Key Takeaways
- Kode otentikasi sedang diretas oleh bot suara yang menelepon dan meminta informasi Anda.
- Para peretas dapat menggunakan kode untuk membobol akun mulai dari Apple hingga Amazon.
- Jangan mengirim informasi pribadi melalui teks, dan tutup semua panggilan yang memaksa Anda untuk menyerahkannya, kata para ahli.
Anda mungkin ingin lebih berhati-hati dengan siapa Anda berbicara di telepon.
Peretas menggunakan bot suara canggih untuk mencuri kata sandi. Penyerang semakin menargetkan kode otentikasi dua faktor (juga dikenal sebagai 2FA) yang digunakan untuk mengamankan semuanya, mulai dari akun Apple hingga Amazon.
"Bot suara sangat bagus sehingga pengguna dapat dengan mudah percaya bahwa itu asli, terutama ketika tampaknya membantu menghentikan aktivitas jahat, seperti pembelian yang mencurigakan, " Joseph Carson dari perusahaan keamanan siber ThycoticCentrify, mengatakan kepada Lifewire dalam sebuah wawancara email. "Sayangnya, pada kenyataannya, peretas mencuri uang Anda."
Bot Obrolan
Peretas menggunakan bot khusus untuk melakukan panggilan otomatis yang meminta kata sandi sementara Anda, kata Jonathan Tian, salah satu pendiri Mobitrix Perfix, sebuah solusi iPhone, kepada Lifewire. Beberapa bot membuat Anda berpikir bahwa Anda sedang berbicara dengan perwakilan layanan pelanggan yang sebenarnya sebelum meminta kode Anda. Masalah ini baru-baru ini disorot di Motherboard.
"Peretas dapat dengan mudah terhubung ke akun Anda dan melakukan transaksi atau apa pun yang mereka inginkan setelah Anda mengirimkan kode verifikasi," tambah Tian.
Seorang penyerang yang menggunakan bot bisa mendapatkan daftar akun yang disusupi yang berisi email, nama, dan nomor telepon, kata pakar keamanan siber Steve Tcherchian kepada Lifewire. Peretas kemudian dapat mencoba masuk ke layanan seperti Amazon atau Google. Mengklik tautan 'setel ulang kata sandi' akan memicu pesan teks yang dikirim ke pemilik yang tidak menaruh curiga.
"Penyerang kemudian menelepon pemilik menggunakan bot mengatakan akun mereka telah disusupi dan memasukkan kode yang dikirim ke ponsel mereka untuk memvalidasi kepemilikan akun mereka," tambahnya. "Ketika pemilik memasukkan kode, pencuri sekarang memiliki faktor kedua yang hilang untuk membahayakan akun pengguna."
Para ahli mengatakan bahwa bot suara peretas adalah masalah yang berkembang.
"Ada lebih banyak bot suara di pasaran sekarang daripada sepuluh bulan yang lalu-walaupun mereka tetap merupakan investasi yang mahal," pakar privasi Hannah Hart memberi tahu Lifewire.
Bot dapat meniru semua jenis layanan untuk peretas yang membayar harganya, yang berarti ada potensi pelanggan yang luas untuk dihubungi dan ditipu untuk menyerahkan kode 2FA atau OTP (kata sandi satu kali), kata Hart.
Ada lebih banyak bot suara di pasaran sekarang daripada sepuluh bulan yang lalu.
Karena bot suara tidak mengharuskan peretas untuk sangat terampil menggunakan teknik rekayasa sosial, siapa pun dapat menggunakannya, "jadi kemungkinan kita akan melihat peretas peniru yang ingin mencoba peruntungan," Hart ditambahkan.
Penipuan dan segala jenis serangan siber telah meningkat pesat dalam beberapa tahun terakhir, Bob Lyle, VP senior di perusahaan keamanan siber SpyCloud, mengatakan kepada Lifewire. Dan penggunaan kredensial curian oleh penjahat semakin canggih.
"Salah satu tantangan utama adalah kurangnya pemahaman tentang ancaman," katanya. "Karena maraknya penipuan telemarketing dan panggilan otomatis, banyak konsumen menganggap nomor telepon mereka telah disusupi tanpa menyadari bagaimana nomor itu dapat digunakan untuk mengakses akun mereka."
Melindungi Diri Sendiri
Ada cara untuk mencegah bot suara mencuri kode keamanan berharga Anda.
Jangan pernah memasukkan kode 2FA Anda kecuali Anda yang mengajukan permintaan, kata Carson. Ia juga menyarankan agar Anda selalu curiga terhadap setiap permintaan yang meminta kode 2FA Anda yang tidak Anda harapkan.
"Pastikan Anda secara berkala mengubah kata sandi Anda dan menggunakan pengelola kata sandi untuk membantu Anda membuat kata sandi unik yang panjang dan kuat untuk setiap akun," tambahnya.
Jangan mengirim informasi pribadi melalui teks, dan tutup panggilan yang memaksa Anda untuk menyerahkannya, kata Hart. Sebagai gantinya, periksa layanan secara langsung untuk mengawasi aktivitas akun Anda dan laporkan kecurigaan atau kekhawatiran apa pun kepada tim layanan pelanggan.
"Ada baiknya juga menyebarkan berita kepada teman dan keluarga tentang upaya peretasan yang tidak menyenangkan ini," tambah Hart. "Bagaimanapun, kita semua dapat menemukan diri kita ditargetkan oleh calon scammer, dan tidak selalu mudah untuk menentukan apakah sistem otomatis itu sah atau tidak."