Apakah enkripsi Signal benar-benar diretas atau dibobol?

Tidak, enkripsi Signal tidak dibobol. Serangan tersebut mengeksploitasi perilaku pengguna melalui phishing, bukan kelemahan apa pun pada kode atau protokol kriptografi Signal.

Bagaimana penyerang mendapatkan akses ke akun Signal?

Penyerang menipu pengguna agar memindai kode QR berbahaya atau mengklik tautan yang menambahkan perangkat penyerang sebagai perangkat tertaut pada akun korban, memberi mereka salinan langsung dari pesan yang masuk.

Siapa target utama dari serangan phishing Signal ini?

Target bernilai tinggi seperti jurnalis, aktivis, pengacara, dan pejabat pemerintah menjadi fokus utama, karena mengkompromikan akun mereka membawa implikasi serius bagi komunikasi sensitif.

Apakah pengguna Signal harus berhenti menggunakan aplikasi ini karena serangan-serangan ini?

Tidak, Signal tetap menjadi salah satu platform pesan yang paling dapat dipercaya dan enkripsinya masih melindungi pesan dari penyadapan saat transit. Serangan-serangan ini menyoroti bahwa enkripsi hanyalah satu lapisan keamanan, dan pengguna harus tetap waspada terhadap upaya phishing.

Mengapa Pengguna Signal Diretas (Bukan Aplikasinya)

Q: Apa itu fitur perangkat tertaut dan mengapa fitur ini dieksploitasi?

Perangkat tertaut adalah fitur Signal yang sah yang memungkinkan pengguna mengakses akun mereka dari beberapa ponsel atau komputer secara bersamaan. Para penyerang mengeksploitasinya dengan membuat kode QR atau tautan berbahaya yang secara diam-diam menambahkan perangkat mereka sendiri ke akun korban.

Enkripsi Signal Baik-Baik Saja. Penggunanyalah yang Menjadi Target.

Signal telah lama dikenal sebagai standar emas untuk pesan pribadi. Enkripsi ujung ke ujungnya secara matematis kuat, kodenya bersumber terbuka, dan protokolnya dipercaya oleh para peneliti keamanan di seluruh dunia. Maka ketika muncul laporan bahwa peretas yang terkait dengan Rusia berhasil mengkompromikan akun Signal milik pengguna-pengguna terkemuka, pertanyaan yang wajar pun muncul: apakah Signal diretas?

Jawaban singkatnya adalah tidak. Enkripsi Signal tidak dibobol. Yang dibobol adalah sesuatu yang jauh lebih sulit untuk ditambal: kepercayaan manusia.

Menurut laporan, para penyerang menggunakan kampanye phishing yang canggih untuk menipu pengguna Signal agar memberikan akses akun dengan sukarela. Metode yang digunakan biasanya melibatkan peringatan keamanan palsu yang tampak sangat resmi, mendorong target untuk menautkan perangkat baru ke akun mereka. Begitu hal itu terjadi, penyerang menerima salinan langsung dari pesan korban secara real time, tanpa pernah menyentuh server Signal atau membobol satu baris enkripsi pun.

Ini adalah perbedaan yang krusial. Aplikasinya bukan celah kerentanannya. Perilaku penggunanyalah yang menjadi kerentanan.

Cara Serangan Ini Sebenarnya Bekerja

Signal mendukung fitur sah yang disebut perangkat tertaut, yang memungkinkan pengguna mengakses akun mereka dari beberapa ponsel atau komputer secara bersamaan. Para penyerang mengeksploitasi fitur ini dengan membuat kode QR atau tautan berbahaya yang, ketika dipindai atau diklik, secara diam-diam menambahkan perangkat penyerang ke akun korban.

Pesan phishing dirancang untuk menciptakan rasa urgensi. Pesan tersebut mungkin mengklaim bahwa akun pengguna telah dikompromikan, bahwa mereka perlu memverifikasi identitas mereka, atau bahwa pembaruan keamanan memerlukan tindakan segera. Target bernilai tinggi yang sedang tertekan lebih cenderung bertindak cepat dan kurang teliti dalam memeriksa permintaan tersebut.

Setelah ditautkan, penyerang tidak perlu mendekripsi apa pun. Mereka cukup membaca pesan begitu pesan itu masuk, dalam teks biasa, sama seperti yang dilakukan perangkat tertaut yang sah. Mereka juga dapat menyamar sebagai korban dalam percakapan yang sedang berlangsung, yang membawa implikasi serius bagi jurnalis, aktivis, pengacara, pejabat pemerintah, dan siapa pun yang menangani komunikasi sensitif.

Gaya serangan ini kadang-kadang disebut serangan rekayasa sosial atau pengambilalihan akun melalui akses yang diotorisasi. Serangan ini tidak memerlukan eksploitasi zero-day, tidak ada pembobolan server, dan tidak ada sihir kriptografi. Hanya diperlukan satu kesalahan dari target.

Apa Artinya Ini Bagi Anda

Jika Anda menggunakan Signal karena peduli terhadap privasi, berita ini seharusnya tidak membuat Anda meninggalkan aplikasi tersebut. Signal tetap menjadi salah satu platform pesan yang paling dapat dipercaya, dan enkripsi dasarnya terus melindungi pesan dari penyadapan saat transit. Namun situasi ini adalah pengingat bahwa enkripsi hanyalah satu lapisan dari postur keamanan, bukan segalanya.

Pikirkan seperti ini: pintu brankas hanya efektif jika seseorang tidak menyerahkan kuncinya kepada penyerang yang mengaku sebagai tukang kunci.

Bagi kebanyakan pengguna sehari-hari, risiko dari kampanye terkait Rusia yang spesifik ini tergolong rendah. Target yang dilaporkan adalah individu-individu terkemuka, kemungkinan orang-orang yang terlibat dalam pekerjaan politik, militer, atau jurnalistik yang sensitif. Namun taktik yang digunakan tidaklah eksotis. Serangan phishing menggunakan peringatan keamanan palsu umum terjadi di setiap platform, dan fitur perangkat tertaut tidak hanya ada di Signal.

Pengguna yang sadar privasi di tingkat risiko mana pun seharusnya memperlakukan aplikasi pesan mereka seperti cara profesional keamanan memperlakukan sistem sensitif apa pun: dengan pertahanan berlapis dan kewaspadaan yang berkelanjutan.

Langkah Praktis untuk Melindungi Akun Signal Anda

Berikut adalah yang dapat Anda lakukan sekarang untuk mengurangi paparan risiko Anda:

Audit perangkat tertaut Anda secara berkala. Menu pengaturan Signal menampilkan setiap perangkat yang saat ini ditautkan ke akun Anda. Jika Anda melihat sesuatu yang tidak familiar, segera hapus. Jadikan ini pemeriksaan rutin, bukan tindakan sekali saja.

Bersikaplah sangat skeptis terhadap peringatan keamanan. Aplikasi yang sah jarang mengirim pesan mendesak yang meminta Anda memindai kode QR atau mengklik tautan untuk memverifikasi akun Anda. Anggap setiap permintaan semacam itu sebagai mencurigakan secara default, meskipun tampak resmi.

Aktifkan kunci registrasi Signal. Fitur ini memerlukan PIN sebelum akun Anda dapat didaftarkan ulang di perangkat baru. Ini menambah hambatan bagi penyerang yang mencoba mengambil alih akun.

Lindungi perangkat itu sendiri. Enkripsi Signal melindungi pesan saat transit. Jika ponsel Anda tidak terkunci dan diserahkan kepada seseorang, atau dikompromikan oleh malware, perlindungan itu berakhir. Kata sandi perangkat yang kuat, kunci biometrik, dan menjaga sistem operasi Anda tetap diperbarui semuanya penting.

Pertimbangkan keamanan jaringan Anda yang lebih luas. Bagi pengguna yang menangani komunikasi yang benar-benar sensitif, mengarahkan lalu lintas melalui VPN terkemuka menambahkan lapisan anonimitas yang mempersulit penyerang untuk memprofilkan aktivitas Anda, mengidentifikasi lokasi Anda, atau melakukan pengintaian yang sering mendahului phishing yang ditargetkan. VPN tidak memperbaiki phishing, tetapi ini adalah bagian dari pendekatan berlapis yang mengurangi paparan risiko secara keseluruhan.

Verifikasi melalui jalur lain. Jika Anda menerima pesan mencurigakan bahkan dari kontak yang dikenal, konfirmasikan permintaan tersebut melalui saluran yang sepenuhnya terpisah — panggilan telepon, percakapan langsung, atau aplikasi lain — sebelum mengambil tindakan apa pun.

Pelajaran dari serangan phishing Signal ini bukan bahwa pesan terenkripsi tidak berguna. Melainkan bahwa tidak ada satu alat pun yang merupakan solusi lengkap. Signal melindungi pesan Anda dengan sangat baik. Melindungi akun Anda mengharuskan Anda untuk tetap waspada terhadap cara-cara penyerang mencoba menghindari teknologi sepenuhnya — dengan menargetkan Anda.

Enkripsi Signal Baik-Baik Saja. Penggunanyalah yang Menjadi Target.

Cara Serangan Ini Sebenarnya Bekerja

Apa Artinya Ini Bagi Anda

Langkah Praktis untuk Melindungi Akun Signal Anda

// FAQ

// Terkait