang lebih canggih. Berikut adalah beberapa taktik berbahaya yang mereka gunakan:
1. Trik Login Lintas Perangkat
Ini adalah salah satu serangan yang paling licik.
- Penyerang membuat situs web palsu yang terlihat persis seperti portal perusahaan atau situs bank Anda.
- Ketika Anda mencoba login di situs palsu tersebut, penyerang secara bersamaan memulai permintaan login yang asli di situs yang sah dari sisi mereka.
- Sistem keamanan Anda, yang terhubung ke ponsel, akan mengirimkan notifikasi persetujuan login. Anda melihat notifikasi ini di ponsel dan mengira itu berasal dari situs palsu yang sedang Anda buka.
- Tanpa curiga, Anda menekan tombol “Setujui” di ponsel Anda.
Pada momen inilah Anda telah jatuh ke dalam perangkap. Sebenarnya, Anda baru saja menyetujui permintaan login yang sah untuk penyerang, yang sekarang memiliki akses penuh ke akun Anda di situs asli.
2. Serangan Downgrade
Dalam serangan ini, penyerang mencoba memanipulasi browser Anda agar menggunakan metode otentikasi yang lebih lemah. Mereka mengarahkan Anda ke situs palsu yang terhubung dengan protokol yang tidak aman (HTTP, bukan HTTPS).
Browser Anda, dalam keadaan tertentu, akan dipaksa untuk menggunakan login berbasis kata sandi yang lebih lama, yang jauh lebih mudah untuk dicuri.
3. Menyalahgunakan Protokol OAuth
Serangan ini menargetkan cara aplikasi berbagi informasi. Penyerang membuat aplikasi pihak ketiga palsu dan menipu Anda untuk memberikannya izin melalui protokol OAuth.
Dengan izin ini, mereka bisa mendapatkan token akses, yang memungkinkan mereka masuk ke akun Anda dan melakukan berbagai tindakan tanpa memerlukan kata sandi Anda sama sekali.
|
Baca juga: Waspada Data Pribadi di Media Sosial |
Tetap Aman di Tengah Ancaman Baru
Meskipun sistem keamanan terus berevolusi, elemen terlemah dalam rantai keamanan seringkali adalah kita sendiri. Kunci untuk tetap aman adalah dengan meningkatkan kewaspadaan Anda.
- Periksa Alamat URL dengan Sangat Cermat: Sebelum menyetujui permintaan login apa pun, SELALU periksa kembali alamat URL di bilah alamat browser Anda. Pastikan itu adalah domain yang benar dan tidak ada salah eja atau karakter aneh.
- Berhenti dan Berpikir Sejenak: Jika Anda menerima notifikasi persetujuan login di ponsel Anda, tanyakan pada diri sendiri: “Apakah saya sedang mencoba login ke situs ini sekarang?” Jika jawabannya tidak, segera tolak permintaan tersebut.
- Baca Detail Permintaan Persetujuan: Ketika Anda menerima notifikasi di ponsel, bacalah baik-baik informasi yang tertera. Pastikan permintaan itu datang dari aplikasi yang sah dan sesuai dengan tindakan yang sedang Anda lakukan.
- Aktifkan MFA pada Semua Akun Penting: Jika Anda belum menggunakan passkey, pastikan Anda setidaknya mengaktifkan Otentikasi Multi-Faktor (MFA) berbasis aplikasi (seperti Google Authenticator) pada semua akun penting Anda. Ini memberikan lapisan pertahanan ekstra yang kuat.
Perkembangan teknologi keamanan memang sangat membantu, tetapi kewaspadaan pribadi tetap menjadi benteng terkuat Anda. Jangan biarkan kecanggihan teknologi membuat Anda lengah.
Sumber berita:
