Kuala Lumpur, 23/2/2025
Pernah terima mesej dari WhatsApp atau Telegram seperti “Boleh minta tolong transfer duit RM5,000, InsyAllah petang saya transfer balik.” Pesanan ini menunjukkan akaun sahabat kita telah digodam dan pesanan itu datangnya dari Hacker. Ini adalah modus operandi (MO) penipuan secara online dengan penggodam menyamar sebagai rakan atau saudara-mara kita.
Bagi menangani kes seperti diatas kita dinasihatkan untuk mengaktifkan ‘Two Factor Authentication (2FA) atau system ‘Pengesahan Dua Peringkat’ tetapi apa pula yang boleh kita buat kalua Hacker telah berjaya melepasi 2FA?
Penggodam telah mencipta kit phishing yang mampu melepasi pengesahan dua faktor (2FA), satu langkah keselamatan yang selama ini dianggap sangat berkesan didalam melindungi akaun dalam talian.
Pengesahan dua faktor, yang memerlukan pengguna untuk memberikan kod keselamatan tambahan (biasanya dihantar melalui e-mel atau SMS) bersama kata laluan untuk log masuk, adalah langkah keselamatan yang disarankan untuk melindungi akaun yang sensitif. Namun, alat phishing baru yang dikenali sebagai Astaroth, dinamakan sempena syaitan dalam mitologi abad pertengahan, kini telah berjaya membolosi 2FA.
SlashNext, sebuah firma keselamatan siber, merupakan syarikat yang pertama mengesan Astaroth memberitahu Astaroth bukan sahaja berupaya melepasi Telegram dan WhatsApp malah Berjaya membolosi 2FA pada platform utama seperti Google, Microsoft, dan Yahoo. Penggodam menipu pengguna dengan menghantar pautan palsu yang membawa mereka ke halaman log masuk palsu yang meniru sepenuhnya antara muka platform yang sebenar. Apabila pengguna memasukkan butiran log masuk dan kod 2FA mereka, maklumat tersebut segera dicuri oleh penjenayah siber.
Apa yang menjadikan Astaroth sangat berbahaya adalah kemampuannya untuk memintas kod 2FA secara langsung. Kit phishing lengkap ini dilaporkan dijual di Dark Web pada harga $2,000 (RM8,855).
Pakar-pakar keselamatan menasihatkan agar sentiasa berhati-hati dengan pautan yang mencurigakan dan mempertimbangkan kaedah pengesahan yang lebih selamat seperti passkey, yang menggunakan data biometrik atau kod yang disimpan pada peranti anda, sebagai ganti kata laluan tradisional. Kaedah ini disokong oleh syarikat teknologi besar seperti Apple, Google, dan Microsoft.
Terdahulu sebelum ini Majlis Keselamatan Negara (MKN: https://www.mkn.gov.my/web/ms/2024/09/26/scammer-kaut-rm6-juta-sehari-di-malaysia/ ) ada mengeluarkan kenyataan melaporkan jenayah penipuan dalam talian di Malysia megalami kadar peningkatan serius dan mengakibatkan keruguan mencecah RM1.76 billion dan ini bermakna scammer Berjaya mengaut lebih dari RM6 juta sehari.
#Prezcom