2FA

Begini cara peretas menembus keamanan otentikasi dua faktor

August 17, 2021 by Winnie the Pooh

Sekarang kita tahu bahwa nama pengguna dan kata sandi tidak cukup untuk mengakses layanan online dengan aman. Sebuah studi baru-baru ini menyoroti lebih dari 80% dari semua pelanggaran terkait peretasan terjadi karena kredensial yang dikompromikan dan lemah, dengan tiga miliar kombinasi nama pengguna/kata sandi dicuri pada tahun 2016 saja.

Dengan demikian, penerapan otentikasi dua faktor (2FA) telah menjadi suatu keharusan. Secara umum, 2FA bertujuan untuk memberikan lapisan keamanan tambahan ke sistem nama pengguna/kata sandi yang relatif rentan.

Tetapi seperti halnya solusi keamanan siber yang baik, penyerang dapat dengan cepat menemukan cara untuk menghindarinya. Mereka dapat melewati 2FA melalui one time code (kode satu kali) yang dikirim melalui SMS ke ponsel cerdas pengguna.

Vendor besar seperti Microsoft telah mendesak pengguna untuk meninggalkan solusi 2FA yang memanfaatkan SMS dan panggilan suara. Ini karena SMS terkenal memiliki keamanan yang sangat buruk, membiarkannya terbuka untuk sejumlah serangan yang berbeda.

Kode satu kali berbasis SMS juga terbukti dikompromikan melalui alat yang tersedia seperti Modlishka dengan memanfaatkan teknik yang disebut reverse proxy. Ini memfasilitasi komunikasi antara korban dan layanan yang dipalsukan.

Selain kerentanan yang ada ini, tim The Next Web telah menemukan kerentanan tambahan di 2FA berbasis SMS. Satu serangan tertentu mengeksploitasi fitur yang disediakan di Google Play Store untuk menginstal aplikasi secara otomatis dari web ke perangkat android Anda.

Eksperimen The Next Web mengungkapkan aktor jahat dapat mengakses 2FA berbasis SMS pengguna dari jarak jauh dengan sedikit usaha, melalui penggunaan aplikasi populer (nama dan jenis dirahasiakan karena alasan keamanan) yang dirancang untuk menyinkronkan notifikasi pengguna di berbagai perangkat.

Secara khusus, penyerang dapat memanfaatkan kombinasi email/kata sandi yang disusupi yang terhubung ke akun Google untuk secara jahat memasang aplikasi message mirroring yang tersedia di smartphone korban melalui Google Play.

Setelah aplikasi diinstal, penyerang dapat menerapkan teknik rekayasa sosial sederhana untuk meyakinkan pengguna agar mengaktifkan izin yang diperlukan agar aplikasi berfungsi dengan baik.

Meskipun beberapa kondisi harus dipenuhi agar serangan yang disebutkan di atas berfungsi, itu masih menunjukkan sifat rapuh dari metode 2FA berbasis SMS.

Selengkapnya: The Next Web

API Baru Memungkinkan Pengembang Aplikasi Mengautentikasi Pengguna melalui Kartu SIM

June 30, 2021 by Winnie the Pooh

Pembuatan akun online menimbulkan tantangan bagi para insinyur dan arsitek sistem: jika Anda memasang terlalu banyak penghalang, Anda berisiko menolak pengguna asli. Buat terlalu mudah, dan Anda berisiko dari penipuan atau akun palsu.

Model tradisional identitas online – nama pengguna/email dan kata sandi – telah lama tidak digunakan lagi. Beginilah cara otentikasi multi-faktor atau dua faktor (MFA atau 2FA) berperan, untuk menambal kerentanan yang disebut model berbasis pengetahuan, biasanya dengan kode sandi SMS untuk memverifikasi kepemilikan nomor ponsel.

Terkadang solusi paling sederhana sudah ada di tangan kita. SMS saja mungkin tidak aman, tetapi nomor ponsel yang ditambatkan ke kartu SIM adalah: pasangan unik yang sulit untuk diubah atau disalin.

Otentikasi berbasis SIM adalah terobosan identitas. Sekarang dimungkinkan untuk mencegah penipuan dan akun palsu sambil memverifikasi pengguna seluler dengan mulus menggunakan pengenal paling aman secara kriptografis yang sudah mereka miliki – kartu SIM yang tertanam di perangkat seluler mereka.

Jika Anda khawatir tentang penipuan pertukaran SIM sebagai ancaman bagi pengguna Anda, Anda benar.

Otentikasi berbasis SIM memberikan perbaikan sederhana, dengan respons langsung yang dapat ditindaklanjuti. Penipu berusaha mengakses akun korban mereka biasanya dalam waktu 24 jam, jadi dengan memeriksa aktivitas pertukaran SIM dalam 7 hari terakhir, SubscriberCheck oleh tru.ID dapat mendeteksi mereka di gerbang.

Kartu SIM di dalam telepon sudah diautentikasi dengan Operator Jaringan Seluler (MNO). Otentikasi SIM memungkinkan pelanggan seluler melakukan dan menerima panggilan telepon dan terhubung ke Internet.

SubscriberCheck dari tru.ID terhubung ke mekanisme otentikasi yang sama dengan MNO. Akibatnya, tru.ID API melakukan dua hal.

Pertama, memverifikasi bahwa nomor ponsel aktif dan dipasangkan ke kartu SIM di ponsel. Sebagai bagian dari verifikasi ini, API juga mengambil informasi jika kartu SIM yang terkait dengan nomor telepon baru saja diubah. Pemeriksaan ini dapat diintegrasikan dengan mudah dengan API dan SDK.

Selengkapnya: The Hacker News

Google ingin mengaktifkan otentikasi multi-faktor secara default

May 7, 2021 by Winnie the Pooh

Google berusaha untuk mendorong semua penggunanya untuk mulai menggunakan otentikasi dua faktor (2FA), yang dapat memblokir penyerang mengambil kendali atas akun mereka menggunakan kredensial yang disusupi atau menebak kata sandi mereka.

“Kami akan segera mulai secara otomatis mendaftarkan pengguna di 2SV jika akun mereka dikonfigurasi dengan benar,” seperti yang diungkapkan Mark Risher, Direktur Pengelolaan Produk, Identitas, dan Keamanan Pengguna Google hari ini.

Langkah ini dimaksudkan untuk meningkatkan keamanan akun pengguna Google dengan menghapus “satu ancaman terbesar” yang memudahkan peretasan: sandi yang sulit diingat dan, lebih buruk lagi, mudah dicuri melalui pembobolan data dan phishing.

Pada proses pertama ini, perusahaan akan meminta pengguna yang sudah terdaftar di 2FA (alias Verifikasi 2 Langkah atau 2SV) untuk mengonfirmasi identitas mereka dengan mengetuk perintah Google di ponsel cerdas mereka setiap kali mereka masuk.

Untuk mendaftar dalam autentikasi dua faktor untuk Akun Google Anda sekarang, kunjungi tautan ini dan klik tombol “Memulai” untuk menambahkan lapisan keamanan ekstra dan memblokir penyerang agar tidak mendapatkan akses ke data Anda.

Selengkapnya: Bleeping Computer

Genshin Impact Account Hacks: miHoYo memberikan pernyataan tentang kebocoran data, akan meningkatkan keamanan

March 17, 2021 by Winnie the Pooh

Pemain sangat bersemangat untuk pembaruan yang akan datang, serta pembaruan di luar itu karena miHoYo akan merilis pembaruan setiap enam minggu. Di tengah semua itu, ada satu masalah yang sangat mengganggu para pemain. Sejumlah besar pemain telah menjadi sasaran serangan peretas akhir-akhir ini, dan mereka kehilangan akses ke akun mereka atau akun mereka telah benar-benar dihancurkan. Hal ini membuat komunitas cukup cemas karena banyak pemain yang enggan untuk mengambil bagian dalam acara resmi miHoYo sendiri, karena mengira itu mungkin tautan phishing.

Komunitas telah meminta autentikasi dua faktor cukup lama sekarang, tetapi kami belum menerima pembaruan apa pun dari miHoYo tentang hal itu. Sekarang, miHoYo akhirnya merilis pernyataan tentang peretasan yang sedang berlangsung. Banyak yang percaya bahwa ada kebocoran data dari akhir miHoYo, tetapi sepertinya bukan itu masalahnya. Berikut adalah versi terjemahan dari pernyataan yang diposting di Genshin Thailand Group.

Terima kasih telah menghubungi kami, saat ini pengembang sedang membahas tentang peningkatan sistem keamanan. Dari informasi yang kami miliki saat ini, kami memiliki banyak lapisan keamanan dan tidak ada tanda-tanda kebocoran. Sebagian besar pemain yang diretas, dan [sic] kebanyakan karena memberikan informasi mereka ke situs web palsu. Kami berharap pelancong tidak akan membuka situs palsu tersebut. Kami juga akan meningkatkan keamanan akun, harap tunggu pembaruan baru.

Apa yang tidak tersirat dari peningkatan keamanan ini, tetapi ada spekulasi bahwa 2FA akan menjadi opsi paling logis di sini. Mempertimbangkan tingkat di mana akun diretas, kami dapat mengharapkan ini segera. Game ini akan menerima pembaruan besar berikutnya, Pembaruan 1.4 pada 17 Maret, dan akan menambahkan karakter baru Rosaria, item baru, senjata, dan banyak lagi.

Perbarui Kata Sandi Anda Sekarang Juga

March 1, 2021 by Winnie the Pooh

Aktor jahat membobol lebih banyak sistem daripada yang Anda pikirkan hanya dengan menebak kode. Ada beberapa insiden yang benar-benar tidak masuk akal selama bertahun-tahun di mana entitas besar dan terkemuka diretas karena kecanggihan kata sandinya buruk.

Misalnya, firma keamanan global Gunnebo baru-baru ini menjadi korban pencurian data, dan diduga bahwa sandi salah satu karyawan yang sangat tidak dapat ditembus (“password01”) berperan dalam kejadian tersebut.

Selama bertahun-tahun, peretas telah mengembangkan metode canggih untuk mengidentifikasi detail pribadi yang Anda gabungkan untuk membuat benteng kriptografi tersebut (masukkan nama hewan peliharaan ditambah angka ulang tahun, misalnya).

Mereka biasanya memanfaatkan seluruh rangkaian perangkat lunak otomatis untuk melakukan hal ini, menerapkannya dalam apa yang disebut serangan siber “brute force” di mana mereka berulang kali mencoba untuk menerobos sistem melalui tebakan otomatis.

Jadi, perbarui kata sandi Anda sekarang! Dan coba ingat untuk memperbaruinya dengan frekuensi tertentu! Pasti ada beberapa perdebatan tentang seberapa sering Anda harus melakukannya, tetapi kebijaksanaan umumnya adalah Anda harus memperbarui setiap 60 hingga 90 hari — jadi setiap dua hingga tiga bulan.

Tentu saja, ada banyak langkah keamanan kata sandi lain yang dapat Anda lakukan, bersama dengan pembaruan yang konsisten. Autentikasi dua faktor, tentu saja, selalu merupakan ide yang bagus juga — karena memerlukan banyak bukti bahwa penggunanya adalah seperti yang mereka katakan.

Sumber: Gizmodo

Bagaimana mengamankan akun Google Anda dan menjaganya tetap aman dari serangan

January 20, 2021 by Winnie the Pooh

Jika Anda menggunakan di Gmail dan layanan Google lainnya, akun Google Anda adalah salah satu aset online Anda yang paling berharga. Ikuti tujuh langkah ini untuk menetapkan dasar keamanan yang kokoh dan melindungi akun tersebut dari penyusup.

Dan perlu diketahui bahwa langkah-langkah yang dijelaskan dalam artikel ini adalah tentang akun pribadi yang terkait dengan alamat Gmail gratis. Layanan bisnis berbayar Google, termasuk Google Workspace, dikelola oleh administrator domain. Meskipun beberapa langkah konfigurasi pengguna sama, administrator dapat menetapkan kebijakan yang mempengaruhi pengaturan keamanan. Jika akun Gmail Anda disediakan oleh perusahaan Anda, tanyakan kepada mereka tentang praktik terbaik untuk mengamankan akun itu.

Untuk membantu tindakan penyeimbangan antara kenyamanan dan keamanan, pada artikel ini langkah-langkah dibagi menjadi tiga kelompok, berdasarkan seberapa kuat Anda ingin mengunci akun Google Anda.

KEAMANAN DASAR

Tingkat ini cukup untuk sebagian besar pengguna PC biasa, terutama mereka yang tidak menggunakan alamat Gmail mereka sebagai faktor utama untuk masuk ke situs lain. Minimal, Anda harus membuat kata sandi yang kuat untuk akun Google Anda. Kata sandi itu haruslah yang tidak digunakan oleh akun lain.

Selain itu, Anda harus mengaktifkan verifikasi 2 langkah (istilah Google untuk autentikasi multi-faktor) untuk melindungi diri Anda dari phishing dan bentuk pencurian sandi lainnya.

KEAMANAN YANG LEBIH BAIK

Pertama, siapkan ponsel cerdas Anda sebagai faktor autentikasi, menggunakan aplikasi seperti Google Authenticator. Kemudian hapus opsi untuk menggunakan pesan teks SMS untuk memverifikasi identitas Anda.

Dengan konfigurasi tersebut, Anda masih dapat menggunakan ponsel Anda sebagai faktor autentikasi, tetapi calon penyerang tidak akan dapat mencegat pesan teks atau memalsukan nomor telepon Anda.

KEAMANAN MAKSIMUM

Untuk keamanan yang paling ekstrem, tambahkan setidaknya satu kunci perangkat keras fisik bersama dengan aplikasi Google Authenticator dan, secara opsional, hapus alamat email pribadi sebagai faktor verifikasi cadangan.

LANGKAH 1: BUAT KATA SANDI BARU DAN KUAT

Untuk mengubah sandi Anda, buka halaman Keamanan Akun Google di https://myaccount.google.com/security. Masuk, jika perlu, lalu klik Password (di bawah tajuk Signing In To Google) dan ikuti petunjuk untuk mengubah kata sandi Anda.

LANGKAH 2: AKTIFKAN VERIFIKASI DUA LANGKAH

Jangan tinggalkan halaman Keamanan Akun Google dulu. Sebaliknya, gulir ke atas ke bagian Two-Step Verification dan pastikan opsi ini diaktifkan. Gunakan opsi default untuk menerima kode melalui pesan teks di ponsel yang Anda miliki. (Anda juga dapat menyiapkan bentuk verifikasi lain yang lebih canggih, tetapi kita akan membahasnya nanti.)

LANGKAH 3: CETAK KODE PEMULIHAN

Langkah selanjutnya adalah menyimpan satu set kode pemulihan. Memiliki akses ke salah satu kode ini akan memungkinkan Anda untuk masuk ke akun Anda jika Anda lupa kata sandi atau jika Anda kehilangan ponsel.

Di halaman Keamanan Akun Google, temukan opsi Backup Codes dan klik Set Up. Lalu kotak dialog pop-up akan terbuka seperti yang ditunjukkan di sini, berisi 10 kode yang dapat Anda gunakan ketika Anda diminta untuk faktor verifikasi kedua.

LANGKAH 4: TAMBAHKAN ALAMAT EMAIL PEMULIHAN

Mendaftarkan alamat email pemulihan adalah tindakan pengamanan yang penting. Jika Google mendeteksi aktivitas yang mencurigakan di akun Anda, Anda akan menerima pemberitahuan di alamat email ini.

Kembali ke halaman Keamanan Akun Google dan klik Recovery Email (di bawah Ways We Can Verify It’s You). Masukkan atau ubah alamat email pemulihan. Anda akan menerima pemberitahuan di alamat itu untuk mengonfirmasi bahwa itu tersedia untuk pemulihan,

LANGKAH 5: SIAPKAN SMARTPHONE ANDA SEBAGAI AUTENTIKATOR

Saat Anda mendaftarkan ponsel cerdas Anda sebagai perangkat tepercaya, Google memberi Anda dua cara untuk menggunakannya untuk tujuan autentikasi. Selain itu, Anda dapat menggunakan Google Authenticator atau aplikasi ponsel cerdas lain yang menghasilkan kode Algoritma Kata Sandi Satu Kali Berbasis Waktu (TOTP) untuk autentikasi multi-faktor.

Untuk menyiapkan Google Authenticator (atau aplikasi pengautentikasi lainnya) untuk digunakan dengan akun Google, buka halaman Google Account 2-Step Verification. Di bawah Authenticator App, klik Set Up. Instal aplikasi, jika perlu, lalu ikuti petunjuk untuk menambahkan akun Anda menggunakan bar code yang ditampilkan oleh aplikasi pengautentikasi.

LANGKAH 6: HAPUS PESAN TEKS SMS SEBAGAI BENTUK VERIFIKASI

Apa yang membuat pesan teks SMS begitu bermasalah dari sudut pandang keamanan adalah kenyataan bahwa penyerang dapat membajak akun seluler Anda. Dari halaman Google Account 2-Step Verification, buka bagian Voice atau Text Message. Di sana, Anda akan menemukan entri untuk setiap nomor telepon yang terdaftar sebagai faktor 2FA untuk akun Anda. Klik ikon pensil di sebelah kanan nomor untuk membuka propertinya dan klik Remove Phone untuk menghilangkan entri. Ulangi untuk nomor lain yang ingin Anda hapus.

LANGKAH 7: GUNAKAN KUNCI KEAMANAN PERANGKAT KERAS UNTUK AUTENTIKASI

Langkah ini adalah yang paling maju dari semuanya. Ini membutuhkan investasi dalam perangkat keras tambahan, tetapi persyaratan untuk memasukkan perangkat ke port USB atau membuat koneksi melalui Bluetooth atau NFC menambah tingkat keamanan tertinggi.

Untuk gambaran umum tentang bagaimana jenis perangkat keras ini bekerja, baca “YubiKey hands-on: Hardware-based 2FA is more secure, but watch out for these gotchas.”

Untuk mengonfigurasi kunci hardware, buka halaman Google Account 2-Step Verification, klik Add Security Key, lalu ikuti petunjuknya.

Sumber: ZDNet

“Peternakan emulator seluler jahat” digunakan untuk mencuri jutaan dari bank AS dan UE

December 18, 2020 by Winnie the Pooh

Peneliti dari IBM Trusteer mengatakan mereka telah menemukan operasi penipuan besar-besaran yang menggunakan jaringan emulator perangkat seluler untuk menghabiskan jutaan dolar dari rekening bank online dalam hitungan hari.

Skala operasi tidak seperti yang pernah dilihat para peneliti sebelumnya. Dalam satu kasus, penjahat menggunakan sekitar 20 emulator untuk meniru lebih dari 16.000 ponsel milik pelanggan yang rekening bank selulernya telah disusupi. Dalam kasus terpisah, satu emulator dapat memalsukan lebih dari 8.100 perangkat.

Para pencuri kemudian memasukkan nama pengguna dan kata sandi ke dalam aplikasi perbankan yang berjalan pada emulator dan memulai wesel penipuan yang menyedot dana dari akun yang disusupi.

Untuk melewati perlindungan yang digunakan bank untuk memblokir serangan tersebut, penjahat menggunakan pengenal perangkat yang sesuai dengan setiap pemegang akun yang disusupi dan lokasi GPS palsu yang diketahui digunakan oleh perangkat tersebut.

ID perangkat kemungkinan diperoleh dari perangkat yang diretas, meskipun dalam beberapa kasus, penipu memberikan kesan bahwa mereka adalah pelanggan yang mengakses akun mereka dari ponsel baru. Para penyerang juga dapat melewati otentikasi multi-faktor dengan mengakses pesan SMS.

Setiap kali penjahat berhasil menguras akun, mereka akan menghentikan perangkat palsu yang mengakses akun tersebut dan menggantinya dengan perangkat baru.

Sumber: Ars Technica

Peretas SolarWinds memiliki cara cerdas untuk melewati otentikasi multi-faktor

December 17, 2020 by Winnie the Pooh

Para peretas di balik serangan rantai pasokan yang membahayakan organisasi publik dan swasta telah menemukan cara cerdas untuk melewati sistem otentikasi multi-faktor yang melindungi jaringan yang mereka targetkan.

Para peneliti dari perusahaan keamanan Volexity mengatakan pada hari Senin bahwa mereka telah menemukan penyerang yang sama pada akhir 2019 dan awal 2020 ketika mereka menembus jauh di dalam organisasi think tank tidak kurang dari tiga kali.

Dari salah satu gangguan, peneliti Volexity memperhatikan para peretas menggunakan teknik baru untuk melewati perlindungan MFA yang disediakan oleh Duo. Setelah mendapatkan hak administrator di jaringan yang terinfeksi, para peretas menggunakan hak tak terbatas tersebut untuk mencuri rahasia Duo yang dikenal sebagai akey dari server yang menjalankan Outlook Web App, yang digunakan perusahaan untuk menyediakan otentikasi akun untuk berbagai layanan jaringan.

Para peretas kemudian menggunakan akey untuk membuat cookie, jadi mereka akan menyiapkannya saat seseorang dengan nama pengguna dan sandi yang tepat akan membutuhkannya saat mengambil alih akun.

Akun Volexity tentang Dark Halo memperkuat pengamatan yang dilakukan peneliti lain bahwa para peretas sangat terampil. Volexity mengatakan para penyerang kembali berulang kali setelah klien lembaga think tank tersebut yakin bahwa kelompok tersebut telah dikeluarkan. Pada akhirnya, kata Volexity, para penyerang dapat “tetap tidak terdeteksi selama beberapa tahun”.

sumber : Arstechnica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

2FA