Selama beberapa tahun terakhir, kita sudah terbiasa masuk ke situs web dan aplikasi penting, seperti perbankan online, menggunakan kata sandi dan metode autentikasi lainnya. Ini bisa berupa kata sandi satu kali (OTP) yang dikirim melalui pesan teks, email atau pemberitahuan push, kode dari aplikasi autentikator, atau perangkat USB khusus — sebuah token. Cara masuk seperti ini disebut autentikasi dua faktor (2FA), dan ini membuat peretasan menjadi lebih sulit. Mencuri atau menebak kata sandi saja tidak lagi cukup untuk membajak sebuah akun. Namun apa yang harus Anda lakukan jika Anda belum mencoba login di mana pun, tetapi tiba-tiba menerima kode satu kali atau permintaan untuk memasukkannya?

Ada tiga alasan mengapa hal ini bisa terjadi:

  1. Usaha pembobolan. Peretas telah mempelajari, menebak, atau mencuri kata sandi Anda dan sekarang mencoba menggunakannya untuk mengakses akun Anda. Anda telah menerima pesan valid dari layanan yang mereka coba akses.
  2. Persiapan untuk peretasan. Peretas telah mengetahui kata sandi Anda atau mencoba menipu Anda agar mengungkapkannya, dalam hal ini pesan OTP adalah bentuk phishing. Pesan tersebut palsu, meskipun terlihat sangat mirip dengan aslinya.
  3. Hanya sebuah kesalahan. Terkadang layanan online diatur untuk terlebih dahulu meminta kode verifikasi dari pesan teks, lalu kata sandi, atau memverifikasi hanya dengan satu kode. Dalam hal ini, pengguna lain dapat salah ketik dan memasukkan ponsel/email Anda, bukan ponselnya — dan Anda akan menerima kodenya.

Seperti yang Anda lihat, mungkin ada niat jahat di balik pesan ini. Namun kabar baiknya adalah pada tahap ini, tidak ada kerusakan yang tidak dapat diperbaiki, dan dengan mengambil tindakan yang tepat Anda dapat menghindari masalah apa pun.

Apa yang harus dilakukan ketika menerima permintaan kode

Yang terpenting, jangan klik tombol konfirmasi jika pesan berbentuk “Ya/Tidak”, jangan masuk ke mana punDan jangan membagikan kode apa pun yang diterima kepada siapa pun.

Jika pesan permintaan kode berisi link, jangan ikuti.

Ini adalah aturan paling penting untuk diikuti. Selama Anda tidak mengkonfirmasi login Anda, akun Anda aman. Namun kemungkinan besar password akun Anda diketahui oleh penyerang. Jadi, hal berikutnya yang harus dilakukan adalah mengubah kata sandi akun ini. Kunjungi layanan terkait dengan memasukkan alamat webnya secara manual, bukan dengan mengikuti tautan. Masukkan kata sandi Anda, dapatkan kode verifikasi baru (penting!), dan masukkan. Kemudian temukan pengaturan kata sandi dan atur kata sandi baru yang kuat. Jika Anda menggunakan kata sandi yang sama untuk akun lain, Anda juga perlu mengubah kata sandi untuk akun tersebut — namun pastikan Anda membuat kata sandi unik untuk setiap akun. Kami memahami bahwa mungkin sulit untuk mengingat begitu banyak kata sandi, jadi kami sangat menyarankan Anda menyimpannya di pengelola kata sandi khusus.

Tahap ini — mengubah kata sandi Anda — tidak terlalu mendesak. Tidak perlu terburu-buru, tapi juga jangan menundanya di lain hari. Untuk akun berharga (seperti perbankan), penyerang dapat mencoba mencegat OTP jika dikirim melalui pesan teks. Hal ini dilakukan melalui pertukaran SIM (mendaftarkan kartu SIM baru ke nomor Anda) atau peretasan melalui jaringan layanan operator, menggunakan kelemahan pada protokol komunikasi SS7. Oleh karena itu, penting untuk mengubah kata sandi sebelum mereka mencoba melakukan serangan semacam itu. Secara umum, kode satu kali yang dikirim dalam pesan teks kurang dipercaya dibandingkan aplikasi autentikator dan token USB. Kami menyarankan untuk selalu menggunakan metode 2FA paling aman yang tersedia; ulasan tentang berbagai metode autentikasi dua faktor dapat ditemukan di sini.

Apa yang harus dilakukan jika Anda menerima banyak permintaan OTP

Dalam upaya membuat Anda mengautentikasi login, peretas mungkin membombardir Anda dengan kode. Mereka mencoba masuk ke akun berulang kali, berharap Anda membuat kesalahan dan mengklik “Verifikasi”, atau masuk ke layanan dan menonaktifkan 2FA karena gangguan. Penting untuk tetap tenang dan tidak melakukan apa pun. Hal terbaik yang harus dilakukan adalah membuka situs layanan seperti dijelaskan di atas (buka situs secara manual, bukan melalui tautan) dan segera ubah kata sandi; tetapi untuk ini Anda perlu menerima dan memasukkan OTP Anda yang valid. Beberapa permintaan autentikasi (misalnya, peringatan tentang masuk ke layanan Google) memiliki tombol “Tidak, ini bukan saya” yang terpisah — biasanya, tombol ini menyebabkan sistem otomatis di sisi layanan secara otomatis memblokir penyerang dan permintaan 2FA baru. Pilihan lain, meskipun bukan yang termudah, adalah mengalihkan ponsel ke mode senyap atau mode pesawat selama setengah jam atau lebih hingga gelombang kode mereda.

Apa yang harus dilakukan jika Anda secara tidak sengaja mengautentikasi login orang asing

Ini adalah skenario terburuk, karena Anda mungkin mengizinkan penyerang masuk ke akun Anda. Penyerang bertindak cepat, mengubah pengaturan dan kata sandi, jadi Anda harus mengejar ketertinggalan dan menghadapi konsekuensi peretasan. Kami telah memberikan saran untuk skenario ini di sini.

Bagaimana cara melindungi diri sendiri?

Metode pertahanan terbaik dalam kasus ini adalah dengan tetap selangkah lebih maju dari penjahat: si vis pacem, para bellum. Di sinilah solusi keamanan kami berguna. Ini melacak kebocoran akun Anda yang terkait dengan alamat email dan nomor telepon, termasuk di web gelap. Anda dapat menambahkan nomor telepon dan alamat email seluruh anggota keluarga Anda, dan jika ada data akun yang diketahui publik atau ditemukan dalam database yang bocor, Kaspersky Premium akan memberi tahu Anda dan memberi saran tentang apa yang harus dilakukan.

Termasuk dalam langganan, Kaspersky Password Manager akan memperingatkan Anda tentang kata sandi yang disusupi dan membantu Anda mengubahnya, menghasilkan kata sandi baru yang tidak dapat dipecahkan untuk Anda. Anda juga dapat menambahkan token autentikasi dua faktor ke dalamnya atau mentransfernya dengan mudah dari Google Authenticator dalam beberapa klik. Penyimpanan aman untuk dokumen pribadi Anda akan melindungi dokumen dan file terpenting Anda, seperti pindaian paspor atau foto pribadi, dalam bentuk terenkripsi sehingga hanya Anda yang dapat mengaksesnya.

Selain itu, info masuk, kata sandi, kode verifikasi, dan dokumen tersimpan Anda akan tersedia di semua perangkat Anda — komputer, ponsel cerdas, atau tablet — jadi meskipun Anda kehilangan ponsel, Anda tidak akan kehilangan data dan akses, dan Anda akan dapat untuk memulihkannya dengan mudah di perangkat baru. Dan untuk mengakses semua data Anda, Anda hanya perlu mengingat satu kata sandi — kata sandi utama — yang tidak disimpan di mana pun kecuali di kepala Anda dan digunakan untuk enkripsi data AES standar perbankan.

Dengan “prinsip nihil pengungkapan”, tidak ada seorang pun yang dapat mengakses kata sandi dan data Anda — bahkan karyawan Kaspersky sekalipun. Keandalan dan efektivitas solusi keamanan kami telah dikonfirmasi oleh berbagai pengujian independen, dan solusi perlindungan rumah kami menerima penghargaan tertinggi — “Produk Terbaik 2023” — dalam pengujian yang dilakukan oleh laboratorium independen Eropa, AV-Comparatives.


#Kata #sandi #satu #kali #dan #kode #2FA #apa #yang #harus #dilakukan #jika #Anda #menerimanya #tanpa #memintanya