 |
| MFA Kini Makin Gampang Dibobol! Ini Alasannya dan Cara Lindungi Akun Kamu. |
JAKARTA - Di dunia digital yang serba cepat kayak sekarang, login pakai password doang udah nggak cukup aman. Makanya, banyak layanan online mulai pakai MFA (Multi-Factor Authentication) — semacam lapisan keamanan tambahan buat ngejaga akun kita. Tapi masalahnya, ternyata sekarang makin banyak serangan siber yang bisa nge-bypass MFA. Nah, lho! Gimana bisa?
MFA Bukan Lagi Pengaman yang Kebal Serangan
MFA itu pada dasarnya butuh dua hal buat masuk ke akun: biasanya kombinasi antara password dan kode tambahan. Kode ini bisa dikirim lewat SMS, email, atau dihasilkan dari aplikasi autentikasi kayak Google Authenticator. Jadi meskipun password kamu ketahuan, si hacker tetap butuh kode tambahan buat bisa masuk. Kelihatannya aman, ya?
Tapi sayangnya, sekarang udah ada trik licik yang bisa ngebobol sistem ini. Nama tekniknya "adversary in the middle" alias serangan perantara. Dan kabar buruknya, sekarang teknik ini gampang banget dipakai bahkan sama orang yang nggak terlalu paham teknologi.
Phishing + MFA = Kombinasi Maut
Jadi gini cara kerjanya. Si penyerang kirim pesan ke calon korban, pura-pura dari bank, Google, atau layanan lainnya. Isinya bilang akun kamu kena masalah dan harus segera login buat konfirmasi. Di situ disisipin link yang kelihatannya sah, tapi ternyata palsu. Misalnya bukan https://accounts.google.com, tapi https://accounts.google.com.evilproxy[.]com. Kelihatan mirip banget, kan?
Nah, pas kamu klik link itu, kamu dibawa ke situs palsu yang tampilannya mirip 100% sama situs aslinya. Kamu masukin username dan password kayak biasa. Tapi ternyata, situs itu adalah perantara yang langsung ngoper data kamu ke situs aslinya.
Setelah itu, kamu dikirimi kode MFA oleh Google (yang sebenarnya diminta oleh hacker). Kamu masukin kode itu karena kamu pikir lagi login ke situs asli, padahal kamu bantu hacker buat login ke akun kamu sendiri. Bahkan kalau kamu pakai MFA berbasis notifikasi push di HP, hacker bisa minta kamu klik tombol "Approve", dan... boom, akun kamu diambil alih.
Kenapa MFA Bisa Dibobol?
Masalah utamanya adalah kode MFA itu sendiri masih bisa di-phish. Kalau formatnya cuma angka atau notifikasi sederhana, hacker tinggal salin atau manfaatkan klik dari korban. Dan karena sekarang ada banyak toolkit “phishing-as-a-service” di dark web (kayak Tycoon 2FA, EvilProxy, Mamba 2FA, dsb), siapa pun bisa bikin situs phishing dengan mudah.
Bahkan ada kasus besar tahun 2022 di mana teknik ini dipakai buat nyuri lebih dari 10.000 kredensial dari 137 organisasi, termasuk perusahaan besar kayak Twilio.
Solusi: Gunakan MFA yang Lebih Canggih (WebAuthn)
Untungnya, masih ada harapan. Salah satu cara paling efektif buat lawan serangan perantara kayak gini adalah pakai MFA berbasis WebAuthn. Ini teknologi yang lebih aman karena punya dua keunggulan besar:
-
Terikat sama URL asli – Jadi kredensial kamu cuma bisa dipakai di situs asli, misalnya
https://accounts.google.com, dan bakal gagal kalau dicoba dievilproxy[.]com. -
Terkunci di perangkat kamu – Artinya cuma bisa digunakan di device kamu sendiri (laptop, HP, Yubikey), bukan di server perantara si hacker.
Perusahaan seperti Cloudflare udah buktiin keampuhan WebAuthn. Mereka sempat jadi target serangan, tapi nggak kebobolan karena udah pakai sistem ini.
Saatnya Upgrade Sistem Keamananmu
Phishing makin canggih, dan MFA tradisional kayak kode OTP atau push notification makin rentan dibobol. Tapi itu bukan berarti kita nggak punya pilihan.
Kalau kamu pengin akun kamu benar-benar aman, pertimbangkan buat pakai MFA berbasis WebAuthn atau U2F. Banyak layanan besar udah dukung teknologi ini, dan penggunaannya juga makin gampang. Jadi yuk, jangan nunggu akun diretas dulu baru panik. Lebih baik mencegah daripada kena hack!
*BACA BERITA TERKINI LAINNYA DI GOOGLE NEWS
