Tiga Modus Penjahat Siber Mengambil Alih Akun WhatsApp

Cyberthreat.id – Isu peretasan WhatsApp yang paling canggih muncul pada tahun lalu yang diduga memakai alat spionase (spyware) bernama “Pegasus” buatan NSO Group asal Israel.

Aktivis-aktivis HAM di Amnesty International menyebut NSO Group telah menjual teknologinya ke sejumlah negara yang dipakai untuk memata-matai jurnalis, aktivis, dan pengacara.

NSO Group membantah bahwa teknologi buatannya dipakai untuk mematai-matai, tapi alat yang dijual adalah untuk membantu melawan serangan teroris.

"Ada banyak mitos negatif tentang kami. Kami tidak mengoperasikan teknologi, kami bukan perusahaan mata-mata, kami tidak menjual kepada siapa pun dan kami tidak membocorkan informasi pelanggan," kata Dolev baru-baru ini di konferensi “Mind the Tech” di Tel Aviv,seperti diberitakan ThreatPost, Rabu (27 November 2019). (Baca: Presiden NSO Group: Tuduhan Spyware adalah Mitos Negatif)

Namun, tahukah Anda bahwa serangan terhadap WhatsApp juga dilakukan metode yang simpel. Dalam unggahan di akun Instagram-nya, Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri menyebutkan, ada tiga cara yang dapat dilakukan peretas guna mengambil alih akun WhatsApp milik korban.

Pertama, melalui kode sandi sekali pakai (One-time password/OTP)

Kode OTP yang dikirimkan WhatsApp berisikan 6 digit dan diterima pengguna lewat SMS atau panggilan telepon. Kode OTP ini dipakai sebagai langkah verifikasi ketika mendaftarkan nomor telepon ke WhatsApp.

"Memverifikasi nomor telepon menggunakan kode registrasi adalah satu-satunya cara untuk mengaktifkan akun. Anda harus dapat menerima kode tersebut pada telepon Anda,” tulis WhatsApp di situs webnya.

Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, kepada Cyberthreat.id, Jumat (11 Desember 2020), membenarkan bahwa pembajakan akun WhatsApp bisa melalui kode OTP.

Salah satu cara yang biasa dipakai peretas untuk membajak akun WhatsApp korban adalah dengan teknik penipuan atau rekayasa sosial (social engineering).

Teknik rekayasa sosial, kata dia, adalah paling sering dipakai peretas untuk mengambil alih kode OTP. Sederhananya, peretas merayu calon korban agar mau mengirimkan kode OTP.

Modus rekayasa sosial yang pernah dilakukan peretas untuk mengambil alih kode OTP, salah satunya, berkedok salah kirim SMS yang berisikan kupon game. (Baca: Hati-hati, Pembajakan Akun WhatsApp Berkedok Voucher Game Indomaret)

Kedua, melalui aplikasi SMS Forwarder

Teknik ini, menurut Alfons, pada dasarnya adalah peretas ingin mengambil kode OTP. Namun, cara yang dipakai oleh peretas adalah melalui aplikasi pihak ketiga.

Banyak aplikasi SMS Forwarder tersedia bebas di Google Play Store, tapi jarang ada di App Store. Hanya satu aplikasi serupa yang berada di toko aplikasi Apple, yaitu Forward SMS texting w/2 phones.

Menurtu Alfons, aplikasi tersebut memang bisa dipakai untuk mengambil alih SMS korban, hanya teknik ini sangat bergantung pada korban.

Teknik ini memang sedikit sulit karena peretas harus terlebih dulu menginstal aplikasi SMS Forwarder di ponsel korban, lalu memasukkan nomor ponsel peretas ke aplikasi tersebut.

Artinya, kata Alfons, peretas harus merebut ponsel korban, lalu menginstal aplikasi tadi ke ponsel korban. “Agak sulit secara teknis,” ujarnya.

Alfons sekali lagi mengingatkan agar pengguna ponsel pintar tak usah memakai atau mengaktifkan aplikasi SMS Forwarder karena berisiko.

Video tentant SMS Forwarder ini bisa Anda lihat di sini.

Ketiga, melalui SMS Auto Divert yang disediakan oleh operator seluler

Secara tujuan, teknik ini sama halnya dengan dua sebelumnya. Sama-sama ingin mengambil alih pesan SMS yang berisi kode OTP. Bedanya, SMS Auto Divert ini fitur resmi yang disediakan oleh operator seluler, bukan aplikasi pihak ketiga.

Fitur ini dapat mengalihkan SMS yang diterima ke nomor lainnya—dalam kasus ini nomor peretas.

Alfons mengatakan, semua operator seluler memiliki fitur-fitur tersebut. "Fitur ini merupakan layanan value added yang diberikan oleh provider, jadi setiap SMS langsung di forward oleh provider ke nomor yang telah tentukan,” ujarnya.

Di Telkomsel, misalnya, melalui panggilan *500*22#. Ketika dipanggil, selanjutnya di layar ponsel akan muncul beberapa pilihan yakni Auto Reply, Auto Copy, Auto Divert, BlackList, Whitelist, dan Info Layanan.

Saat Auto Divert dipilih, muncul keterangan bahwa fitur itu akan meneruskan SMS yang diterima pengguna ke nomor yang didaftarkan pengguna ketika mengaktifkan Auto Divert. Selain untuk mengaktifkan, ada pula pilihan pengaturan dan berhenti. Untuk mengaktifkannya, pengguna akan diminta membayar tarif Rp 265 per SMS.

Fitur serupa itu di setiap operator seluler memiliki nama-nama yang berbeda. Misalnya, Forward SMS terdapat di XL Axiata dengan kode *123*571#. Ketika memanggil itu, ada pilihan yakni penawaran SMS HITZ, blacklist, copy SMS, forward SMS, info, dan Unreg.

Layanan Forward SMS dikenai biaya Rp 7.700 per 30 hari atau  Rp 550 persen SMS.

Alfons menganjurkan agar pengguna menghindari mengaktifkan fitur Auto Divert atau SMS Forwarder. "Jangan digunakan,” ujar dia.

Pasalnya, andaikata peretas berhasil mengambil akun WhatsApp melalui teknik SMS Forwarder, Alfons mengatakan, susah bagi korban mengambil kembali akunnya.

Korban tak cukup hanya mencopot aplikasi, lalu menginstal ulang dan mendaftarkan lagi nomor ponselnya. Sebab, SMS korban telah dikuasai oleh peretas, apa pun pesan yang diterima, termasuk kode OTP yang dipakai untuk registrasi, selalu beradas di tangan peretas.

Berbeda halnya jika peretas tidak menguasai SMS, tapi sebatas diberi nomor kode OTP oleh korban yang teperdaya rayuan peretas (social engineering). Menurut Alfons, ketika korban mengalami ini, akun yang dibajak masih bisa dikembalikan dengan meregistrasi ulang akun WhatsApp-nya dengan kode OTP baru.[]

Redaktur: Andi Nugroho