FBI Peringatkan Kampanye Phishing Baru Target Pembobolan Kunci Pulih Signal oleh Peretas Rusia

FBI dan CISA baru-baru ini menaikkan status peringatan terhadap kelompok peretas yang dikaitkan dengan layanan intelijen Rusia. Kampanye phishing yang semula menargetkan kode verifikasi dan PIN akun Signal kini telah berevolusi untuk mencuri kunci pulih pencadangan Signal. Dengan akses ke kunci ini, pelaku dapat membuka riwayat pesan terdahulu pengguna, bahkan meskipun Signal menerapkan enkripsi ujung-ke-ujung yang kuat. Peringatan ini menekankan bahwa ancaman tidak hanya terbatas pada pencurian akses sesaat, tetapi juga memungkinkan pembobolan data jangka panjang terhadap individu-individu yang menjadi sasaran prioritas.

Menurut pengumuman resmi yang dikeluarkan FBI, serangan ini dikaitkan dengan unit-unit intelijen Rusia, termasuk agen yang terafiliasi dengan FSB dan pasukan perbatasan. Kampanye ini dilacak secara publik dengan kode UNC5792 dan UNC4221. Pelaku terus menyamar sebagai tim dukungan Signal palsu, mengirim pesan phishing yang mengklaim bahwa Signal menerapkan verifikasi dua faktor wajib akibat serangan dari peretas Iran dan negara-negara pasca-Soviet. Pesan palsu tersebut mendesak korban untuk mengaktifkan pencadangan Signal dan mencatat kunci pulihnya, yang kemudian digunakan untuk membobol akun secara penuh.

Ancaman Phishing yang Berubah Strategi: Dari Kode Verifikasi ke Kunci Pulih

Kampanye ini awalnya terdeteksi pada awal 2026 ketika FBI dan CISA pertama kali memperingatkan tentang phishing terhadap pengguna aplikasi perpesanan komersial, khususnya Signal. Pada fase awal, serangan difokuskan pada pencurian kode verifikasi SMS atau PIN akun, atau manipulasi pengguna agar menghubungkan perangkat yang dikendalikan oleh pelaku ke akun Signal mereka. Meskipun serangan ini sudah berbahaya, dampaknya relatif terbatas karena pelaku hanya bisa mengakses pesan baru yang masuk setelah perangkat terhubung.

Namun, evolusi terbaru menunjukkan peningkatan signifikan dalam tingkat ancaman. Pelaku kini secara aktif menargetkan kunci pulih pencadangan Signal. Kunci ini adalah rangkaian 30 karakter alfanumerik yang dihasilkan saat pengguna pertama kali mengaktifkan pencadangan di Signal. Dengan kunci ini, pelaku dapat mendekripsi semua pesan, foto, dan file media yang pernah dicadangkan pengguna di perangkat mana pun. Hal ini berarti bahwa bahkan jika pengguna mengganti perangkat atau menghapus aplikasi, pelaku tetap bisa mengakses riwayat lengkap komunikasi mereka.

Menurut analisis FBI, serangan ini tidak lagi hanya mengandalkan tipuan sederhana. Pelaku kini menggunakan teknik rekayasa sosial yang lebih canggih, termasuk pembuatan akun dukungan palsu di berbagai platform dan penggunaan domain web mirip Signal untuk memancing korban memasukkan kunci pulih mereka. Beberapa pesan phishing bahkan menyertakan tautan ke halaman palsu yang meniru tampilan asli Signal, lengkap dengan formulir untuk memasukkan kunci pulih.

Profil Korban yang Dijadikan Target

FBI secara eksplisit menyebutkan bahwa korban utama dari kampanye ini adalah individu-individu yang memiliki nilai intelijen tinggi. Sasaran utama mencakup pejabat pemerintah aktif dan mantan pejabat pemerintah Amerika Serikat dan negara-negara internasional, personel militer, tokoh politik, jurnalis, serta pejabat kunci yang berada di Ukraina. Kelompok-kelompok ini dipilih karena akses mereka terhadap informasi sensitif atau posisi strategis yang dapat dimanfaatkan untuk kepentingan intelijen Rusia.

Serangan ini tidak hanya terbatas pada wilayah geografis tertentu. Meskipun Ukraina disebutkan secara khusus, korban juga ditemukan di negara-negara Eropa dan Amerika Utara. Hal ini menunjukkan bahwa kelompok peretas ini memiliki jangkauan operasional yang luas dan kemampuan untuk menargetkan individu lintas benua. Selain itu, serangan ini juga menargetkan individu yang terhubung dengan organisasi non-pemerintah dan lembaga think tank yang berfokus pada isu-isu Rusia atau keamanan Eropa Timur.

Pilihan target ini mencerminkan prioritas strategis Rusia dalam memperoleh informasi intelijen dari lingkaran dalam pemerintah Barat dan sekutunya. Dengan membobol akun Signal para korban, pelaku tidak hanya dapat membaca pesan pribadi, tetapi juga memetakan jaringan kontak, rencana operasional, dan informasi sensitif lainnya yang dapat digunakan untuk keuntungan Rusia.

Teknik yang Digunakan Pelaku dan Modus Operandi

Pelaku menggunakan berbagai teknik untuk menipu korban agar menyerahkan kunci pulih mereka. Salah satu metode yang paling umum adalah melalui pesan phishing yang dikirim melalui aplikasi perpesanan lain atau email. Pesan-pesan ini sering kali menyamar sebagai pemberitahuan resmi dari Signal, dengan alamat pengirim yang dibuat mirip dengan domain resmi Signal, misalnya "support@signal[.]org" atau "security@signal[.]com".

Pesan phishing biasanya berisi narasi yang mendesak korban untuk segera bertindak karena Signal diklaim telah mendeteksi aktivitas mencurigakan atau akan menerapkan kebijakan keamanan baru. Korban kemudian diminta untuk mengaktifkan pencadangan Signal dan mencatat kunci pulihnya. Dalam beberapa kasus, korban diarahkan untuk memasukkan kunci pulih langsung ke dalam situs web palsu yang dirancang untuk terlihat seperti halaman pengaturan Signal.

Selain itu, pelaku juga memanfaatkan teknik pengalihan domain (domain spoofing) dan sertifikat SSL palsu untuk membuat halaman web palsu terlihat lebih meyakinkan. Beberapa korban melaporkan bahwa mereka menerima panggilan telepon dari pihak yang mengaku sebagai tim dukungan Signal, yang kemudian meminta mereka untuk membacakan kunci pulih melalui telepon. Teknik ini menunjukkan bahwa pelaku tidak hanya mengandalkan serangan digital, tetapi juga memanfaatkan rekayasa sosial secara langsung.

Dampak yang Dapat Ditimbulkan oleh Pembobolan Kunci Pulih

Dampak dari pembobolan kunci pulih Signal sangat luas dan berjangka panjang. Pertama, pelaku dapat mengakses semua pesan, foto, dan file media yang pernah dicadangkan oleh pengguna. Ini berarti bahwa bahkan pesan yang dikirim bertahun-tahun lalu dapat dibaca kembali, memberikan pelaku wawasan mendalam tentang kehidupan pribadi, hubungan, dan aktivitas profesional korban.

Kedua, dengan akses ke riwayat komunikasi, pelaku dapat memetakan jaringan kontak korban. Hal ini memungkinkan mereka untuk mengidentifikasi individu lain yang memiliki nilai intelijen, baik di dalam maupun di luar organisasi korban. Informasi ini kemudian dapat digunakan untuk melancarkan serangan lebih lanjut terhadap target sekunder, seperti rekan kerja atau keluarga korban.

Ketiga, pembobolan ini dapat membahayakan keselamatan fisik korban. Dalam konteks sasaran yang melibatkan pejabat pemerintah atau aktivis, informasi yang diperoleh pelaku dapat digunakan untuk melakukan intimidasi, pemerasan, atau bahkan tindakan kekerasan. Misalnya, jika korban membahas rencana perjalanan atau lokasi tempat tinggal dalam pesan yang dibobol, pelaku dapat memanfaatkan informasi tersebut untuk merencanakan serangan fisik.

Langkah-langkah Perlindungan bagi Pengguna Signal

Untuk melindungi diri dari serangan semacam ini, pengguna Signal perlu mengambil beberapa langkah pencegahan. Pertama, pengguna harus selalu memverifikasi sumber pesan yang masuk. Signal tidak akan pernah meminta pengguna untuk membagikan kunci pulih, kode verifikasi, atau PIN akun melalui pesan atau panggilan telepon. Jika menerima pesan yang mencurigakan, pengguna harus langsung memverifikasi melalui saluran resmi Signal, seperti situs web atau aplikasi resmi.

Kedua, pengguna disarankan untuk menonaktifkan fitur pencadangan otomatis dan hanya mengaktifkannya saat benar-benar diperlukan. Selain itu, kunci pulih tidak boleh disimpan dalam bentuk digital yang mudah diakses, seperti catatan di ponsel atau komputer. Sebaiknya, kunci pulih dicatat di atas kertas dan disimpan di tempat yang aman, terpisah dari perangkat digital.

Ketiga, pengguna dapat memanfaatkan fitur verifikasi dua faktor (2FA) yang ditawarkan oleh Signal. Meskipun fitur ini tidak mencegah pencurian kunci pulih, setidaknya dapat menambah lapisan keamanan tambahan untuk mencegah akses tidak sah ke akun. Selain itu, pengguna juga dapat memantau perangkat yang terhubung ke akun Signal mereka melalui pengaturan aplikasi. Jika ada perangkat yang tidak dikenal, pengguna harus segera mencabut aksesnya.

Respons dari Signal dan Upaya Kolaborasi dengan Penegak Hukum

Signal, sebagai pengembang aplikasi perpesanan yang mengutamakan privasi, telah memberikan respons terhadap peringatan ini. Perusahaan menekankan bahwa kunci pulih hanya boleh digunakan untuk memulihkan pesan yang hilang akibat kehilangan perangkat, dan tidak pernah diminta untuk aktivitas lain. Signal juga telah meningkatkan upaya untuk mendeteksi dan memblokir akun-akun palsu yang menyamar sebagai tim dukungan resmi.

Selain itu, Signal bekerja sama dengan FBI, CISA, dan lembaga penegak hukum lainnya untuk mengidentifikasi dan menutup infrastruktur yang digunakan oleh pelaku. Kolaborasi ini mencakup pertukaran informasi mengenai teknik serangan, domain palsu, dan alamat IP yang digunakan dalam kampanye phishing. Signal juga telah memperbarui panduan keamanan di dalam aplikasi dan situs webnya untuk memberikan informasi yang lebih jelas mengenai cara melindungi kunci pulih dan menghindari serangan phishing.

Namun, Signal juga menekankan bahwa tanggung jawab utama untuk menjaga keamanan akun tetap berada di tangan pengguna. Meskipun Signal terus meningkatkan sistem keamanannya, pengguna harus tetap waspada dan proaktif dalam melindungi data pribadi mereka. Perusahaan juga mendorong pengguna untuk melaporkan setiap aktivitas mencurigakan atau upaya phishing yang mereka terima.

Apa yang Harus Dilakukan jika Kunci Pulih Telah Diekspos?

Jika pengguna mencurigai bahwa kunci pulih mereka telah diekspos atau akun Signal mereka telah dibobol, ada beberapa tindakan yang harus segera diambil. Pertama, pengguna harus segera mematikan fitur pencadangan Signal dan mencabut semua perangkat yang terhubung ke akun mereka melalui pengaturan aplikasi. Langkah ini akan mencegah pelaku untuk mengakses pesan atau media yang disimpan di perangkat lain.

Kedua, pengguna harus memulai proses pemulihan akun dengan membuat akun Signal baru dan memindahkan kontak mereka ke akun baru tersebut. Meskipun pesan lama tidak dapat dipulihkan, setidaknya pengguna dapat memulai komunikasi baru dengan kontak mereka tanpa risiko pembobolan lebih lanjut. Pengguna juga disarankan untuk memberitahu kontak mereka mengenai insiden ini agar mereka dapat waspada terhadap aktivitas mencurigakan.

Ketiga, pengguna harus melaporkan insiden ini kepada Signal melalui formulir pelaporan resmi yang tersedia di situs web atau aplikasi. Signal akan memberikan panduan lebih lanjut mengenai langkah-langkah yang harus diambil, serta membantu pengguna untuk memulihkan akun mereka dengan aman. Selain itu, pengguna juga dapat melaporkan insiden ini kepada pihak berwenang setempat, terutama jika mereka merasa terancam secara fisik atau profesional akibat pembobolan tersebut.

Masa Depan Ancaman Siber dan Implikasi bagi Pengguna Aplikasi Perpesanan

Kampanye phishing yang menargetkan kunci pulih Signal ini menunjukkan bahwa ancaman siber terus berkembang dan semakin canggih. Pelaku tidak hanya mengandalkan teknik-teknik lama, tetapi juga mengembangkan strategi baru untuk mengeksploitasi kelemahan manusia dan sistem. Hal ini menekankan pentingnya kesadaran keamanan yang tinggi di kalangan pengguna aplikasi perpesanan, terutama mereka yang menangani informasi sensitif.

Bagi pengembang aplikasi perpesanan, serangan ini menjadi pengingat bahwa enkripsi ujung-ke-ujung saja tidak cukup untuk melindungi pengguna. Mereka perlu mengembangkan mekanisme keamanan tambahan, seperti pembatasan akses terhadap kunci pulih atau penggunaan autentikasi multi-faktor yang lebih kuat. Selain itu, kolaborasi dengan lembaga penegak hukum dan organisasi keamanan siber juga menjadi kunci untuk memerangi serangan yang semakin kompleks.

Bagi pengguna, serangan ini menunjukkan bahwa keamanan digital tidak boleh dianggap remeh. Pengguna harus selalu waspada terhadap upaya phishing, tidak pernah membagikan informasi sensitif seperti kunci pulih, dan secara rutin memeriksa pengaturan keamanan akun mereka. Dengan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat mengurangi risiko menjadi korban serangan siber yang merugikan.