Pesan bernada mesum muncul di akun Instagram @sasmitomadrim.
Begini isinya, “neng berapa klu cek in aku sangat nafsu lihat tato diatas segitiga bermuda oh…yes…oh yes…??? call back neng di no ay 085xxxxxxx69”.
Tulisan itu menjadi keterangan pada foto perempuan yang hanya mengenakan dua helai pakaian, bra hitam di atas dan celana dalam merah muda di bawahnya.
Masalahnya, foto sensual itu diunggah akun Instagram Sasmito Madrim, Ketua Aliansi Jurnalis Independen (AJI) Indonesia. Foto itu juga menyertakan nomor telepon pribadi Sasmito.
Heh, Ketua AJI Indonesia kok mesum gini? Janggal sekali.
Beberapa komentar di sana pun menanyakan dan menjelaskan. Akun Instagram Sasmito memang diretas.
Celakanya, peretas tidak hanya menyerang akun Instagram. Pelaku juga mengambil alih dua akun digital Sasmito yang lain, yaitu WhatsApp dan Facebook. Sekitar 30 menit sebelumnya, pelaku telah mengambil alih akun Whatsapp dulu. Kemudian dua aset lain pun jadi korban, Instagram dan Facebook.
Karena korban serangan kali ini merupakan figur penting, ketua organisasi jurnalis penting di Indonesia, insiden ini langsung mendapat perhatian. Organisasi bergerak cepat. Media-media langsung menulisnya. Begitu pula dengan tim reaksi cepat yang biasa menangani insiden keamanan digital di kalangan aktivis.
Ada sejumlah temuan dan indikasi bersifat internal tentang serangan tersebut. Namun, berdasarkan analisis bersama, ada pula beberapa rekomendasi hal yang menurutku bisa jadi pelajaran bersama.
Pertama, terapkan keamanan digital di setiap situasi.
Kewaspadaan itu aspek penting sekali. Pada situasi tertentu, ketika serangan datang bertubi-tubi, kita memang jadi lebih waspada. Kita jadi siaga penuh karena sadar bahwa ada pihak-pihak yang mengincar kita. Level kewaspadaan kita jadi merah.
Namun, ketika kondisi agak melandai dan santai, bukan berarti kita bisa abai terhadap praktik-praktik keamanan digital. Strategi dan taktik keamanan digital tetap harus selalu diterapkan.
Contohnya, ketika sedang liburan atau melakukan pekerjaan di luar urusan pekerjaan atau aktivisme, tetap saja taktik keamanan digital itu harus diterapkan. Mengaktifkan virtual private network (VPN) saat memakai koneksi publik di bandara, hotel, atau kafe menjadi sebuah keharusan.
Jika kita tidak melakukan itu, maka pelaku bisa dengan mudah melakukan serangan lewat koneksi Wifi palsu, misalnya, untuk kemudian merekam semua credential login yang kita pakai ketika menggunakan koneksi jebakan itu. Metode lain, bisa saja dengan memantau lalulintas koneksi meski hanya sebagai sesama pengguna satu koneksi Wifi.
Dampak serangan berbasis Wifi ini paling parah, sih. Jika pelaku bisa menguasai nama akun dan katasandi surel korban sementara surel itu dipakai sebagai identitas ketika mendaftar layanan-layanan digital lain, katakanlah media sosial atau belanja.
Lebih parah lagi jika surel itu tidak menggunakan pengamanan berlapis seperti autentikasi dua langkah (2FA). Begitu nama akun dan kata sandinya sudah dikuasai pelaku, maka dia dengan mudah mengakses aset-aset korban lainnya.
Kedua, lakukan audit berkala terhadap aset-aset kita.
Dalam beberapa kali kejadian, korban tidak bisa mengakses lagi akunnya yang diserang karena dia lupa “pintu darurat” untuk menyelamatkan aset tersebut. Padahal, seandainya dia masih bisa mengakses pintu darurat itu, maka masih ada peluang menyelamatkan asetnya yang diserang.
Contohnya, aset yang diserang adalah akun Instagram. Karena sudah terbiasa pada posisi masuk (login) di akunnya itu, korban sampai lupa surel yang digunakan untuk mendaftar. Dia juga bahkan lupa juga surel cadangan untuk notifikasi keamanan termasuk memulihkan akun jika ada masalah.
Atau, ketika dia ingat surel untuk pemulihan akun, celakanya kalau kemudian korban juga lupa kata sandi surel yang dia gunakan tersebut. Peluang untuk memulihkan akun yang diserang pun makin kecil.
Oleh karena itu, penting sekali untuk secara berkala mengingat semua nama pengguna, kata sandi akun, surel pemulihan, dan kata sandi surel itu. Aplikasi pengelola kata sandi (password manager) akan sangat membantu dalam upaya ini. Jika perlu, sekali waktu, kita bisa membuat semacam simulasi apa saja yang perlu kita lakukan ketika kita mengalami serangan.
Dengan begitu kita juga makin terbiasa dan terlatih jika suatu saat menjadi korban. Tidak harus menunggu jadi korban beneran baru kemudian menyesal karena tergagap dengan apa saja yang harus dilakukan.
Leave a Reply