Ini Cara Mengantisipasi Pembajakan Akun WhatsApp
Konten dari Pengguna
31 Desember 2018 12:02 WIB
Tulisan dari Alfons Tanujaya tidak mewakili pandangan dari redaksi kumparan
PerbesarADVERTISEMENT
kumparan Hadir di WhatsApp Channel
Follow
Hati-hati jika ada teman menghubungi anda melalui Whatsapp dan mengaku kartu ATM-nya terblokir atau dengan 1001 alasan dan ujung-ujungnya duit alias pinjam uang kepada anda, dan menjanjikan untuk segera mengembalikannya kepada anda. Pastikan kalau orang yang menghubungi anda adalah benar teman anda dengan menelpon secara langsung sebelum melakukan transfer.
ADVERTISEMENT
Teliti akun tujuan transfer tersebut dan anda perlu ekstra hati-hati jika nama tujuan transfer tidak sesuai dengan nama teman anda. Kemungkinan besar anda sedang menjadi incaran penipu.
PerbesarPenipuan ini pada dasarnya memanfaatkan akun Whatsapp yang berhasil dibajak dan disalahgunakan untuk menipu teman-teman anda yang ada dalam kontak Whatsapp tersebut. Mengapa banyak korban yang tertipu?
Selain karena korbannya baik hati (tidak berprasangka) dan kurang waspada, secara tidak langsung, pembajakan akun Whatsapp juga disebabkan oleh sistem penggantian nomor telepon Whatsapp yang mudah dieksploitasi dengan teknik rekayasa sosial. Sehingga dapat dimanfaatkan untuk mengelabui korban--pengguna Whatsapp--yang rata-rata awam dan tidak terbiasa dengan proses penggantian akun dan tidak sadar menyetujui penggantian nomor telepon yang terasosiasi dengan akun Whatsapp-nya.
ADVERTISEMENT
Celakanya, sistem Whatssapp secara otomatis akan memberikan penuh semua hak kepada nomor pembajak, seperti hak administrator pada grup Whatsapp, hingga foto profil Whatsapp pada nomor baru (pembajak) akan sama dengan akun yang dibajak, sehingga teman Whatsapp akan sulit mengidentifikasi jika terjadi pembajakan akun dan mudah tertipu.
Pemilik akun Whatsapp yang asli pun tidak akan bisa mengambil kembali akun yang dibajak tersebut karena sistem Whatsapp menganggap bahwa dengan proses pengalihan akun yang tidak sengaja diverifikasi oleh pemilik akun lama tersebut adalah proses yang sah berdasarkan One Time Password (OTP) yang dikirimkan ke SMS HP lama. Padahal, sistem Whatsapp secara tidak langsung mempermudah pembajakan akun karena secara otomatis memasukkan OTP dari SMS ke dalam box persetujuan, di mana seharusnya dimasukkan secara manual oleh pemilik akun.
ADVERTISEMENT
Teknik Penipu dalam Membajak Akun Whatsapp
Tentunya, banyak pengguna Whatsapp yang penasaran (termasuk penulis), bagaimana sistem Whatsapp bisa memungkinkan pembajakan akun ini dan satu kesalahan klik pada SMS bisa berakibat sedemikian fatal. Teknik yang digunakan oleh pembajak sangat sederhana tapi cukup efektif.
PerbesarPertama-tama, pembajak akan menentukan nomor telepon pemilik akun Whatsapp yang diincarnya. Umumnya, nomor telepon yang memiliki nilai tinggi, seperti administrator pada grup Whatsapp dengan anggota yang banyak, selebriti, atau orang yang cukup berpengaruh.
Besar kemungkinan, pembajak pernah bergabung dalam grup yang dikelola oleh korban, atau setidaknya mengetahui reputasi korban yang diincarnya (targeted victims). Setelah mengetahui nomor yang diincar, pembajak tinggal membeli kartu prabayar dan meng-install aplikasi Whatsapp dan menggunakan fitur change number/mengganti nomor.
PerbesarPada gambar di atas, pembajak akan memasukkan nomor telepon pemilik akun Whatsapp yang diincar pada (old phone number) dan memasukkan nomornya sendiri pada (new phone number).
ADVERTISEMENT
Sebenarnya, fitur ini adalah fitur yang disediakan oleh Whatsapp untuk memudahkan pengguna Whatsapp berganti nomor telepon. Namun, fitur ini rupanya dapat disalahgunakan untuk membajak akun Whatsapp.
Sistem Whatsapp akan melakukan pengamanan dengan mengirimkan SMS ke nomor lama/old number.
PerbesarJadi kuncinya, selama pemilik nomor telepon lama tidak memberikan persetujuan atas perubahan nomor telepon akun Whatsapp tersebut, maka proses pengalihan akun tidak akan berhasil. Namun, yang menjadi catatan adalah pembajak bisa memancing sistem Whatsapp untuk mengirimkan SMS dari nomor telepon baru manapun tanpa adanya pembatasan. Sehingga siapa pun yang memiliki nomor telepon baru akan bisa memancing sistem Whatsapp untuk mengirimkan SMS persetujuan ke nomor apapun yang diincarnya.
Celakanya, pada banyak telepon pintar, dengan hanya membuka SMS yang masuk (pada nomor telepon lama), secara otomatis, 6 angka aktivasi akan dimasukkan pada layar aktivasi seperti gambar 4 di atas, dan jika tombol (Next) di klik, maka tanpa basa basi akun Whatsapp akan berhasil dibajak.
ADVERTISEMENT
Dari sisi sekuriti, sebenarnya pengamanan yang dilakukan Whatsapp secara prinsip sudah benar karena persetujuan pengalihan nomor dikirimkan ke nomor lama. Namun, ada dua hal yang menjadi celah dan perlu mendapatkan penyempurnaan.
Pertama, inisiasi pengalihan nomor dapat dilakukan dari nomor telepon siapa pun di dunia ini, dan jika dipadukan dengan kelemahan kedua, di mana Whatsapp akan secara otomatis memasukkan 6 angka PIN pengalihan yang dikirimkan melalui SMS ke dalam box persetujuan pengalihan nomor telepon tanpa disadari oleh pemilik akun dan hanya dengan mengklik tombol (Next) saja maka proses pengalihan (pembajakan) akun ini akan sah secara sistem.
Apa artinya jika akun anda berhasil dibajak ?
ADVERTISEMENT
Pencegahan
Belajar dari kasus di atas, kita sebagai pengguna Whatsapp harus berhati-hati dalam menyetujui sesuatu dan jangan mudah mengklik (Next), (I Agree), atau (Finish) tanpa mengerti sebenarnya apa yang sedang kita setujui.
Ada satu tips berharga yang mungkin bisa mencegah penyalahgunaan akun meskipun akun berhasil dibajak. Jika akun Whatsapp mengaktifkan PIN TSV Two-step verification (sejenis TFA) pada akun Whatsapp anda.
PerbesarSekalipun akun anda berhasil di bajak, pembajak tidak akan bisa menggunakan akun anda tanpa PIN TSV yang sudah anda tentukan dan mendapatkan pesan seperti gambar di bawah ini :
PerbesarNamun, anda harap berhati-hati karena jika anda mengaktifkan TSV, anda harus mem-back up dengan alamat email yang anda kuasai. Sebab, jika anda lupa PIN TSV anda, tidak ada cara recovery, kecuali melalui alamat email yang terdaftar dan akun Whatsapp anda akan terformat dan datanya hilang.
ADVERTISEMENT
Salam,
Alfons Tanujaya