Rusia Dituding Bertanggung Jawab atas Serangan Phishing Signal terhadap Pejabat Jerman
Jerman secara resmi mengaitkan kampanye phishing canggih dengan aktor yang didukung negara Rusia, setelah ratusan target berprofil tinggi, termasuk menteri federal, anggota Bundestag, dan diplomat, memiliki akun Signal mereka yang disusupi. Kantor Jaksa Federal Jerman telah membuka penyelidikan spionase resmi, menjadikan insiden ini sebagai salah satu intrusi siber yang didukung negara paling signifikan yang menargetkan tokoh-tokoh politik Jerman dalam ingatan belakangan ini.
Serangan tersebut tidak membobol enkripsi Signal. Sebaliknya, serangan ini mengeksploitasi sesuatu yang jauh lebih sulit untuk ditambal: kepercayaan manusia.
Cara Kerja Serangan Phishing Signal
Para penyerang berpura-pura sebagai staf dukungan Signal, mengirimkan pesan palsu yang mendorong target untuk menyerahkan kode verifikasi akun mereka. Setelah mendapatkan kode-kode tersebut, para peretas dapat menautkan akun Signal korban ke perangkat yang dikendalikan penyerang, sehingga memberikan akses penuh ke percakapan pribadi dan daftar kontak, secara real time, tanpa perlu membobol enkripsi dasar aplikasi tersebut.
Teknik ini dikenal sebagai pembajakan perangkat tertaut, dan sangat berbahaya karena Signal, secara desain, tidak memerlukan kata sandi untuk membaca pesan setelah akun ditautkan. Enkripsi yang membuat Signal begitu dipercaya di kalangan jurnalis, aktivis, dan pejabat pemerintah secara efektif dilewati begitu penyerang mengendalikan perangkat yang tertaut.
Pelajaran di sini bukan bahwa Signal tidak aman. Melainkan bahwa tidak ada satu alat keamanan pun, tidak peduli seberapa canggih rekayasanya, yang dapat melindungi pengguna yang tertipu untuk menyerahkan kredensial mereka.
Mengapa Aplikasi Terenkripsi Saja Tidak Cukup
Serangan ini menggambarkan kesenjangan kritis dalam cara banyak orang, termasuk para profesional yang seharusnya lebih tahu, memandang keamanan digital. Aplikasi pesan terenkripsi melindungi data dalam perjalanan. Mereka tidak melindungi terhadap rekayasa sosial, titik akhir yang disusupi, atau manipulasi tingkat akun.
Aktor ancaman yang didukung negara, khususnya mereka yang memiliki sumber daya signifikan dan kesabaran operasional, cenderung menargetkan lapisan manusia justru karena lapisan teknis sangat sulit untuk ditembus. Jauh lebih mudah meyakinkan seseorang untuk menyerahkan kode verifikasi daripada membobol enkripsi modern.
Inilah mengapa para profesional keamanan secara konsisten mengadvokasi pertahanan berlapis daripada mengandalkan satu alat saja. Setiap lapisan perlindungan tambahan memaksa penyerang untuk mengatasi satu rintangan lagi, dan dalam praktiknya, sebagian besar penyerang akan beralih ke target yang lebih mudah daripada menghabiskan sumber daya untuk target yang dibentengi.
Apa Artinya Bagi Anda
Sebagian besar orang yang membaca ini bukan menteri federal Jerman. Namun taktik yang digunakan dalam kampanye ini tidak unik untuk target pemerintah bernilai tinggi. Serangan phishing yang meniru aplikasi dan layanan populer adalah salah satu ancaman paling umum yang dihadapi pengguna sehari-hari, dan peniruan identitas Signal telah didokumentasikan di berbagai negara selama dua tahun terakhir.
Berikut adalah apa yang ditekankan kasus Jerman bagi siapa pun yang mengandalkan pesan terenkripsi untuk komunikasi sensitif:
Kode verifikasi adalah kunci akun Anda. Tidak ada layanan yang sah, termasuk Signal, yang akan pernah meminta Anda berbagi kode verifikasi melalui pesan obrolan atau email. Jika seseorang meminta kode Anda, permintaan tersebut adalah penipuan, tanpa pengecualian.
Perangkat tertaut adalah permukaan serangan yang nyata. Meninjau perangkat yang tertaut ke akun Signal Anda secara berkala (tersedia di Pengaturan di bawah Perangkat Tertaut) hanya membutuhkan sekitar tiga puluh detik dan dapat mengungkap akses tidak sah sebelum kerusakan signifikan terjadi.
Autentikasi dua faktor menambahkan penghalang yang berarti. Signal menawarkan fitur Kunci Registrasi, yang memerlukan PIN sebelum akun Anda dapat didaftarkan ulang di perangkat baru. Mengaktifkannya adalah salah satu langkah paling sederhana dan paling efektif yang dapat Anda ambil. Lebih jauh lagi, menggunakan aplikasi autentikator daripada SMS untuk 2FA di semua akun secara signifikan meningkatkan biaya pengambilalihan akun bagi penyerang.
Keamanan perangkat sama pentingnya dengan keamanan aplikasi. Jika perangkat yang menjalankan Signal disusupi melalui malware atau akses fisik, enkripsi memberikan sedikit perlindungan. Menjaga sistem operasi tetap diperbarui, menggunakan PIN perangkat yang kuat atau biometrik, dan menghindari aplikasi yang dipasang dari luar toko resmi mengurangi risiko ini secara substansial.
Kesadaran tingkat jaringan juga penting. Mengakses akun sensitif melalui jaringan publik yang tidak tepercaya menciptakan paparan tambahan. VPN yang terpercaya dapat mengurangi risiko intersepsi lalu lintas ketika Anda tidak berada di jaringan yang Anda kendalikan, meskipun itu hanya salah satu lapisan di antara beberapa lapisan lainnya, bukan solusi yang lengkap.
Gambaran yang Lebih Besar
Serangan phishing Signal Jerman adalah pengingat bahwa enkripsi terkuat di dunia tidak dapat mengkompensasi budaya kesadaran keamanan yang hilang. Ketika aktor negara yang canggih bersedia berinvestasi dalam kampanye rekayasa sosial yang sabar dan terarah terhadap para pembuat undang-undang dan diplomat, pengguna biasa yang menangani informasi pribadi atau profesional yang sensitif menghadapi versi ancaman yang serupa, meskipun dengan sumber daya yang lebih sedikit.
Respons yang tepat bukan kepanikan, dan bukan meninggalkan alat seperti Signal, yang tetap menjadi salah satu opsi pesan paling aman yang tersedia. Respons yang tepat adalah membangun kebiasaan dan pertahanan berlapis yang membuat rekayasa sosial lebih sulit dilakukan. Tinjau perangkat tertaut Anda, aktifkan kunci registrasi, perlakukan permintaan kode verifikasi yang tidak diminta sebagai tanda bahaya otomatis, dan pandang postur keamanan Anda sebagai serangkaian perlindungan yang saling tumpang tindih daripada satu aplikasi yang melakukan semua pekerjaan.
