Perkembangan Teknologi
Login dengan Verifikasi 2 Langkah, Akun Masih Bisa Diretas
08 January 2019 15:32
Jakarta, CNBC Indonesia - Demi keamanan, sering sekali ketika membuat akun online banyak platform yang menggunakan two-factor authentication. Sistem ini akan mengirimkan kode verifikasi ke ponsel pengguna ketika log-in.
Banyak para profesional keamanan siber menyarankan masyarakat untuk mengaktifkan two-factor authentication untuk menambah lapisan keamanan. Tetapi menurut Kevin Mitnick itu belum tentu aman.
Kevin Mitnick pernah menjadi hacker paling dicari FBI, bahkan setelah tertangkap dia sempat tidak boleh sama sekali menggunakan komputer. Namun sekarang Ia membantu meningkatkan keamanan siber perusahaan dan menemukan bahwa two-factor authentication memiliki kerentanan.
"Hanya dengan mengaktifkan two-factor authentication, Anda tidak bisa tenang... penyerang (hacker) pintar bisa mendapatkan akses ke akun Anda," kata Kevin Mitnick dalam sebuah wawancara dengan CNBC International. Ia adalah kepala peretasan di KnowBe4, sebuah perusahaan keamanan siber yang melatih orang untuk mengenali phishing
Kevin Mitnick mengatakan kepada CNBC International bahwa Ia mengetahui kerentanan online dapat ditemukan siapa saja.
"Alat melakukan serangan ini telah diumumkan kepada publik. Jadi, anak berusia 13 tahun dapat mengunduh alat ini dan benar-benar melakukan serangan ini," ujar Kevin Mitnick, seperti dikutip Selasa (8/1/2019). Menurut Kevin Mitnick, serangan itu dimulai ketika seorang penjahat dunia maya mengirimkan email yang tampak nyata, dan meminta penerima untuk mengklik tautan.
Setelah pengguna mengklik tautan, mereka diarahkan untuk masuk ke situs web asli, termasuk memasukkan kode yang dikirim ke ponsel mereka.
Namun, secara diam-diam, peretas log-in, masuk melalui server dan mereka bisa mendapatkan cookies session, jelas Kevin Mitnick. "Jika kita dapat mencuri cookies session pengguna, kita bisa menjadi mereka, dan kita tidak memerlukan nama pengguna, kata sandi, atau two-factor authentication mereka," kata Mitnick.
Kevin Mitnick menunjukkan kepada CNBC International bahwa Ia dapat memasukkan kode itu ke browsernya. "Ketika saya menekan tombol refresh, saya akan secara ajaib masuk ke akun korban," katanya.
Kevin Mitnick menggunakan LinkedIn untuk melakukan demo serangan CNBC, tetapi mengatakan banyak situs web lain juga rentan. Email yang dikliknya tampak seperti permintaan koneksi LinkedIn yang sebenarnya, tetapi sebenarnya berasal dari domain palsu, lnked.com bukan Linkedin.com.
Ia mengatakan kebanyakan orang mungkin tidak menyadari perbedaannya. "Bukan LinkedIn yang rentan. Ini pengguna yang sebenarnya ... Ini cacat keamanan faktor manusia," kata Mitnick.
Dalam sebuah pernyataan, Mary-Katharine Juric, juru bicara LinkedIn menganggap demonstrasi Mitnick "sangat serius," dan LinkedIn memiliki "sejumlah langkah teknis yang dilakukan untuk melindungi anggota kami dari aktivitas penipuan termasuk penipuan phishing."
Ia menambahkan: "Ketika kami mendeteksi jenis kegiatan ini, kami bekerja untuk menghapusnya dengan cepat dan mencegah kemunculan kembali di masa mendatang. Kami sangat menganjurkan pengguna untuk melaporkan pesan atau posting yang mereka yakini sebagai penipuan online."
Serangan ini adalah bagian dari apa yang dikenal sebagai rekayasa sosial (social engineering). Sebuah teknik hacking dengan cara mengelabui pengguna, contohnya ketika peretas mengambil keuntungan dari perilaku manusia untuk membuat Anda melakukan sesuatu, seperti mengklik tautan. Cara lain untuk melindungi diri sendiri adalah memperhatikan email yang Anda dapatkan, bahkan jika Anda menggunakan two-factor authentication.
"Rekayasa sosial jika Anda melakukannya dengan benar dapat digunakan untuk masuk ke hampir semua hal," kata Stu Sjouwerman, CEO KnowBe4'S. Untuk melindungi dari serangan seperti ini, beberapa perusahaan membuat alat yang disebut kunci keamanan.
(roy/roy)
Banyak para profesional keamanan siber menyarankan masyarakat untuk mengaktifkan two-factor authentication untuk menambah lapisan keamanan. Tetapi menurut Kevin Mitnick itu belum tentu aman.
Kevin Mitnick pernah menjadi hacker paling dicari FBI, bahkan setelah tertangkap dia sempat tidak boleh sama sekali menggunakan komputer. Namun sekarang Ia membantu meningkatkan keamanan siber perusahaan dan menemukan bahwa two-factor authentication memiliki kerentanan.
"Hanya dengan mengaktifkan two-factor authentication, Anda tidak bisa tenang... penyerang (hacker) pintar bisa mendapatkan akses ke akun Anda," kata Kevin Mitnick dalam sebuah wawancara dengan CNBC International. Ia adalah kepala peretasan di KnowBe4, sebuah perusahaan keamanan siber yang melatih orang untuk mengenali phishing
Kevin Mitnick mengatakan kepada CNBC International bahwa Ia mengetahui kerentanan online dapat ditemukan siapa saja.
 Foto: dok. CNBC.com |
"Alat melakukan serangan ini telah diumumkan kepada publik. Jadi, anak berusia 13 tahun dapat mengunduh alat ini dan benar-benar melakukan serangan ini," ujar Kevin Mitnick, seperti dikutip Selasa (8/1/2019). Menurut Kevin Mitnick, serangan itu dimulai ketika seorang penjahat dunia maya mengirimkan email yang tampak nyata, dan meminta penerima untuk mengklik tautan.
Setelah pengguna mengklik tautan, mereka diarahkan untuk masuk ke situs web asli, termasuk memasukkan kode yang dikirim ke ponsel mereka.
Namun, secara diam-diam, peretas log-in, masuk melalui server dan mereka bisa mendapatkan cookies session, jelas Kevin Mitnick. "Jika kita dapat mencuri cookies session pengguna, kita bisa menjadi mereka, dan kita tidak memerlukan nama pengguna, kata sandi, atau two-factor authentication mereka," kata Mitnick.
Kevin Mitnick menunjukkan kepada CNBC International bahwa Ia dapat memasukkan kode itu ke browsernya. "Ketika saya menekan tombol refresh, saya akan secara ajaib masuk ke akun korban," katanya.
 Foto: dok. CNBC.com |
Kevin Mitnick menggunakan LinkedIn untuk melakukan demo serangan CNBC, tetapi mengatakan banyak situs web lain juga rentan. Email yang dikliknya tampak seperti permintaan koneksi LinkedIn yang sebenarnya, tetapi sebenarnya berasal dari domain palsu, lnked.com bukan Linkedin.com.
Ia mengatakan kebanyakan orang mungkin tidak menyadari perbedaannya. "Bukan LinkedIn yang rentan. Ini pengguna yang sebenarnya ... Ini cacat keamanan faktor manusia," kata Mitnick.
Dalam sebuah pernyataan, Mary-Katharine Juric, juru bicara LinkedIn menganggap demonstrasi Mitnick "sangat serius," dan LinkedIn memiliki "sejumlah langkah teknis yang dilakukan untuk melindungi anggota kami dari aktivitas penipuan termasuk penipuan phishing."
Serangan ini adalah bagian dari apa yang dikenal sebagai rekayasa sosial (social engineering). Sebuah teknik hacking dengan cara mengelabui pengguna, contohnya ketika peretas mengambil keuntungan dari perilaku manusia untuk membuat Anda melakukan sesuatu, seperti mengklik tautan. Cara lain untuk melindungi diri sendiri adalah memperhatikan email yang Anda dapatkan, bahkan jika Anda menggunakan two-factor authentication.
"Rekayasa sosial jika Anda melakukannya dengan benar dapat digunakan untuk masuk ke hampir semua hal," kata Stu Sjouwerman, CEO KnowBe4'S. Untuk melindungi dari serangan seperti ini, beberapa perusahaan membuat alat yang disebut kunci keamanan.
(roy/roy)
