WhatsApp Bisa Dibajak lewat Fitur Resmi WA, Chat dan Foto Terumbar

Ringkasan:

• Akun WhatsApp bisa dibajak tanpa OTP lewat metode GhostPairing, modus baru yang memanfaatkan fitur resmi Linked Devices/Perangkat Tertaut sehingga peretas dapat mengakses chat, foto, dan mengirim pesan dari akun korban.
• Serangan GhostPairing diawali pesan jebakan berisi link palsu, menyerupai Facebook, yang memancing korban memasukkan nomor ponsel dan kode pairing WhatsApp tanpa sadar menautkan akun ke perangkat hacker.
• Cegah pembajakan WhatsApp GhostPairing dengan rutin mengecek menu Linked Devices, mengaktifkan verifikasi dua langkah, serta tidak sembarang mengklik tautan meski dikirim oleh kontak yang dikenal.

- Pengguna WhatsApp (WA) saat ini diminta lebih berhati-hati. Para hacker dilaporkan punya cara baru untuk membajak akun tanpa perlu membobol kata sandi (password) atau kode OTP.

Metode serangan ini disebut GhostPairing. Modus tersebut memanfaatkan Linked Device atau Perangkat Tertaut, yakni fitur resmi WhatsApp yang memungkinkan pengguna membuka akun WhatsApp mereka dari perangkat utama (HP) ke perangkat lain seperti laptop.

Yang membuat GhostPairing berbahaya adalah, korban secara tidak sadar menautkan akunnya sendiri ke perangkat milik peretas. Dengan begitu, pelaku bisa mengakses riwayat chat, foto, hingga mengirim pesan dari akun korban.

Dimulai dari pesan jebakan

Menurut laporan perusahaan keamanan siber Gen Digital (sebelumnya Symantech Corporation dan NortonLifeLock), serangan GhostPairing diawali dengan sebuah pesan jebakan. 

Pesan ini, dibuat seolah-olah dikirimkan oleh kontak yang sudah dikenal korban. Isi pesannya sendiri yaitu berupa tautan (link) yang diklaim mengarah ke foto atau postingan Facebook milik korban. 

Gen Digital Tampilan situs Facebook palsu yang dibuat oleh peretas untuk mengelabui pengguna WhatsApp. Lewat platform ini, pengguna akan diminta memasukkan kode pairing di mana pelaku akan bisa mengakses akun WA pengguna secara real time tanpa mereka sadari.

Untuk membuatnya terlihat lebih meyakinkan, peretas bahkan mendesain link tersebut dengan fitur pratinjau (preview) yang mirip seperti tampilan asli buatan Facebook. 

Ketika diklik, tautan itu akan membawa korban ke halaman Facebook palsu yang memakai domain mirip seperti situs resmi (typosquatted). 

Saat sudah berhasil masuk ke laman "palsu" tersebut, korban akan diminta melakukan "verifikasi" dengan memasukkan nomor ponsel mereka sebelum bisa melihat konten. Nah, di sinilah serangan GhostPairing bekerja. 

Setelah nomor ponsel dimasukkan, WhatsApp akan mengirimkan kode pairing atau kode penautan perangkat. Kode ini sejatinya digunakan untuk menghubungkan akun WhatsApp ke perangkat baru. 

Dalam skema GhostPairing, kode tersebut akan ditampilkan kembali di halaman palsu yang dibuat pelaku. Pada waktu yang sama, WhatsApp juga menampilkan permintaan kepada korban untuk memasukkan kode tersebut di aplikasi mereka.

Begitu korban memasukkan kode tersebut, akun WhatsApp korban akan langsung tertaut ke perangkat pelaku. Proses ini disebut terjadi tanpa memerlukan password maupun kode OTP. 

Peneliti Gen Digital menjelaskan, WhatsApp sendiri sebenarnya sudah menampilkan peringatan bahwa kode tersebut akan digunakan untuk menautkan ke perangkat baru. 

Namun, kata Gen Digital, karena korban mengira sedang melakukan verifikasi WhatsApp seperti biasa, peringatan itu kerap diabaikan.

"Banyak korban tidak menyadari bahwa perangkat kedua telah ditambahkan di latar belakang, yang membuat penipuan ini semakin berbahaya – penjahat bersembunyi di akun Anda, mengawasi setiap percakapan Anda tanpa Anda sadari," ujar Gen Digital.

Cara cegah GhostPairing

Gen Digital Contoh tampilan pesan jebakan yang dikirimkan oleh peretas di akun WhatsApp.

Untuk mencegah serangan GhostPairing, pengguna WhatsApp dihimbau untuk lebih waspada terhadap pesan berisi tautan, meskipun dikirim oleh kontak yang dikenal. 

Adapun secara teknis, pengguna juga disarankan agar rutin memeriksa daftar perangkat yang tertaut ke akun mereka. Caranya dengan membuka menu Settings -> Linked Devices, lalu pastikan tidak ada perangkat asing yang terhubung tanpa izin. 

Opsi Linked Devices juga dapat diakses lewat titik tiga di ujung kanan atas halaman awal WhatsApp. Nah, apabila pengguna menemukan jenis perangkat yang mencurigakan, segera keluarkan (log out) akun tersebut. 

Selain itu, pengguna juga dianjurkan untuk mengaktifkan fitur verifikasi dua langkah (two-step verification) di WhatsApp. Fitur ini berfungsi untuk menambah lapisan keamanan ekstra dalam bentuk pin, sehingga akun tidak mudah diambil alih peretas. 

Gen Digital juga mengingatkan agar pengguna tidak terburu-buru saat diminta melakukan tindakan tertentu, terutama yang berkaitan dengan verifikasi akun.

Pengguna harus selalu memeriksa semua pesan yang diterima dan pastikan pengirimnya benar-benar dari pihak yang dipercaya, sebagaimana dihimpun KompasTekno dari Bleepingcomputer.

Tag:  #whatsapp #bisa #dibajak #lewat #fitur #resmi #chat #foto #terumbar