Penulis: Christoper Rosa
Terjemahan: AididiaoJP, Foresight News
Pada akhir pekan lalu, muncul berita mengenai beredarnya dataset besar yang berisi 16 miliar identitas pengguna, termasuk data dari pelanggaran sebelumnya dan data login yang baru dicuri. Tidak jelas siapa yang memperbarui dan menerbitkan kembali dataset tersebut. Meskipun sebagian besar database merupakan pengulangan dari pelanggaran sebelumnya, fakta bahwa dataset ini diperbarui kembali sangat mengganggu. Dataset ini dianggap sebagai salah satu koleksi akun yang terkompromi terbesar yang pernah ada. Para peretas menggunakan data ini untuk melakukan berbagai serangan, dan saya menjadi salah satu target mereka.
Pengalaman Serangan Phishing
Serangan phishing yang saya alami pada perangkat dan akun pribadi saya pada 19 Juni adalah yang paling canggih yang pernah saya temui dalam karir keamanan siber saya selama satu dekade. Para penyerang pertama-tama menciptakan ilusi bahwa akun saya diserang di berbagai platform, kemudian berpura-pura sebagai karyawan Coinbase dan menawarkan bantuan. Mereka menggabungkan taktik rekayasa sosial klasik dengan taktik terkoordinasi melalui pesan teks, panggilan telepon, dan email palsu, semuanya dirancang untuk menciptakan rasa urgensi, kredibilitas, dan skala yang menipu. Jangkauan dan otoritas dari serangan palsu ini adalah kunci dari sifat penipuan tersebut.
Di bawah ini, saya akan merinci proses serangan, menganalisis tanda-tanda bahaya yang saya perhatikan selama proses tersebut, dan langkah-langkah perlindungan yang saya ambil. Pada saat yang sama, saya akan membagikan pelajaran kunci dan saran praktis untuk membantu investor cryptocurrency tetap aman di lingkungan ancaman yang semakin meningkat.
Proses Serangan
Data historis dan data yang baru-baru ini bocor dapat digunakan oleh peretas untuk melakukan serangan multi-saluran yang sangat terarah. Ini sekali lagi menegaskan pentingnya perlindungan keamanan berlapis, mekanisme komunikasi pengguna yang jelas, dan strategi respons waktu nyata. Baik institusi maupun pengguna individu dapat memperoleh alat praktis dari kasus ini, termasuk protokol verifikasi, kebiasaan identifikasi nama domain, dan langkah-langkah respons, yang dapat membantu mencegah kelalaian sesaat berubah menjadi kerentanan keamanan besar.
Serangan dimulai sekitar pukul 3:15 sore ET pada hari Kamis dengan pesan teks anonim yang mengatakan seseorang mencoba menipu penyedia layanan seluler untuk memberikan nomor telepon saya kepada orang lain, taktik yang dikenal sebagai SIM swapping. Harap dicatat bahwa pesan ini bukan dari nomor SMS, tetapi dari nomor telepon biasa 10 digit. Bisnis yang sah biasanya menggunakan kode pendek untuk mengirim pesan SMS. Jika Anda menerima pesan teks dari nomor standar yang tidak dikenal yang mengklaim berasal dari bisnis, kemungkinan besar itu adalah penipuan atau upaya phishing.
Pesan-pesan tersebut juga mengandung kontradiksi: pesan teks pertama menunjukkan bahwa pelanggaran berasal dari Wilayah Teluk San Francisco, sementara pesan berikutnya mengatakan itu terjadi di Amsterdam. SIM swapping sangat berbahaya jika berhasil, karena penyerang dapat memperoleh kode verifikasi satu kali yang digunakan sebagian besar perusahaan untuk mengatur ulang kata sandi atau mengakses akun. Namun, ini bukan SIM swap yang nyata, dan para peretas sedang meletakkan dasar untuk penipuan yang lebih canggih.
Serangan kemudian meningkat, dan saya mulai menerima kode verifikasi satu kali yang diduga berasal dari Venmo dan PayPal, yang dikirim melalui SMS dan WhatsApp. Ini membuat saya percaya bahwa seseorang sedang mencoba masuk ke akun saya di berbagai platform keuangan. Berbeda dengan pesan SMS dari penyedia yang mencurigakan, kode verifikasi ini memang berasal dari kode pendek yang terlihat sah.
Sekitar lima menit setelah menerima pesan teks, saya menerima panggilan dari nomor California. Penelepon yang menyebut dirinya Mason berbicara dengan aksen Amerika yang kental dan mengklaim berasal dari tim investigasi Coinbase. Dia mengatakan bahwa dalam 30 menit terakhir, telah ada lebih dari 30 upaya untuk mengatur ulang kata sandi dan meretas akun melalui jendela obrolan Coinbase. Menurut Mason, penyerang yang disebut-sebut telah melewati tingkat verifikasi keamanan pertama untuk pengaturan ulang kata sandi, tetapi gagal di tingkat otentikasi kedua.
Dia memberi tahu saya bahwa pihak lain dapat memberikan empat digit terakhir dari kartu identitas saya, nomor SIM penuh, alamat rumah, dan nama lengkap, tetapi gagal memberikan nomor kartu identitas lengkap atau empat digit terakhir dari kartu bank yang terkait dengan akun Coinbase. Mason menjelaskan bahwa kontradiksi inilah yang memicu alarm tim keamanan Coinbase, mendorong mereka untuk menghubungi saya untuk memverifikasi keaslian.
Bursa resmi seperti Coinbase tidak akan pernah secara proaktif menghubungi pengguna kecuali Anda memulai permintaan layanan melalui situs web resmi.
Setelah memberi tahu saya tentang berita buruk, Mason mengusulkan untuk melindungi akun saya dengan memblokir saluran serangan tambahan. Dia mulai dengan koneksi API dan dompet terkait, mengklaim bahwa mereka akan dicabut untuk mengurangi risiko. Dia mencantumkan beberapa koneksi, termasuk Bitstamp, TradingView, dompet MetaMask, dan lain-lain, beberapa di antaranya tidak saya kenali, tetapi saya berasumsi bahwa saya mungkin telah mengaturnya dan melupakan.
Pada titik ini, kewaspadaan saya menurun, dan saya bahkan merasa tenang dengan perlindungan aktif dari Coinbase. Sejauh ini, Mason belum meminta informasi pribadi, alamat dompet, kode verifikasi dua faktor, atau kata sandi satu kali, yang biasanya merupakan permintaan umum dari para penipu. Seluruh proses interaksi sangat aman dan pencegahan.
Kemudian datanglah upaya pertama untuk memberikan tekanan, dengan menciptakan rasa urgensi dan kerentanan. Setelah menyelesaikan apa yang disebutnya pemeriksaan keamanan, Mason mengklaim bahwa perlindungan akun saya untuk layanan berlangganan Coinbase One telah dihentikan karena akun saya telah ditandai sebagai risiko tinggi. Ini berarti bahwa aset dompet Coinbase saya tidak lagi dilindungi oleh asuransi FDIC, dan saya tidak akan dapat menerima kompensasi jika penyerang berhasil mencuri dana.
Dalam retrospeksi, argumen ini seharusnya menjadi cacat mencolok. Berbeda dengan simpanan bank, aset crypto tidak pernah dilindungi oleh asuransi FDIC, dan meskipun Coinbase mungkin menyimpan dolar pelanggan di bank yang diasuransikan FDIC, bursa itu sendiri bukanlah lembaga yang diasuransikan. Mason juga memperingatkan bahwa hitungan mundur 24 jam telah dimulai dan akun yang terlambat akan dikunci. Membuka kunci akan memerlukan proses yang rumit dan panjang. Bahkan lebih menakutkan, dia mengklaim bahwa jika penyerang memperoleh nomor jaminan sosial saya secara penuh selama periode ini, mereka bahkan dapat mencuri dana dari akun yang dibekukan.
Kemudian, saya berkonsultasi dengan tim layanan pelanggan Coinbase yang sebenarnya dan mengetahui bahwa mengunci akun adalah langkah keamanan yang mereka rekomendasikan. Proses membuka kunci sebenarnya sederhana dan aman: memberikan foto kartu identitas dan selfie, dan bursa akan memverifikasi identitas Anda dan dengan cepat memulihkan akses.
Saya kemudian menerima dua email. Yang pertama adalah surat konfirmasi langganan berita Coinbase Bytes, yang hanya merupakan email biasa yang dipicu oleh penyerang yang mengirimkan alamat email saya melalui formulir situs web resmi. Ini jelas merupakan upaya untuk membingungkan penilaian saya dengan email resmi Coinbase untuk meningkatkan kredibilitas penipuan.
Email kedua yang lebih mengganggu datang dari no-reply yang menyatakan bahwa perlindungan akun Coinbase One saya telah dihapus. Email ini, yang tampaknya berasal dari domain Coinbase yang sah, sangat menipu—akan sangat mudah untuk dikenali jika berasal dari domain yang mencurigakan, tetapi terlihat otentik karena tampaknya berasal dari alamat resmi.
Mason kemudian menyarankan untuk mentransfer aset saya ke dompet multi-tanda tangan yang disebut Coinbase Vault untuk keamanan. Dia bahkan meminta saya untuk mencari “Coinbase Vault” di Google untuk memeriksa dokumentasi resmi untuk membuktikan bahwa ini adalah layanan sah yang telah disediakan Coinbase selama bertahun-tahun. Saya mengatakan bahwa saya enggan melakukan perubahan besar tanpa menyelidiki sepenuhnya. Dia memahami dan mendorong saya untuk melakukan penelitian dengan hati-hati, dan mendukung saya untuk menghubungi penyedia layanan terlebih dahulu untuk mencegah SIM swapping. Dia mengatakan akan menelepon saya kembali dalam 30 menit untuk melanjutkan langkah-langkah berikutnya.
Setelah menutup telepon, saya segera menerima pesan teks yang mengonfirmasi panggilan dan janji. Setelah memastikan bahwa tidak ada upaya transfer SIM dari penyedia, saya segera mengubah semua kata sandi akun. Mason menelepon kembali sesuai jadwal dan kami mulai mendiskusikan langkah-langkah berikutnya. Pada titik ini, saya telah memverifikasi bahwa Coinbase Vault memang merupakan layanan nyata yang disediakan oleh Coinbase. Ini adalah solusi kustodi dengan keamanan yang ditingkatkan melalui otorisasi multi-tanda tangan dan penarikan yang tertunda selama 24 jam, tetapi ini bukan dompet dingin yang benar-benar mandiri.
Mason kemudian mengirimkan saya tautan ke vault-coinbase.com, mengklaim bahwa dia dapat meninjau pengaturan keamanan yang dibahas dalam panggilan pertama. Setelah tinjauan selesai, aset dapat dipindahkan ke Vault, dan pada saat ini, profesionalisme saya dalam keamanan jaringan akhirnya muncul. Setelah memasukkan nomor kasus yang dia berikan, halaman yang terbuka menunjukkan koneksi API yang disebut dihapus dan tombol Buat Coinbase Vault.
Saya segera memeriksa sertifikat SSL situs web dan menemukan bahwa nama domain ini, yang baru terdaftar selama sebulan, tidak ada hubungannya dengan Coinbase. Meskipun sertifikat SSL sering kali dapat menciptakan rasa legitimasi yang salah, sertifikat perusahaan resmi memiliki kepemilikan yang jelas, dan penemuan ini membuat saya menghentikan operasi segera. Coinbase telah menjelaskan bahwa mereka tidak akan pernah menggunakan nama domain tidak resmi. Bahkan jika layanan pihak ketiga digunakan, itu harus menjadi subdomain seperti vault.coinbase.com. Setiap operasi yang melibatkan akun bursa harus dilakukan melalui aplikasi atau situs web resmi.
Saya menyampaikan kekhawatiran saya kepada Mason dan menekankan bahwa saya hanya akan beroperasi melalui aplikasi resmi. Dia berargumen bahwa operasi melalui aplikasi akan menyebabkan penundaan 48 jam, dan akun akan dikunci setelah 24 jam. Saya sekali lagi menolak untuk membuat keputusan terburu-buru, jadi dia mengatakan bahwa kasus ini akan ditingkatkan ke Tim Dukungan Level 3 untuk mencoba memulihkan perlindungan Coinbase One saya.
Setelah menutup telepon, saya terus memverifikasi keamanan akun lainnya, dan perasaan tidak nyaman saya semakin kuat. Sekitar setengah jam kemudian, nomor Texas menelepon. Orang lain dengan aksen Amerika mengklaim sebagai penyelidik level 3 dan sedang memproses aplikasi pemulihan Coinbase One saya. Dia mengklaim bahwa periode tinjauan 7 hari diperlukan, selama akun masih tidak diasuransikan. Dia juga dengan baik menyarankan untuk membuka beberapa Vault untuk aset di berbagai rantai. Dia tampak profesional, tetapi sebenarnya dia tidak pernah menyebutkan aset spesifik, hanya merujuk secara samar pada Ethereum, Bitcoin, dan lain-lain.
Dia menyebutkan bahwa dia akan mengajukan permohonan ke departemen hukum untuk mengirimkan catatan obrolan, dan kemudian mulai mempromosikan Coinbase Vault. Sebagai alternatif, dia merekomendasikan dompet pihak ketiga bernama SafePal. Meskipun SafePal memang merupakan dompet perangkat keras biasa, jelas ini adalah pembuka untuk menipu kepercayaan. Ketika saya mempertanyakan domain vault-coinbase.com lagi, pihak lain masih mencoba menghilangkan keraguan saya.
Pada titik ini, penyerang mungkin telah menyadari bahwa sulit untuk berhasil dan akhirnya menyerah pada serangan phishing ini. Setelah saya menyelesaikan panggilan kedua dengan perwakilan layanan pelanggan palsu, saya segera mengajukan permohonan melalui Coinbase.com. Perwakilan layanan pelanggan yang sebenarnya dengan cepat mengonfirmasi bahwa tidak ada login atau permintaan pengaturan ulang kata sandi yang tidak biasa ke akun saya. Dia menyarankan untuk segera mengunci akun dan mengumpulkan rincian serangan serta mengajukannya ke tim investigasi.
Saya memberikan semua nama domain penipuan, nomor telepon, dan vektor serangan, dan secara khusus menanyakan tentang izin pengiriman dari no-reply. Layanan pelanggan mengakui bahwa ini sangat serius dan berjanji bahwa tim keamanan akan melakukan penyelidikan menyeluruh.
Tanda Bahaya dan Saran Perlindungan
- Alarm palsu terkoordinasi untuk menciptakan kebingungan dan urgensi
Para penyerang pertama-tama menciptakan ilusi serangan simultan di berbagai platform melalui serangkaian peringatan SIM swap dan permintaan kode verifikasi satu kali dari layanan seperti Venmo dan PayPal (dikirim baik melalui SMS maupun WhatsApp). Pesan-pesan ini kemungkinan dipicu hanya dengan nomor telepon dan alamat email saya, yang mudah diakses. Pada tahap ini, saya tidak berpikir para penyerang memiliki akses ke data akun yang lebih dalam. - Mencampur kode pendek dengan nomor telepon biasa
Pesan phishing dikirim menggunakan kombinasi kode pendek SMS dan nomor telepon biasa. Sementara bisnis sering menggunakan kode pendek untuk komunikasi resmi, para penyerang dapat memalsukan atau mendaur ulang kode pendek ini. Namun, penting untuk dicatat bahwa layanan yang sah tidak akan pernah menggunakan nomor telepon biasa untuk mengirimkan peringatan keamanan. Pesan dari nomor standar harus selalu diperlakukan dengan skeptis. - Permintaan untuk beroperasi melalui nama domain yang tidak resmi atau tidak dikenal
Penyerang meminta saya untuk mengunjungi situs phishing yang dihosting di vault-coinbase.com, sebuah domain yang terlihat sah pada pandangan pertama, tetapi sebenarnya tidak terkait dengan Coinbase. Selalu periksa kembali nama domain dan sertifikat SSL sebelum memasukkan informasi apa pun. Operasi yang melibatkan akun sensitif hanya boleh dilakukan di domain atau aplikasi resmi perusahaan. - Panggilan tidak diminta dan komunikasi lanjutan
Coinbase dan sebagian besar lembaga keuangan lainnya tidak akan pernah menelepon Anda tanpa memulai permintaan dukungan. Menerima panggilan dari seseorang yang mengklaim berasal dari “Tim Investigasi Level 3” adalah tanda bahaya besar, terutama ketika dipasangkan dengan taktik menakut-nakuti dan instruksi rumit untuk melindungi akun Anda. - Peringatan darurat dan konsekuensi yang tidak diminta
Para penyerang phishing sering menggunakan ketakutan dan urgensi untuk memaksa korban bertindak tanpa berpikir. Dalam kasus ini, ancaman penguncian akun, pencurian aset, dan pembatalan cakupan asuransi adalah taktik rekayasa sosial yang khas. - Permintaan untuk melewati saluran resmi
Setiap saran untuk menghindari penggunaan aplikasi atau situs web resmi perusahaan, terutama ketika mengklaim menawarkan alternatif yang “lebih cepat” atau “lebih aman”, harus segera menimbulkan tanda bahaya. Para penyerang mungkin memberikan tautan yang tampak sah tetapi sebenarnya mengarah ke domain berbahaya. - Nomor kasus atau tiket dukungan yang tidak terverifikasi
Memberikan nomor kasus untuk memperkenalkan portal phishing yang dibuat khusus menciptakan rasa legitimasi yang salah. Tidak ada layanan yang sah yang akan meminta pengguna untuk memverifikasi identitas mereka atau mengambil tindakan melalui tautan khusus eksternal dengan nomor kasus. - Mencampur informasi benar dan salah
Para penyerang sering mencampur informasi pribadi yang nyata (seperti alamat email atau nomor Jaminan Sosial sebagian) dengan informasi samar atau tidak akurat untuk meningkatkan kredibilitas. Setiap ketidaksesuaian atau referensi samar ke rantai, dompet, atau tinjauan keamanan harus dipandang dengan kecurigaan. - Menggunakan nama perusahaan yang nyata dalam proposal alternatif
Memperkenalkan nama-nama terpercaya seperti SafePal (meskipun perusahaan ini sah) bisa menjadi taktik pengalihan yang memberikan kesan pilihan dan legitimasi sambil sebenarnya mengarahkan korban ke operasi berbahaya. - Kelebihan tanpa verifikasi
Penyerang bersikap sabar, mendorong saya untuk melakukan penelitian sendiri, dan tidak meminta informasi sensitif pada awalnya. Perilaku ini meniru agen layanan pelanggan yang nyata, membuat penipuan tampak profesional. Setiap bantuan yang tidak diminta yang tampak terlalu bagus untuk menjadi kenyataan harus dipandang dengan kecurigaan.
Langkah-langkah Perlindungan
- Aktifkan verifikasi tingkat transaksi di bursa.
- Selalu hubungi penyedia layanan melalui saluran yang sah dan terverifikasi.
- Dukungan bursa tidak akan pernah meminta Anda untuk memindahkan, mengakses, atau melindungi dana Anda.
- Pertimbangkan untuk menggunakan dompet multi-tanda tangan atau solusi penyimpanan dingin.
- Tandai situs web resmi dan hindari mengklik tautan dari pesan yang tidak diminta.
- Gunakan pengelola kata sandi untuk mengidentifikasi situs yang mencurigakan dan mempertahankan kata sandi yang kuat.
- Tinjau secara berkala aplikasi yang terhubung, kunci API, dan integrasi pihak ketiga.
- Aktifkan peringatan akun waktu nyata jika tersedia.
- Laporkan semua aktivitas mencurigakan ke tim dukungan resmi penyedia layanan.
Bagi lembaga keuangan, tim keamanan TI, dan eksekutif, serangan ini menyoroti bagaimana data historis, ketika digunakan kembali dan digabungkan dengan rekayasa sosial waktu nyata, dapat memungkinkan peretas untuk melewati bahkan pertahanan keamanan yang paling canggih. Pelaku ancaman tidak lagi hanya mengandalkan serangan brute force, tetapi sebaliknya melaksanakan strategi lintas saluran yang terkoordinasi untuk mendapatkan kepercayaan dan menipu pengguna dengan meniru alur kerja yang sah. Kita tidak hanya harus melindungi keamanan sistem dan jaringan, tetapi juga mengidentifikasi ancaman dan mengambil tindakan untuk melindungi diri kita sendiri. Baik bekerja di agensi crypto atau mengelola aset crypto di rumah, setiap orang harus memahami bagaimana kerentanan keamanan pribadi dapat berkembang menjadi risiko sistemik. Untuk melindungi terhadap ancaman ini, organisasi harus melapisi pertahanan seperti pemantauan nama domain, otentikasi adaptif, otentikasi multi-faktor untuk mencegah phishing, dan protokol komunikasi yang jelas. Penting juga bagi perusahaan untuk membudayakan literasi keamanan siber sehingga setiap karyawan, dari insinyur hingga eksekutif, memahami peran mereka dalam melindungi perusahaan. Di lingkungan saat ini, keamanan bukan hanya fungsi teknis, tetapi juga tanggung jawab yang perlu dibagi oleh individu dan seluruh organisasi.
