Ancaman Siber Rusia Terbaru: Bagaimana Pelaku Menyerang Akun Signal dengan Kunci Pemulihan

Pendatang baru dalam dunia ancaman siber yang tengah berkembang saat ini datang dari kelompok intelijen Rusia. Mereka tidak lagi hanya mengandalkan phishing biasa untuk mencuri kode verifikasi atau PIN, melainkan memanfaatkan fitur pencadangan akun Signal yang sah untuk mendapatkan akses penuh terhadap riwayat percakapan korban. Dengan mencuri Kunci Pemulihan Pencadangan Signal, pelaku dapat memulihkan cadangan akun korban, membaca pesan pribadi maupun grup, dan bahkan mengambil alih akun tersebut secara permanen. Ancaman ini kini menjadi perhatian serius badan-badan keamanan nasional Amerika Serikat dan sekutu Eropa, setelah sebelumnya diungkapkan pada Maret dan diperbarui dengan detail taktik terbaru pada Juni.

Fitur pencadangan Signal memang dirancang untuk melindungi data pengguna dari kehilangan perangkat. Namun, dalam serangan ini, fitur tersebut justru menjadi pintu belakang bagi pelaku untuk menembus pertahanan privasi korban. Dengan mengelabui korban agar menyerahkan kunci pemulihan, pelaku tidak perlu memecahkan enkripsi Signal yang terkenal kuat. Mereka cukup memanfaatkan legitimasi fitur pencadangan untuk mendapatkan akses tak terbatas terhadap data korban. Ancaman ini semakin berbahaya karena kunci pemulihan yang dicuri tetap berlaku meskipun korban mencoba membuat akun baru dengan nomor telepon yang sama.

Bagaimana Pelaku Menggunakan Kunci Pemulihan Signal untuk Menguasai Akun

Serangan dimulai dengan pesan phishing yang menyamar sebagai tim dukungan resmi Signal. Pesan tersebut mendesak korban untuk mengaktifkan pencadangan Signal dan kemudian meminta mereka untuk mengunggah kunci pemulihan yang baru saja dihasilkan. Dalam skenario lain, korban diminta untuk menyalin kunci pemulihan yang sudah ada dan menempelkannya ke dalam obrolan dengan pelaku. Dua contoh pesan yang digunakan dalam serangan ini terlihat seperti pemberitahuan resmi dari Signal mengenai pembaruan keamanan atau pemulihan data yang mendesak.

Setelah korban menyerahkan kunci pemulihan, pelaku dapat memulihkan cadangan akun Signal korban dan mengakses semua pesan yang pernah dikirim, termasuk pesan pribadi dan grup. Bahkan, pelaku dapat mengambil alih akun korban dengan mudah, karena kunci pemulihan tersebut memungkinkan mereka untuk memulihkan akun kapan saja di perangkat mana pun. Yang lebih mengkhawatirkan, kunci pemulihan yang dicuri tetap berlaku meskipun korban mencoba membuat akun baru dengan nomor telepon yang sama. Dengan kata lain, korban tidak dapat sepenuhnya menghentikan akses pelaku hanya dengan mengganti nomor telepon atau perangkat.

Menurut peringatan resmi yang dikeluarkan oleh FBI dan CISA, serangan ini dikaitkan dengan kelompok intelijen Rusia yang dikenal dengan nama UNC5792 dan UNC4221. Kelompok ini diduga berafiliasi dengan berbagai layanan intelijen Rusia, termasuk FSB, serta personel militer yang terlibat dalam operasi intelijen. Target utama serangan ini adalah individu dengan nilai intelijen tinggi, seperti pejabat pemerintah saat ini dan mantan pejabat Amerika Serikat dan negara-negara sekutu, personel militer, tokoh politik, jurnalis, serta pejabat di Ukraina.

Mekanisme Kerja Serangan: Dari Phishing hingga Pencurian Data

Serangan ini merupakan evolusi dari taktik phishing yang sebelumnya hanya mencuri kode verifikasi SMS atau PIN akun. Pada gelombang awal, pelaku mengirimkan tautan undangan grup palsu yang secara diam-diam menghubungkan perangkat mereka ke akun korban. Namun, dengan memanfaatkan fitur pencadangan Signal, pelaku kini memiliki cara yang lebih efektif untuk mendapatkan akses jangka panjang terhadap data korban.

Proses serangan dimulai dengan pengiriman pesan phishing yang menyamar sebagai notifikasi resmi dari Signal. Pesan tersebut mendesak korban untuk segera mengaktifkan pencadangan akun mereka. Setelah korban mengikuti instruksi, pelaku kemudian meminta mereka untuk menyalin kunci pemulihan yang baru dibuat dan menempelkannya ke dalam obrolan. Dengan cara ini, pelaku mendapatkan akses penuh terhadap kunci pemulihan tanpa perlu memecahkan enkripsi Signal.

Setelah kunci pemulihan diperoleh, pelaku dapat memulihkan cadangan akun korban dan mengakses semua pesan yang pernah dikirim. Mereka juga dapat mengambil alih akun korban dengan mudah, karena kunci pemulihan tersebut memungkinkan mereka untuk memulihkan akun kapan saja. Yang lebih berbahaya, kunci pemulihan yang dicuri tetap berlaku meskipun korban mencoba membuat akun baru dengan nomor telepon yang sama. Hal ini menjadikan serangan ini sangat sulit untuk diatasi, karena korban tidak dapat sepenuhnya menghentikan akses pelaku hanya dengan mengganti nomor telepon atau perangkat.

Mengapa Fitur Pencadangan Signal Menjadi Sasaran Utama

Fitur pencadangan Signal memang dirancang untuk melindungi data pengguna dari kehilangan perangkat. Namun, dalam serangan ini, fitur tersebut justru menjadi celah keamanan yang dimanfaatkan oleh pelaku. Dengan memanfaatkan legitimasi fitur pencadangan, pelaku dapat mengelabui korban untuk menyerahkan kunci pemulihan tanpa menyadari konsekuensinya.

Salah satu alasan utama mengapa fitur pencadangan menjadi sasaran adalah karena kunci pemulihan tersebut berfungsi sebagai "kunci utama" untuk mengakses semua data yang pernah dikirim melalui Signal. Dengan memiliki kunci pemulihan, pelaku tidak perlu memecahkan enkripsi Signal yang terkenal kuat. Mereka cukup memanfaatkan legitimasi fitur pencadangan untuk mendapatkan akses tak terbatas terhadap data korban.

Selain itu, fitur pencadangan Signal juga memungkinkan pelaku untuk mengakses riwayat percakapan korban secara lengkap, termasuk pesan pribadi dan grup. Hal ini menjadikan serangan ini sangat berbahaya, karena pelaku dapat mengumpulkan informasi sensitif yang dapat digunakan untuk tujuan intelijen atau pemerasan. Dengan kata lain, fitur pencadangan Signal yang dirancang untuk melindungi data pengguna justru menjadi senjata bagi pelaku untuk mencuri data tersebut.

Langkah-Langkah Perlindungan: Bagaimana Mengamankan Akun Signal dari Serangan

Untuk melindungi akun Signal dari serangan semacam ini, pengguna perlu mengambil langkah-langkah pencegahan yang tepat. Pertama, pengguna harus selalu waspada terhadap pesan phishing yang menyamar sebagai notifikasi resmi dari Signal. Signal tidak akan pernah meminta pengguna untuk menyerahkan kunci pemulihan atau kode verifikasi melalui pesan pribadi. Jika menerima pesan yang mencurigakan, pengguna harus segera menghapusnya dan tidak mengikuti instruksi apa pun yang terdapat di dalamnya.

Kedua, pengguna dapat mematikan fitur pencadangan Signal jika tidak diperlukan. Dengan mematikan pencadangan, pengguna tidak perlu khawatir tentang kunci pemulihan yang disalahgunakan oleh pelaku. Namun, jika pengguna tetap ingin menggunakan fitur pencadangan, mereka harus memastikan untuk tidak pernah membagikan kunci pemulihan kepada siapa pun, termasuk tim dukungan Signal resmi.

Ketiga, pengguna dapat secara berkala menghasilkan ulang kunci pemulihan Signal di pengaturan akun. Dengan melakukan ini, pengguna akan membatalkan kunci pemulihan lama dan menggantinya dengan kunci yang baru. Hal ini akan mencegah pelaku yang telah mencuri kunci pemulihan lama untuk mengakses data pengguna di masa depan. Meskipun pelaku mungkin telah mencuri data sebelumnya, langkah ini akan memastikan bahwa data di masa depan tetap aman.

Keempat, pengguna harus selalu menggunakan fitur verifikasi dua langkah (2FA) di akun Signal mereka. Fitur ini akan menambahkan lapisan keamanan tambahan yang menghalangi pelaku untuk mengambil alih akun meskipun mereka memiliki kunci pemulihan. Dengan mengaktifkan 2FA, pengguna akan diminta untuk memasukkan kode verifikasi tambahan setiap kali mencoba mendaftar ulang akun Signal mereka.

Implikasi bagi Pengguna Signal dan Masyarakat Secara Luas

Ancaman yang dihadapi oleh pengguna Signal saat ini tidak hanya terbatas pada individu dengan nilai intelijen tinggi. Meskipun kelompok sasaran utama adalah pejabat pemerintah, militer, jurnalis, dan tokoh politik, tidak menutup kemungkinan bahwa pelaku juga akan menargetkan individu lain yang dianggap memiliki akses terhadap informasi sensitif. Dengan kata lain, serangan ini berpotensi mempengaruhi siapa pun yang menggunakan Signal untuk komunikasi pribadi atau profesional.

Bagi pengguna Signal yang berada di lingkungan yang berisiko tinggi, seperti aktivis, pengacara, atau pekerja di bidang keamanan, ancaman ini menjadi sangat serius. Mereka perlu mengambil langkah-langkah ekstra untuk melindungi akun mereka, seperti mematikan fitur pencadangan, secara berkala menghasilkan ulang kunci pemulihan, dan selalu menggunakan 2FA. Selain itu, pengguna juga harus selalu waspada terhadap pesan phishing dan tidak pernah membagikan informasi sensitif seperti kunci pemulihan atau kode verifikasi kepada siapa pun.

Bagi masyarakat luas, serangan ini juga menunjukkan betapa pentingnya untuk selalu waspada terhadap ancaman siber yang semakin canggih. Pelaku tidak lagi hanya mengandalkan taktik phishing sederhana, tetapi juga memanfaatkan fitur-fitur sah yang ada di dalam aplikasi untuk mencuri data. Oleh karena itu, pengguna perlu terus meningkatkan kesadaran mereka tentang keamanan siber dan mengambil langkah-langkah pencegahan yang tepat untuk melindungi data pribadi mereka.

Tanggapan dari Aktor Keamanan Nasional dan Sekutu

Ancaman yang dihadapi oleh pengguna Signal saat ini telah menarik perhatian badan-badan keamanan nasional Amerika Serikat dan sekutu Eropa. FBI dan CISA telah mengeluarkan peringatan resmi yang memperbarui peringatan sebelumnya mengenai serangan ini. Mereka juga memberikan rekomendasi kepada pengguna Signal untuk melindungi akun mereka dari serangan semacam ini.

Selain itu, Departemen Luar Negeri Amerika Serikat melalui program Rewards for Justice juga menawarkan hadiah hingga $10 juta bagi siapa pun yang memberikan informasi yang mengarah pada identifikasi atau penangkapan anggota kelompok UNC5792. Langkah ini menunjukkan betapa seriusnya ancaman yang dihadapi oleh Amerika Serikat dan sekutu-sekutunya terhadap serangan siber yang berasal dari Rusia.

Tidak hanya Amerika Serikat, badan-badan intelijen di Eropa seperti AIVD dan MIVD dari Belanda, BfV dan BSI dari Jerman, serta ANSSI dari Prancis juga telah mengeluarkan peringatan serupa mengenai serangan ini. Hal ini menunjukkan bahwa ancaman siber yang berasal dari Rusia saat ini menjadi perhatian global dan memerlukan kerja sama internasional untuk menanganinya.

Masa Depan Keamanan Aplikasi Pesan Terenkripsi

Ancaman terhadap aplikasi pesan terenkripsi seperti Signal menunjukkan bahwa tidak ada sistem yang benar-benar aman dari serangan siber. Meskipun Signal memiliki enkripsi end-to-end yang kuat, pelaku tetap dapat menembus pertahanan dengan memanfaatkan fitur-fitur sah yang ada di dalam aplikasi. Oleh karena itu, pengembang aplikasi pesan terenkripsi perlu terus meningkatkan fitur keamanan mereka untuk mencegah penyalahgunaan semacam ini.

Salah satu langkah yang dapat diambil oleh pengembang adalah dengan membatasi akses terhadap kunci pemulihan. Misalnya, dengan menambahkan lapisan verifikasi tambahan sebelum mengizinkan pengguna untuk mengakses kunci pemulihan, atau dengan membatasi jumlah percobaan untuk memulihkan akun. Selain itu, pengembang juga dapat memberikan peringatan yang lebih jelas kepada pengguna ketika mereka diminta untuk membagikan kunci pemulihan.

Bagi pengguna, penting untuk selalu mengikuti perkembangan terbaru mengenai ancaman siber dan mengambil langkah-langkah pencegahan yang tepat. Dengan meningkatkan kesadaran tentang keamanan siber dan menggunakan aplikasi pesan terenkripsi dengan bijak, pengguna dapat melindungi data pribadi mereka dari serangan yang semakin canggih.