Ahli IT Ungkap 9 Faktor Akun WhatsApp Diretas & Tips Menghindarinya
Kasus peretasan akun WhatsApp milik aktivis Ravio Patra bukanlah yang pertama kali terjadi. Hal ini juga pernah dialami beberapa pengguna lainnya, salah satunya Direktur Utama PT Tempo Inti Media Toriq Hadad.
Para ahli informasi teknologi mengungkapkan setidaknya ada sembilan faktor yang menyebabkan peretasan WhatsApp terjadi. Ada pula sejumlah tips untuk menghindarinya.
Pertama, secara tidak sengaja korban menyetujui verifikasi sistem keamanan dua langkah atau two-factor authentication. "Caranya, peretas perlu nomor baru untuk mengaktifkan nomor sasaran dan kemudian diverifikasi melalui kode one time password yang bisa juga dilakukan melalui fitur pengalihan panggilan," ujar Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya kepada Katadata.co.id, Jumat (24/4).
Kedua, peretas asal menebak kode OTP akun WhatsApp sasaran hingga mendapatkan kode yang sesuai. "Tapi itu sangat kecil kemungkinannya, mencoba menebak kode OTP sebanyak 10 kali saja harus menunggu setengah jam, coba 11 kali sudah 60 menit," ujar Alfons.
Ketiga, peretas bisa menyusupi serangan malware atau trojan di perangkat sasaran. Ketika perangkat korban sudah terkena serangan siber, maka peretas akan lebih mudah mengambil alih akun WhatsApp sasarannya.
(Baca: WhatsApp Diretas, Aktivis Ravio Justru Dikabarkan Ditangkap Polisi)
Keempat, meretas akun WhatsApp korban dengan duplikasi nomor. Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha menyebut cara ini pernah terjadi pada kasus pembobolan rekening wartawan senior Ilham Bintang.
Peretas berhasil menduplikasi nomor Indosat korban sehingga dapat pula langsung memakai akun WhatsApp korban. "Namun kelemahan dari cara ini adalah saat mengaktifkan WhatsApp dengan sim card duplikasi, nomor WhatsApp korban di smartphone miliknya langsung tidak aktif sehingga korban langsung tahu bahwa akunnya telah dibajak," ujar Pratama kepada Katadata.co.id, Jumat (24/4).
Kelima, peretas bisa melakukan aksi dengan cara mengirimkan tautan alias link (Uniform Resource Locator) maupun gambar dan tipografi Graphics Interchange Format (GIF) yang berisi virus. "Virus dan malware yang disusupkan ini bisa mengambil alih Whatsapp," ujar Pratama.
Keenam, dengan menyadap komunikasi handphone korban, baik dengan cara pencegatan aktif atau pasif (active/passive intercept). Ketujuh, melakukan peretasan kepada pihak ketiga penyedia layanan SMS BLAST yang mengirimkan kode OTP ke handphone korban.
Kedelapan, melalui akses fisik kepada smartphone korban. "Akses fisik ini sangat penting, sehingga jangan sampai smartphone kita dipegang orang lain. Hal ini memungkinkan orang lain bisa menginstal malware dan virus ke perangkatnya," ujar dia.
Kesembilan, peretas dapat menggunakan perangkat mata-mata atau pegasus untuk mengambil alih semua informasi di smartphone korban, termasuk akun WhatsApp miliknya.
Whatsapps adalah layanan pesan singkat paling populer pada tahun lalu, seperti terlihat dalam databoks di bawah ini.
Alfons dan Pratama pun memberikan sejumlah tips agar pengguna WhatsApp terhindar dari kasus peretasan akun. Salah satunya, menggunakan WhatsApp dengan versi terbaru. Hal ini bertujuan untuk menjaga keamanan akses pada akun pengguna.
Selanjutnya, pengguna harus berhati-hati ketika menerima verifikasi OTP. Jangan pernah menyetujuinya apabila tidak bermaksud untuk memberikan alih ke nomor baru atau perangkat lain.
Terakhir, mengaktifkan sistem two-factor authentication. Hal ini bertujuan sebagai pengamanan ekstra terhadap akun pengguna agar tidak mudah diretas oleh pihak lain.
(Baca: Akun Aktivis Pengkritik Stafsus Jokowi Diretas, WhatsApp Beri 6 Tips)
Sebelumnya, akun WhatsApp Ravio Patra diretas dan digunakan untuk menyebarkan pesan provokasi. Ravio pun dikabarkan telah ditangkap kepolisian. Namun, juru bicara WhatsApp enggan berkomentar mengenai hal itu.
“Meskipun kami tidak dapat memberikan tanggapan terkait pengguna tertentu, perhatian utama kami yakni keamanan orang-orang yang menggunakan layanan,” katanya kepada Katadata.co.id, kemarin (23/4).
Ia menegaskan bahwa pesan pengguna disimpan di dalam perangkat dan dilindungi oleh enkripsi end-to-end. “Meskipun serangan-serangan itu tidak dapat mengakses riwayat pesan Anda, kami sangat mendorong semua pengguna untuk melindungi akun dengan fitur verifikasi dua langkah,” ujar dia.