Sebagai pengguna teknologi seperti email maupun aplikasi, tentu Anda sudah tidak asing lagi dengan teknologi autentikasi dua faktor/dua lapis (two-factor authentication/2FA) dan dikenal pula dengan One Time Password (OTP) untuk menjaga keamanan akun. 2FA sendiri memiliki beberapa model seperti 2FA melalui email, 2FA SMS, 2FA Facebook dan juga 2FA Google atau yang dikenal dengan Google Authenticator.
Dengan teknologi ini, para pengguna harus mencocokkan kode yang dikirimkan melalui email, sms dan aplikasi untuk bisa mengakses akun. Tentu cara ini terbilang sangat aman untuk menghindari upaya peretas mencuri akun yang Anda miliki. Karena, dengan 2FA ini pengguna harus memasukkan dua sandi. Dimana sandi utama dan sandi kode pada aplikasi atau kode yang dikirimkan melalui aplikasi. Sayangnya, baru-baru ini beradar informasi bahwa para peretas memiliki cara untuk melakukan bypass 2FA untuk mengakses akun pengguna, hal ini dilaporkan oleh Amnesty International pada 19 Desember 2018.
Bagaimana bisa peretas melakukan bypass 2FA?
Amnesty International menjelaskan, sebelum peretas melakukan bypass, peretas memulainya dengan menggunakan otomasi melalui phising untuk mendapatkan nama pengguna dan password memanfaatkan alamat web palsu dengan memanfaatkan Typo. Contoh, Anda ingin mengunjungi website kami dengan domain www.sales1crm.com. Sedangkan peretas sudah menyediakan alamat website dengan domain www.sales1crn.com untuk mencuri akun dan sandi Anda.
Karena sistem yang digunakan oleh peretas adalah sistem otomatis yang dapat menduplikasi data, ketika Anda memasukkan 2FA pada website palsu, peretas pun sudah berhasil membawa akun Anda. Artinya, peretas dapat mengubah sandi Anda dengan cepat dan menonaktifkan 2FA pada akun Anda karena sudah memiliki akses untuk membuka akun yang Anda miliki.
Ini akan berbeda apabila penyedia aplikasi atau email memberlakukan 2FA untuk setiap aktivitas seperti mengganti password dan menonaktifkan 2FA, maka kemungkinan untuk kehilangan akun masih bisa dihindari. Meskipun terdapat celah saat penggunaan 2FA ini, kesalahan utama yang terjadi adalah dikarenakan pengguna mengakses website phising. Bukan karena keamanan 2FA yang tidak dapat dipercaya. Amnesty International tetap menyarankan pengguna untuk tetap menggunakan 2FA namun tetap berhati-hati saat membuka akun yang Anda miliki.
Apabila Anda memiliki peringatan melalui email, pastikan dulu nama pengirim dan domain pengirim. Cocokkan dengan email yang Anda terima saat mendaftarkan akun. Anda juga dapat menggunakan ekstensi browser untuk mendeteksi fake website. Perlu diketahui, email menjadi cara yang paling mudah bagi peretas untuk mengelabuhi pengguna agar mengunjungi website phising. Jika pengguna tidak memperhatikan alamat pengirim dan juga nama domain website yang ia kunjungi, maka pengguna akan dengan mudah kehilangan akun-akun penting di internet. Lumrahnya, website palsu yang dibuat oleh peretas di desain sedemikian rupa hingga mirip dengan website aslinya. Jika pengguna melupakan nama domain, sudah pasti ia dapat kehilangan akun tersebut.
Ilustrasi (c) nakedsecurity.sophos.com