Cyberthreat.id - Akun resmi Kementerian Keuangan RI di Twitter sempat diambilalih oleh peretas untuk menyebarkan link melalui pesan langsung (DM). Sebenarnya apa sih isi link yang disebarkannya?

Cyberthreat.id berhasil mendapatkan isi DM yang dikirimkan oleh akun Twitter @KemenkeuRI kepada salah satu pengguna, yakni Wakil Ketua Komisi II DPR RI, Luqman Hakim.

Sembari memberikan isi pesan yang didapatkan, Luqman pun mengatakan kepada Cyberthreat.id bahwa dirinya tidak berani mengklik linknya.

"Takut ada malware yang disisipkan," tuturnya kepada Cyberthreat.id, Senin malam, (23 Februari 2021).

Berdasarkan isi DM itu, pelaku menyisipkan alamat situs yang dihosting di Google Sites (sites.google.com) dengan alamat lengkapnya https://sites.google[.[com/view/help-twitter-contact-34565/.

Sites.google.com adalah layanan pembuatan situs gratis dari Google. Siapa saja bisa membuat situs web baru menggunakan fasilitas Google itu.

Tampaknya, pelaku menyalahgunakan fasilitas itu untuk menyebar tautan jebakan phishing berbahaya. Diketahui, penjahat dunia maya sering memanfaatkan layanan dari Google agar terlihat meyakinkan dan tidak terdeteksi sebagai situs jahat. (Baca juga:  Ciri-ciri Phishing dan Bahayanya Menurut Charles Lim).

Pengujian oleh Kepala Pusat Studi Forensik UII dan Cyberthreat.id
Kepala Pusat Studi Forensik Digital Universitas Islam Indonesia (UII) Yogyakarta, Yudi Prayudi pun membenarkan bahwa itu merupakan tautan phising yang dihosting melalui Google Sites. Situs ini pun diyakini oleh Yudi untuk mencuri data pengguna.

"Iya itu phising, saya isi ngaco saja masuk datanya," kata Yudi kepada Cyberthreat.id, Selasa (23 Februari 2021).

Halaman phising adalah situs web yang berusaha mengarahkan pengguna untuk mengisi informasi kredensial dari akun daring yang dimiliki.

Situs itu terindikasi phising, karena kata Yudi, secara logika jika memang itu merupakan laman bantuan atau support Twitter pastinya tidak dihosting di domain Google.

"Logikanya harusnya Twitter berdiri sendiri gak perlu pake Google Sites," kata Yudi. Menurut Yudi, tampaknya peretas sengaja menyalahgunakan Google Sites ini agar seakan-akan situs resmi Google. Dengan begitu, kemungkinan calon korban tidak curiga bahwa itu situs phising.

Cyberthreat.id pun juga ikut mencoba mengklik tautan itu, dan tampilan pertama menunjukkan halaman login yang dirancang oleh peretas mengatasnamakan Twitter.

Halaman itu meminta memasukkan kredensial akun Twitter pengguna yang mana terlihat dalam kotaknya nomor ponsel, nama pengguna atau email, disertai kata sandi. Data yang diminta pada halaman itu hampir serupa dengan halaman login resmi milik Twitter (https://twitter.com/login).  (Tampilannya seperti pada gambar di atas).

Dalam laman login buatan peretas itu, pengunjung diminta menuliskan nama akun pengguna disertai kata sandi dan mengisi form berikutnya. Cyberthreat.id pun asal mengisi nama pengguna yakni "hanyamencoba" disertai kata sandi "hanyamencoba" dan mengklik "Next".

Kemudian, halaman berikutnya tampaknya dirancang untuk mencuri alamat email pengguna, tetapi diklaim peretas bahwa untuk memeriksa email pengguna, seperti terlihat pada gambar di bawah ini.

Tangkapan layar meminta konformasi alamat email dan password yang terhubung ke akun Twitter | Cyberthreat.id/Tenri Gobel

Data yang diminta pada laman berikutnya ini adalah alamat email dan kata sandi email. Cyberthreat.id pun mencoba memasukkan alamat email "hanyamencoba@gmail.com" disertai kata sandi "hanyamencoba" dan mengklik "Next".

Setelah itu, tibalah pada halaman terakhir di mana peretas menampilkan logo Twitter berwarna hitam putih disertai ucapan terima kasih.

 

Yudi pun juga melakukan hal yang sama seperti Cyberthreat.id. "Data yang masuk lewat phising tersebut, akun Twitter, nomor ponsel, email dan password," ujar Yudi.

Yudi pun menghimbau agar masyarakat hati-hati dan teliti melihat alamat situs yang didapatkan, meski tautannya tampaknya meyakinkan karena memanfaatkan Google Sites.

Sementara untuk Kemenkeu RI, Yudi menyarankan agar memperkuat kata sandi akunnya. "Biasanya pintu masuknya dari password yang kurang kuat," tuturnya. Selain itu, menurut Yudi adminnya sebaiknya menggunakan aplikasi web Twitter bukan seluler.

"Salah satunya SOP ngetwit untuk akun resmi pemerintah sebaiknya menggunakan web based. Nge-twit di ponsel  banyak celah yang mungkin bisa jadi keteledoran dalam hal pemakaian HP," jelasnya.

Seperti diberitakan sebelumnya,  Akun Twitter resmi milik Kementerian Keuangan (Kemenkeu RI) diretas digunakan mengirimkan pesan berisikan suatu link. Salah satu penerima pesan itu adalah Wakil Ketua Komisi II DPR RI, Luqman Hakim.

"Kaget dapat DM [direct message] dari akun @KemenkeuRI. SEtelah sy perhatikan ada yg tdk beres dg akun itu. Nampaknya  akun @KemenkeuRI dikendalikan pihak yg tdk bertanggungjawab. Hati2 kalau dapat DM dari akun @KemenkeuRI ! Jangan klik link yg disertakan. @TwitterSupport @CCICPolri @kemkominfo" tulis @LuqmanBeeNKRI, Senin sore (22 Februari 2021).

Luqman menyertakan tangkapan layar isi DM yang masuk dari akun resmi @KemenkeuRI. Tampilan akun itu sudah berubah. Foto profilnya menghilang. Namanya diubah menjadi titik.

Pesan yang dikirim ke DM Lukman menggunakan bahasa Inggris, memberitahu bahwa ada pelanggaran hak cipta yang terdeteksi di salah satu tweet-nya sehingga terancam ditangguhkan, peretas mendorong mengklik link yang diklaim dapat menyelamatkan akun.

"Pelanggaran hak cipta terdeteksi di salah satu tweet di akun Anda. Jika menurut Anda pelanggaran hak cipta itu salah, Anda perlu memberikan umpan balik. Jika tidak, akun Anda akan ditangguhkan dalam waktu 24 jam. Anda dapat memberikan umpan balik di tautan di bawah ini. Terima kasih atas pengertian Anda."

Penjelasan Kemenkeu RI
Saat dikonfirmasi malam, Kepala Biro Komunikasi dan Layanan Informasi Kemenkeu, Rahayu Puspasari membenarkan hal itu dan saat ini masih ditangani oleh pihak Twitter.

"Betul, sekarang sedang proses recovery dari pihak Twitter," katanya kepada Cyberthreat.id, Senin (22 Februari 2021).

Rahayu menuturkan kejadiannya tepat pukul 17.10 WIB. Setelah mengetahuinya, pihaknya langsung menghubungi kontak ke Head of Public Policy Twitter Indonesia.

Saat ditanya apakah link yang disisipkan peretas pada DM itu merupakan link phising, Rahayu belum menjawabnya tetapi dirinya menghimbau agar masyarakat tidak mengklik link yang dikirimkan melalui DM oleh akun @KemenkeuRI.

"Kalau dari kami menyarankan jangan diklik," katanya.

Hingga Senin malam, terpantau akun Twitter @KemenkeuRI yang memiliki pengikut sebanyak 712,9 ribu dan tercatat bergabung sejak Juni 2012 masih tanpa foto profil dan namanya diubah menjadi titik.  (Lihat: Twitter Kemenkeu Kirimkan Link Tak Biasa, Akunnya Dibajak?). 

Setelah dilaporkan ke Twitter, akun @KemenkeuRI pun berhasil direbut dari peretas sekitar pukul 22.10 WIB, ditandai dengan unggahan pemberitahuan bahwa akun telah dapat diakses kembali. Foto profil akunnya tak lagi kosong dan sudah dengan logo Kemenkeu disertai namanyapun juga sudah berubah menjadi #Uang

Saat ini Cyberthreat.id tengah berupaya menanyakan lebih lanjut ke Kemenkeu terkait penyebab akunnya diambilalih oleh peretas. []

Editor: Yuswardi A. Suud