Cyberthreat.id – Serangan siber menargetkan pengguna layanan olah pesan Telegram baik perangkat berbasis iOS maupun Android. Peneliti Group-IB, perusahaan keamanan siber asal Singapura, menemukan serangan tersebut mempengaruhi sejumlah pelanggan dari beberapa operator seluler Rusia.

Dalam analisisnya yang dirilis pada Kamis (12 Desember 2019), peneliti menyebutkan, penyerang bisa melakukan akses secara ilegal ke layanan Telegram. Dalam semua kasus yang ditemui peneliti, faktor pintu masuknya adalah otentikasi layanan melalui pesan pendek (SMS).

Peneliti mengkhawatirkan akses ilegal tersebut bisa berpotensi mendapatkan akses ke aplikasi pesan lain, situs jejaring sosial, akun email, atau layanan mobile banking yang satu-satunya metode otentikasinya melalui SMS.

“Serangan dimulai ketika pengguna menerima pesan dari saluran layanan Telegram (saluran resmi messenger dengan lencana terverifikasi biru) dengan kode masuk yang tidak diminta oleh pengguna,” tulis peneliti.

Selanjutnya, pengguna menerima SMS dengan kode aktivasi yang segera diikuti notifikasi “ log-in perangkat baru” di saluran Telegram yang sama.

“Penyerang lalu masuk ke akun korban melalui internet seluler (mereka kemungkinan menggunakan kartu SIM sekali pakai) dan, dalam kebanyakan kasus, alamat IP penyerang berlokasi di Samara, Rusia,” tulis peneliti.

Oleh karenanya, peneliti menyarankan agar pengguna melakukan perlindungan efektif tidak hanya satu otentikasi. Sebab, Telegram sendiri memiliki mekanisme keamanan internal yang memungkinkan perlindungan efektif, sayangnya tidak semua orang memakainya.

“Terlepas dari pesan SMS yang diperlukan, satu faktor otentikasi lagi–kata sandi tambahan–harus diaktifkan di Telegram. Penting bagi setiap orang untuk melakukan ini,” kata Sergey Nikitin, Wakil Kepala Lab Forensik Digital Group-IB.

“Anda kemudian perlu memeriksa aplikasi dan layanan lain yang menggunakan SMS untuk otentikasi sebagai faktor pertama atau kedua untuk pemulihan kata sandi untuk akun email, messenger lain, dan aplikasi dan layanan mobile banking.”

Peneliti juga memperingatkan bahwa serangan seperti itu hanya akan berhasil jika kata sandi atau opsi verifikasi dua langkah dalam pengaturan Telegram pada ponsel dimatikan. Untuk mengaktifkan perlindungan pada perangkat iOS dan Android, buka Pengaturan Telegram> Privasi dan Keamanan> Verifikasi Dua Langkah> Tetapkan Kata Sandi Tambahan.

“Tidak disarankan untuk menambahkan alamat email pemulihan untuk memulihkan kata sandi ini, karena pemulihan akun email biasanya juga dilakukan melalui SMS. Pengguna WhatsApp dapat meningkatkan tingkat keamanan akun mereka dengan cara yang sama,” ujar peneliti.

Bagaimana penyerang mendapatkan akses Telegram?

Pakar forensik digital Group-IB yang memeriksa perangkat para korban memastikan, “bahwa mereka tidak terinfeksi spyware atau Trojan perbankan, akun mereka tidak diretas, atau juga kartu SIM mereka tidak disalin.”

Pemeriksaan forensik menunjukkan bahwa penyerang memperoleh akses ke korban menggunakan kode SMS yang diterima ketika akun sedang login dari perangkat baru, tulis peneliti.

Skemanya sebagai berikut

• Ketika aplikasi messenger diaktifkan pada perangkat baru, Telegram mengirimkan kode melalui saluran layanan ke semua perangkat pengguna dengan sesi aktif, diikuti oleh SMS (atas permintaan).
• Mengetahui hal itu, para penyerang memulai permintaan untuk membuat Telegram mengirim SMS dengan kode aktivasi, mendapatkan akses ke pesan SMS ini, dan menggunakan kode yang diterima untuk otentikasi yang berhasil di messenger.
• Teknik ini memungkinkan malefactors untuk mendapatkan akses ke semua obrolan korban, kecuali untuk obrolan rahasia, serta riwayat obrolan mereka, termasuk file dan foto bersama.

Senjata baru seharga US$ 3.900

Peneliti Group-IB belum bisa memberikan jawaban pasti teknik apa yang dipakai untuk membobol akses akun Telegram. Memang dalam kasus-kasus yang mirip seperti itu pada tahun-tahun sebelumnya, menurut peneliti, penyerang bisa melakukan akses ilegal dengan teknik eksploitasi protokol SS7 dan protokol Diameter.

Protokol SS7 adalah protokol persinyalan yan digunakan secara global untuk menghadirkan jaringan telekomunikasi. Menurut Tirto.id, sederhanaya, SS7 memiliki ragam fungsi yang berhubungan dengan panggilan telepon, roaming, SMS, dan menyediakan konvergensi layanan suara serta data yang umum dilakukan saat pengguna memakai ponsel atau telepon kabel (fixed-line). SS7 juga memungkinkan suatu jaringan saling bertukar informasi.

Sementara, protokol Diameter sangat banyak digunakan pada arsitektur IP Multimedia Subsystem (IMS) untuk mengontrol pertukaran informasi terkait autentikasi, autorisasi, dan akuntansi.

Selain itu, peneliti juga menemukan adanya penawaran “senjata siber” di forum bawah tanah di internet. Senjata ini dijual dengan promosi bisa meretas berbagai layanan olah pesan, seperti WhatsApp, Viber, dan Telegram.

“Iklan tersebut diterbitkan di forum bawah tanah Hydra,” tulis peneliti.

Penjual menawarkan dua opsi, yaitu (1) secara online pembeli bisa melihat semua pesan baru di perangkat secara real time, (2), yang terbilang canggih, memberikan akses ke riwayat obrolan dengan semua file media, termasuk yang telah dihapus.

Harga untuk akses ke akun WhatsApp berkisar antara US$ 1.550 hingga US$ 5.450, sedangkan akses ke akun Viber dapat dibeli seharga US$ 1.550-3.900.

Sementara, untuk mencuri akun Telegram, hanya satu opsi - memberikan akses penuh ke akun dan ditawarkan dengan harga US$ 3.900.

Kepala Departemen Investigasi Group-IB Sergey Lupanin mengatakan, penggunaan teknik SS7 cenderung lebih dipakai dalam satu kaus serangan yang ditargetkan. Hal ini berbeda dengan senjata baru yang ditawarkan tersebut.

“(Tampaknya) para penyerang ingin membuat komoditisasi skema serangan ini,” kata dia.

Untuk mencegah serangan semacam itu, pengguna harus meningkatkan tingkat kesadaran dunia maya mereka, “setidaknya gunakan otentikasi multi-faktor sedapat mungkin dan tambahkan faktor tambahan wajib ke SMS, yang tersedia di Telegram,” kata Lupanin.