REPUBLIKA.CO.ID, SEMARANG -- Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha mengungkap modus peretasan dan pengambilalihan nomor seluler sejumlah awak redaksi Narasi. Modus itu antara lain, dengan malware (perangkat lunak berbahaya) dan mengakses kode verifikasi sekali pakai OTP.
Dalam percakapan WA dengan kantor berita Antara di Semarang, Senin petang, pakar keamanan siber itu mengatakan peretasan tersebut bisa dengan cara mengakses one time password (OTP) atau sistem pengamanan akun berupa kata sandi (password) yang bersifat sekali pakai.
Pratama menjelaskan cara mengakses OTP melalui beberapa cara, yakni: pertama, dengan memalsukan identitas, lalu membuat SIM card di provider; kedua, mengakses OTP lewat akses provider telekomunikasi.
Secara teknis, kata dia, memang memungkinkan tindakan peretasan ke sejumlah aset digital seseorang, seperti media sosial dan aplikasi pesan instan. Adapun cara paling mudah adalah memalsukan dokumen kartu tanda penduduk (KTP) dan datang ke kantor cabang provider telekomunikasi untuk meminta pergantian SIM card.
"Mereka bisa mengaku sebagai pemilik nomor dengan memalsukan KTP sesuai dengan registrasi terdaftar tadi. Ini sangat memungkinkan karena ada data bocor registrasi SIM card sebelumnya, jadi bisa digunakan," kata Pratama.
Selain itu, lanjutnya, pelaku peretasan juga bisa melakukan akses terhadap OTP provider telekomunikasi dengan bantuan layanan pihak ketiga. Adapun tujuannya ialah untuk memperoleh OTP yang dikirimkan setelah ada permintaan (request) dari aplikasi.
Dengan demikian, katanya, pelaku tidak perlu mengirimkan pesan penipuan untuk meminta OTP kepada target. Hal ini sering dilakukan oleh para penipu dengan mengaku sebagai kasir minimarket dan meminta OTP.
Pratama mengaku pernah menjadi korban peretasan Telegram dan WhatsApp. Jadi,OTP yang harusnya masuk ke perangkat (device)Pratama diambil oleh pelaku terlebih dahulu dan tidak masuk ke perangkatnya.
"Namun, akun bisa saya ambil lagi karena mengaktifkan two factor authentication (otentikasi dua faktor) atau two step verification (verifikasi dua langkah)," ujarnya.
Dalam kasusnya, kata dia, para pelaku tidak meminta OTP karena sepertinya mereka mempunyai akses untuk mendapatkan OTP. Oleh karena itu, perlu cek ke layanan pihak ketiga yang membantu OTP providertelekomunikasi.
Disebutkan pula bahwa beberapa usaha yang bisa dilakukan untuk mencegah aset digital kita diambil lewat cara takeover (pengambilalihan) via pergantian SIM carddi provider atau intersept di provider. Minimal mengaktifkan two factor authentication di aplikasi pesan instan dan media sosial.
Ketika nomor ponsel diambil alih pihak lain, mereka belum tentu bisa login. Di beberapa aplikasi, bahkan sudah secara default, pengguna nomor ponsel diminta masukkan PIN tambahan selain password dan OTP. Dengan demikian, ada pengamanan tambahan.
Untuk menghindari peretasan WhatsApp dan media sosial lainnya, lanjut Pratama, minimal harus mengaktifkan two factor authentication atau two step verification pada semua akun media sosial dan pesan instan.
"Selain itu, jangan lupa memasang antivirus, anti-walware pada smartphone," kata pakar keamanan siber Pratama Persadha.
Ikuti Whatsapp Channel Republika
