2FA

Kini Pengguna Google Workspace dapat Login tanpa ‘Password’ berkat ‘Passkeys’

June 9, 2023 by Flamango

Pasca peluncuran konsumen bulan lalu, bisnis dapat membuang ‘password’ Google mereka.

Menindaklanjuti peluncuran dukungan ‘passkey’ Google untuk akun Google konsumen pada bulan Mei, Google telah memperluas info masuk tanpa ‘password’ ke akun bisnis Google Workspace.

Peluncuran Workspace tersebut sebagai “Open Beta” dan lebih dari 9 juta organisasi dapat mengizinkan penggunanya untuk masuk ke akun Google Workspace dan Google Cloud menggunakan ‘passkey’, bukan ‘password’.

‘Passkey’ adalah pengganti ‘password’ baru, dengan dukungan dari Google, Apple, dan Microsoft. Dukungan ‘passkey’ akan membuat mesin pengguna menukar pasangan kunci pribadi-publik dengan situs web menggunakan standar “WebAuthn”.

Pengguna masuk sebagian besar implementasi Passkey menjadikan perangkat portabel. Biasanya pengguna akan mengeluarkan ponsel dan membuka kuncinya, seperti 2FA atau SMS berbasis aplikasi.

Pada intinya ini adalah sebuah evolusi ‘password’ yaitu ‘passkey’, meningkatkan keamanan ‘password’ karena pengguna tidak akan pernah dapat menuliskannya, tidak dapat digunakan kembali di seluruh situs, dan jauh lebih sulit untuk di-phish, karena browser memutuskan ‘passkey’ mana yang termasuk dalam situs mana.

Pengaturan "Tanpa Kata Sandi" Workspaces baru. — Pengaturan “Tanpa Kata Sandi” Workspaces baru.

Tentunya ‘passkey’ memiliki kekurangan salah satunya yaitu belum semua platform didukung. Halaman dukungan perangkat ‘device support’ passkeys.dev menunjukkan dukungan terbatas untuk Linux dan Chrome OS.

Kemudian implementasi ‘passkey’ Apple/Google/Microsoft juga memaksa pengguna untuk menyinkronkan ‘passkey’nya dengan vendor OS yang dimiliki, dan mereka tidak saling berkomunikasi.

‘Passkey’ hanya akan disinkronkan ke produk Microsoft OS atau produk Google OS atau produk Apple OS. Pengguna akan melihat perbedaan untuk kombinasi lintas OS seperti ponsel Android dan komputer Windows, ‘passkey’ tidak akan disinkronkan dan akan bergantung pada kode QR berbasis sistem transfer.

Selengkapnya: arsTECHNICA

WhatsApp Memiliki Masalah Keamanan Bertahun-tahun. Inilah Cara Mengatasinya

February 23, 2023 by Coffee Bean

Nomor telepon adalah sumber daya yang terbatas. Jadi ketika seseorang keluar dari layanan, ada kemungkinan besar perusahaan telekomunikasi akan menggunakannya kembali untuk paket telepon baru. Itu bisa menjadi masalah besar di WhatsApp. Dalam beberapa kasus, jika Anda mendapatkan nomor telepon yang terkait dengan akun WhatsApp yang ada, Anda dapat membajaknya dan mengambil identitas pengguna tersebut, termasuk nama dan foto profil mereka. Anda akan menerima semua pesan masuk mereka dan mendapatkan akses ke obrolan grup mereka. Tidak ada cara bagi orang lain untuk mengetahui bahwa Anda seorang penipu. WhatsApp telah mengetahui masalah ini selama bertahun-tahun, tetapi tidak ada perbaikan yang terlihat kecuali Anda mengambil langkah proaktif untuk melindungi diri sendiri.

Bagaimana cara melindungi akun WhatsApp Anda
Pertama, jika Anda tidak menggunakan autentikasi dua faktor, apa yang Anda lakukan dengan hidup Anda? Ini adalah cara mudah untuk melindungi diri Anda sendiri, dan Anda akan menjadi sasaran empuk jika Anda tidak menyalakannya. Jangan berhenti di WhatsApp juga, Anda harus menggunakan autentikasi dua faktor di mana pun tersedia.

Untuk mengatur autentikasi dua faktor: Buka WhatsApp dan ketuk Pengaturan > Akun > Verifikasi dua langkah > Pilih pin enam digit. WhatsApp akan meminta pin ini secara berkala, jadi pastikan Anda memiliki cara untuk mengingatnya.

Di halaman Akun, Anda juga dapat mengubah nomor telepon Anda, yang harus Anda lakukan sesegera mungkin jika mendapatkan yang baru. Atau, jika Anda sudah selesai menggunakan aplikasi untuk selamanya, Anda dapat menggunakan proses “Hapus Akun Saya” dari menu yang sama.

selengkapnya : gizmodo.com

Fitur keamanan berbayar di Twitter dan Meta memicu masalah keamanan siber

February 22, 2023 by Coffee Bean Leave a Comment

Dalam beberapa hari terakhir, Twitter — dan pada tingkat yang lebih rendah, perusahaan induk Facebook, Meta — telah meluncurkan fitur-fitur yang membuka fitur keamanan yang lebih kuat bagi mereka yang membayarnya.

Pekan lalu, Twitter menerbitkan postingan blog yang mengumumkan bahwa mulai 20 Maret, hanya pengguna berbayar Twitter Blue yang dapat menggunakan bentuk autentikasi dua faktor (2FA) yang mengirimkan kode pesan teks ke pengguna untuk memverifikasi identitas mereka setelah mereka memasukkan akun mereka. kata sandi.

“Meskipun secara historis merupakan bentuk 2FA yang populer, sayangnya kami telah melihat 2FA berbasis nomor telepon digunakan — dan disalahgunakan — oleh aktor jahat,” tulis postingan blog tersebut.

Twitter tahun lalu mengizinkan pelanggan Twitter Blue untuk mendapatkan tanda centang biru, yang secara historis mewakili pengguna “terverifikasi” di platform. Namun, perusahaan tidak mengharuskan pengguna memberikan ID untuk memverifikasi bahwa mereka adalah orang yang mereka katakan, dan pengguna meniru merek seperti Eli Lilly and Co. Perusahaan menghentikan sementara fitur tersebut, dengan Musk mengatakan pengguna akan diautentikasi. Tapi kolega kami Geoffrey A. Fowler masih bisa memverifikasi akun yang menyamar sebagai Senator Edward J. Markey (D-Mass.).

Ringkasnya, Tobac khawatir bahwa memaksa orang untuk membayar autentikasi dua faktor berbasis teks (juga dikenal sebagai SMS) akan menjauhkan mereka dari penggunaan autentikasi multifaktor sama sekali. Dan dia mendapat pertanyaan tentang apakah Meta memperluas dukungan akun akan memberi penjahat dunia maya tempat untuk mengelabui karyawan dukungan pelanggan, serta bagaimana perlindungan peniruan yang ditingkatkan akan bekerja.

Pakar keamanan dunia maya mengatakan bentuk autentikasi dua faktor berbasis pesan teks adalah salah satu bentuk terlemah, karena peretas dapat mencegatnya dengan taktik seperti bertukar sim, di mana mereka mengelabui operator telepon seluler agar mengaktifkan kartu SIM yang mereka miliki yang kemudian dapat digunakan scammers untuk mengambil alih nomor telepon korban.

selengkapnya : the washington post

Twitter Menghilangkan SMS 2FA untuk Anggota Non-Biru — Apa yang Perlu Anda Lakukan

February 20, 2023 by Coffee Bean

Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autenthikasi multi-faktor, yang kamu jelaskan di bawah.

Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 maret 2023 untuk beralih ke metode

Berdasarkan laporan keamanan akun Twitter, yang mencakup data antara Juli 2021 hingga Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.

Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.

Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.

Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.

Opsi paling aman adalah menggunakan kunci keamanan perangkat keras, seperti Google Titan atau Yubikey, yang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.

Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.

Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui serangan phishing lanjutan musuh atau serangan pertukaran SIM.

Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft Authenticator, dan Authy.

Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.

Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.

selengkapnya : bleepingcomputer

Hacker Menemukan Bug yang Memungkinkan Siapapun Melewati Facebook 2FA

January 31, 2023 by Flamango

Bug dalam sistem terpusat baru yang dibuat Meta bagi pengguna untuk mengelola login mereka untuk Facebook dan Instagram dapat memungkinkan hacker untuk mematikan perlindungan dua faktor akun hanya dengan mengetahui nomor telepon mereka.

Peneliti keamanan dari Nepal, Gtm Mänôz, menyadari bahwa Meta tidak menetapkan batas upaya saat pengguna memasukkan kode dua faktor yang digunakan untuk masuk ke akun mereka di Pusat Akun Meta yang baru, yang membantu pengguna menautkan semua akun Meta mereka , seperti Facebook dan Instagram.

Hacker bertindak memanfaatkan nomor telepon korban dengan pergi ke pusat akun terpusat, memasukkan nomor telepon korban, menautkan nomor itu ke akun Facebook mereka sendiri, dan kemudian memaksa kode SMS dua faktor.

Email dari Meta ke pemilik akun yang memberitahu mereka bahwa perlindungan dua faktor mereka telah dimatikan (Gtm Mänôz)

Mänôz mendapatkan $27.200 atas pelaporan bahwa dirinya menemukan bug di Pusat Akun Meta tahun lalu, dan Meta telah memperbaiki bug tersebut beberapa hari kemudian.

Juru bicara Meta mengatakan bahwa pada saat bug, sistem login masih dalam tahap uji publik kecil. Penyelidikan Meta setelah bug dilaporkan menemukan bahwa tidak ada bukti eksploitasi di alam liar, dan Meta tidak melihat lonjakan penggunaan fitur tersebut.

Selengkapnya: TechCrunch

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

December 23, 2022 by Coffee Bean

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas Mencuri $300.000 dalam Serangan pada Kedensial DraftKings

November 23, 2022 by Coffee Bean

Perusahaan taruhan olahraga DraftKings mengatakan hari ini bahwa itu akan membuat seluruh pelanggan terpengaruh oleh serangan isian kredensial yang menyebabkan kerugian hingga $300.000.

Pernyataan tersebut mengikuti tweet Senin pagi yang mengatakan bahwa DraftKings sedang menyelidiki laporan [1, 2, 3, 4] tentang pelanggan yang mengalami masalah dengan akun mereka.

Beberapa korban juga mengungkapkan rasa frustrasi mereka di media sosial karena mereka tidak dapat menghubungi siapa pun di DraftKings sementara harus menyaksikan penyerang berulang kali menarik uang dari rekening bank mereka.

Perusahaan menyarankan pelanggan untuk tidak pernah menggunakan kata sandi yang sama untuk lebih dari satu layanan online dan tidak pernah membagikan kredensial mereka dengan platform pihak ketiga, termasuk pelacak taruhan dan aplikasi taruhan selain yang disediakan oleh DraftKings.

Pernyataan DraftKings tentang serangan isian kredensial (Dukungan Pelanggan DraftKings)

Ini bekerja sangat baik terhadap akun yang pemiliknya telah menggunakan kembali kredensial di berbagai platform.

Tujuannya adalah mengambil alih sebanyak mungkin akun untuk mencuri info pribadi dan keuangan terkait yang nantinya dapat dijual di web gelap atau di forum peretasan.

Itu juga melaporkan bahwa situasinya telah memburuk secara drastis tahun ini karena mencatat lebih dari 10 miliar peristiwa isian kredensial di platformnya selama tiga bulan pertama tahun 2022.

Jumlah tersebut mewakili sekitar 34% dari keseluruhan lalu lintas autentikasi yang dilacak oleh Okta, yang berarti bahwa sepertiga dari semua upaya masuk bersifat jahat dan curang.

sumber : bleeping computer

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

November 22, 2022 by Coffee Bean

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

2FA

Cookies Settings