Bitcoin Forum

Dua hari yang lalu saya kena fake transaction di Idax dan hanya menyisakan $80 dollar di balance saya dan itupun dalam bentuk koin sampah.
Kalau saya lihat record transaksinya, tidak lebih dari 10 menit balance 0.25 btc saya habis dengan transaksi buy/sell palsu.
Masalahnya, akun saya sudah saya lindungi dengan 2FA (email dan GA confirmation) tapi kok masih bisa di hack ya?
Ada yg punya pengalaman sama?
Satu lagi, apakah akun saya masih aman saya pakai untuk trading berikutnya dengan ganti password tentunya?  Mohon pencerahannya master.
Thanks

Di inbox email agan ada email masuk tentang kode konfirmasi ga? Untuk melihat apakah ada yang berusaha login.

hacking bisa dilakukan lewat banyak cara, dan tidak menutup kemungkinan hacker atau siapapun itu juga sudah punya kode ga dan juga akses ke email agan. mungkin mereka mendapatkannya lewat phising atau mungkin menginstall malware dan sejenisnya di komputer agan, kita tidak ada yang tahu. atau mungkin si idax sendiri yang melakukan buy sell palsu.

kalau kejadiannya sudah seperti ini saran saya pastikan dulu komputer agan bersih, ganti email/password email, ganti 2fa agan, untuk mengantisipasi orang lain sudah memiliki kode ga agan.

2fa cuma bisa bekerja kalau yang tahu kodenya agan sendiri. kalau ada orang lain yang punya ya tentunya percuma. tidak ada jaminan tidak kena hack selain kewaspadaan dan kehati-hatian agan sendiri.

Seharusnya bukan cuma di komputer aja gan, klo 2fa sudah kebobol ini masalahnya berarti sudah menjalar ke hp / smartphone korban. Apalagi 2fa ini kodenya selalu berganti2 seiring waktu dan seharusnya sangat susah ditembus.

Kecuali kalo 2fa nya pakai versi pc atau backup 2fa nya ditaruh di pc juga.

2FA merupakan sistem kode yang dikirimkan dengan 3 model, yaitu email, sms dan aplikasi 2FA. kemungkinannya sudah disampaikan juga oleh anu1908 (https://bitcointalk.org/index.php?action=profile;u=1920923) dan juga  turkandjaydee (https://bitcointalk.org/index.php?action=profile;u=238725)

Saya membuat sedikit infografis terkait cara kerja dari 2FA pada gambar di atas. Pada anak panah putih itu menandakan proses dari user dan website. Di mana proses ini bisa ditempuh jika akses tidak membutuhkan konfirmasi tambahan seperti 2FA. Sedangkan pada anak panah orange adalah proses tambahan dengan menggunakan 2FA.

Jika akun terkena hack, seharusnya hacker belum bisa mengakses jika tidak bisa mendapatkan 2FA. Jika email terkena hack, 2FA by email, maka email dan password Anda sebaiknya tidak digunakan lagi. Lebih baik membuat lagi akun email baru dengan password yang berbeda. Tetapi, Anda juga harus mengganti password email Anda yang terkena hack tersebut untuk keamanan, tetapi jangan digunakan untuk akun exchange lagi.

Jika akun maupun email tidak terkena hack, ada indikasi IDAX yang terkena hack, tetapi jika mereka tidak terkena hack maka itu artinya desas-desus IDAX adalah scammer memang benar adanya.

Tidak ada jaminan 2FA bakal mencegah akun kita tidak terkena hack, ada banyak artikel yang menjelaskan bagaimana hacker mem-bypass akun yang dilengkapi dengan 2FA. contoh artikel yang menjelaskan potensi tersebut diantaranya:
https://techcrunch.com/2018/05/10/hacker-kevin-mitnick-shows-how-to-bypass-2fa/
https://www.sales1crm.com/blog/ini-cara-peretas-mengakses-mencuri-akun-yang-dilindungi-2fa

Otentikasi dua faktor (2FA) tidak bisa menjamin keamanan akun 100%.
Ia hanya berfungsi untuk membuat otentikasi jauh lebih sulit untuk diretas. Ingat: Jauh lebih sulit bukan berarti tidak bisa.

Baca wawancara CNBC dengan Kevin Mitnick salah seorang hacker paling terkenal didunia, tentang bagaimana peretas membobol 2FA

https://c[Suspicious link removed]m/2019/01/04/how-secure-is-your-account-two-factor-authentication-may-be-hackable.html

Selain itu, Otentikasi 2 FA sama sekali tidak membantu jika:

- Seseorang dapat memperoleh akses ke perangkat 2FA atau daftar OTP Anda

- Perangkat anda tertanam aplikasi jahat yang bisa mencuri data 2FA Anda.

-Hacker menyelinap di antara browser atau situs web yang anda akses , dan kemudian mencuri kredensial 2FA Anda saat ditransfer.

tolong dicek, apakah waktu open ordernya bertepatan dengan kegiatan online agan?
atau entah bagaimana mungkin si pembobol mendapatkan code API ketika agan (masih) login ke akun agan
lalu pembobol menggunakan code API tsb di kemudian waktu untuk melakukan buy/sell di akun agan

Di email saya ada pemberitahuan login di jam itu,hanya saja baru saya baca saat mau login malam harinya saat dimana saya tahu kalau balance saya habis. Kebetulan hp yg saya pakai utk trading dan email itu beda jadi jarang saya ngecek kecuali mmg saya sedang mau login .

---

Disini saya sangat awam ttg ini. Dalam benak saya dengan menggunakan verifikasi GA , akun saya sudah sangat aman.
Saya pernah baca kalau salah satu model phising adalah adanya pihak ketiga yg berada diantara user dan exchanger sehingga info request dari user bisa dicegat oleh mereka sebelum sampai ke pihak exchanger demikian sebaliknya. Mungkin kah ini yg terjadi. Mungkinkah HP dan email saya SDH di bawah kontrol mereka namun tidak atas tahu?

---

Saya sudah cek. Seingat saya saya mmg sempat login waktu itu sebelum saya tinggal mandi dan berangkat maghriban di masjid dan baru saya buka jam 9 malam ketika mau tidur.
Record buy sell palsunya antara 18.12-18.45 dimana setiap transaksi saya lihat membutuhkan waktu cuma 3 detik aja. Paling lama 5 detik. Semacam robot yg terprogram utk buy sell secara cepat.

---

Saya pernah membaca ini.
Saya juga pernah diingatkan ttg idax scan tapi karena 2 tahun ini saya aman aman sj transaksinya dan WD maka saya pikir itu kasuistik. Walaupun saya akui, kloningan admin tele mereka sangat banyak dan setiap saat mengirimkan private message namun tidak pernah saya tanggapi.

Saya menemukan member lain yang mengalami masalah serupa di mana aset yang ada di akun IDAX dicairkan oleh seseorang, padahal sudah mengaktifkan 2FA Google dan juga email.

---

Mohon maaf mas, ini reply OTT, jika melihat dari activity dan post yang mas miliki seharusnya sudah cukup lama berada di forum ini. membuat reply quote beruntun ini menyalahi aturan SFI yang sudah di sebutkan oleh moderator.


Jika belum tahu caranya, silakan scroll saat mengetik reply, dan temukan tombol pada gambar di bawah ini


Untuk menambah -snip- seperti yang saya lakukan, tinggal delete content dan ketik manual "-snip-" di dalam quote. cara ini juga bisa dilakukan untuk merespon poin yang ingin di balas/jawab. semoga mas memahami apa yang saya maksudkan.

Sumber: [RULES] Peraturan Sub-Forum Indonesia dan FAQ | BACA SEBELUM POSTING!  (https://bitcointalk.org/index.php?topic=764664.0)

Apakah ada kemungkinan untuk email yang sudah pernah kena hack, terkena hack lagi walaupun password sudah dirubah?

Dan juga mengenai ini :
Jujur, saya belum pernah menggunakan exchange ini dan belum pernah mendengarnya.
Apakah ada article atau semacamnya yang menyebutkan tentang desas desus ini?
Terimakasih

Beberapa tulisan tentang isu tersebut antara lain di medium ataupun twitter, saya lihat kontennya sudah dihapus.
Crypto Market Ads (CMA) got scammed by IDAX.pro for 10 BTC!
https://medium.com/@info_85454/crypto-market-ads-cma-got-scammed-by-idax-pro-for-10-btc-cb71152bb55f (https://medium.com/@info_85454/crypto-market-ads-cma-got-scammed-by-idax-pro-for-10-btc-cb71152bb55f)

CMA on Twitter: "#IDAX is a #SCAM exchange which conducts fake ...
https://twitter.com/cryptomarketads/status/1143864681863553025?lang=en (https://twitter.com/cryptomarketads/status/1143864681863553025?lang=en)

Thread diskusi yang masih aktif tentang IDAX, antara lain bisa dilihat disini:
https://bitcointalk.org/index.php?topic=5158708.msg51608863#msg51608863 (https://bitcointalk.org/index.php?topic=5158708.msg51608863#msg51608863)

Tentu ada, anggap saja kita menggunakan akun gmail, apabila si hacker menyelipkan email untuk dihubungkan ke akun Anda, tentu mereka bisa mereset password email Anda lagi. Terlebih lagi jika akun email kita dari provider yang tidak terpercaya. Saran saya silakan cek ke pengaturan akun terhubung pada email Anda, jika akun Anda sempat di hack. Buatlah password yang lebih panjang dari yang digunakan sebelumnya. Pastikan membuat password yang tidak berpola atau yang tidak mudah dibaca oleh orang lain tapi mudah diingat oleh Anda. percuma panjang kalau mudah dibaca misal "iloveyousomuch" ini password panjang, tapi password "iloveyou" sudah masuk daftar password yang mudah dibobol.

soal IDAX, sudah dijawab oleh Husna QA (https://bitcointalk.org/index.php?action=profile;u=1827294) ya.

Biasanya, email seperti Gmail punya story pembuatan awal akun seperti ip address perangkat. jadi, kalau email itu punya agan, buat sendiri di perangkat yang sama kena hack, agan bisa restore di HP atau ip yg sama. dan itu kecil kemungkinan akan kena hack kembali selagi email tersebut ada di perangkat terhubung, karena google telah mendeteksi akan keamanan dan memperkuatnya.

Tidak juga gan, cukup banyak juga mereka yang susah mengaktifkan fitur 2fa tetap kebobolan juga. Saya juga tidak tahu cara kerjanya karena saya bukan hacker, tapi yang jelas hal seperti itu ada. Apalagi kalau kelasnya hacker kelas atas, keamanan exchange sekelas Binance aja tetap bisa ditembus kok, terkahir kali kena hack $50 juta hilang.

Kalau saya lihat riwayat login yg dikirimkan ke email, kadang IP nya beda beda . Ketika saya cek di ip tracker, kadang ada dari Amerika dan Rusia . Padahal provider saya Telkomsel. Wajar gak sih ?

Untuk referensi agan Kamaruddin:
https://shahmeeramir.com/4-methods-to-bypass-two-factor-authentication-2b0075d9eb5f

Dlm artikel tsb disebutkan ada gap

Jadi berdasarkan artikel tersebut dan kronologi yang diceritakan oleh TS, kemungkinan celah keamanan terdapat di akun google agan Kamaruddin sendiri.

Jika memungkinkan, silahkan binding akun dengan nope kita juga (OTP).
Karena pengiriman melalui teks SMS kecil sekali bersentuhan dengan internet.

Berdasarkan apa yang saya ketahui, 2fa masih bisa ditembus jika sebelumnya peretas sudah berhasil menanamkan virus di device yang digunakan untuk mengakses 2fa.
https://youtu.be/a-dd0HoFI6w?list=PLpwe01kcTvjC0lLyaX6K6atadxfJfhabn&t=646

---

Agan @Ken Kamaruddin (https://bitcointalk.org/index.php?action=profile;u=1830363), berdasarkan analisis om Pandu tersebut, apakah email yang agan gunakan untuk mendaftar di IDAX sudah dilengkapi 2fa juga?

dengan mengaktifkan 2fa setidaknya akun exchange anda jauh lebih aman dibandingkan tidak menggunakan 2fa sama sekali, bahkan bisa menjadi salah satu cara untuk tidak terkena hack.

Penggunaan metode keamanan 2FA aman-aman aja jika device yang di gunakan untuk kode 2FA tidak terinfeksi malware. Contoh kyk android atau PC yang ente pakek klo udah kenak malware maka akan mengambil semua infomasi penting yang ada di device itu.
Mangkannya perlu hati-hati saat masuk situs yang belum terpercaya atau klo gak sengaja klik iklan dan mendownload aplikasi yang gak di kenal secara otomatis.
untuk PC mending pasang antivirus yang bagus, atau klo di windows 10 pakek antivirus bawaan yaitu windows defender.

Jika device ente udah kenak dan akun udah kebobolan, mending buat akun lagi dan  instal ulang device yang terkena malware biar lebih aman.

Apakah anda membaca OP thread ini? Atau hanya membaca judulnya aja?
Postingan anda gak ada korelasinya sama sekali dengan permasalahan yg disodorkan oleh TS.

---

Malware adalah salah satu jalan masuk bagi hacker utk bypass kode 2FA.
Selain melakukan injeksi malware, hacker juga mempunyai beberapa cara lain utk bypass kode tsb, sebagaimana yg saya posting di https://bitcointalk.org/index.php?topic=5169910.msg52006263#msg52006263.

Jika koneksi internet yang agan gunakan tanpa disertai dengan penggunaan VPN maupun proxy maka seharusnya lokasi dari IP yg agan gunakan adalah di Indonesia .... Tetapi jika kenyataannya data dari IP login memiliki riwayat lokasi yang berbeda-beda, maka bisa dipastikan ada pihak lain yg juga bisa login pada akun milik agan (kemungkinan pelakunya adalah 1 pihak yg menggunakan VPN/Proxy).

Mengganti password dengan tujuan tetap menggunakan akun untuk kegiatan trading menurut saya bukanlah langkah yg efisien, karena jika sebelumnya pihak pelaku bisa mendapatkan akses 2FA dari akun agan maka orang tsb kemungkinan juga bisa mengganti password milik agan (dimana untuk mengganti password dibutuhkan authentication dari 2FA). Mungkin sebaiknya agan membuat akun baru atau seperti saran Om pandu yakni menambahkan SMS authentication, tetapi sebelumnya pastikan device (smartphone) agan bersih dari malware, virus, dan 3rd app mencurigakan (karena untuk saat ini sudah banyak app yg bisa digunakan untuk memonitor sms)

Benar sekali. Saya juga sering dapat email seperti ini karena memakai password yang sangat mudah didapatkan dengan cara brute force dan sejenisnya, tetapi mereka tidak bisa login karena email verification / google auth yg saya pasang. Jadi sudah pasti akun agan pada situs yg mengirim email ip login agan sudah berhasil dibobol passwordnya.

Nah jika password agan masih cukup simpel seperti:Ini seperti password saya dulu yg sering dibobol orang, belum ada kombinasi uppercase + angka + simbol. Klo seperti ini agan bisa coba meningkatkan kualitas password agan seperti di thread ini: https://bitcointalk.org/index.php?topic=5170257.0. Ini harus diterapkan ke semua akun yang agan anggap penting.

Tapi klo ternyata password agan sudah cukup kompleks seperti di thread tersebut dan untuk kedepannya juga , maka seperti yg sudah sempat disebutkan sebelumnya bisa jadi memang hp / pc agan disadap oleh hacker.
Saran saya:

• Scan pakai aplikasi bernama malwarebytes (ada untuk versi hp juga).
• Uninstall semua aplikasi yang tidak agan kenal / tidak tahu untuk apa fungsinya. Lebih baik lagi klo agan bisa cek dlu apa fungsinya dengan ketik nama aplikasi tersebut di google.
• Klo misalkan sudah terlalu rumit isi dari hp / pc agan, lebih baik backup aplikasi yg penting / agan tau gunanya lalu di install ulang pc/hp agan.
• Quote from: Krislaw on July 30, 2019, 08:27:52 AM
  Biasanya, email seperti Gmail punya story pembuatan awal akun seperti ip address perangkat. jadi, kalau email itu punya agan, buat sendiri di perangkat yang sama kena hack, agan bisa restore di HP atau ip yg sama. dan itu kecil kemungkinan akan kena hack kembali selagi email tersebut ada di perangkat terhubung, karena google telah mendeteksi akan keamanan dan memperkuatnya.
  
  Cara / metode ini bisa dibilang wajib untuk agan terapkan karena setiap ada orang mau login ke email agan maka orang tersebut harus mendapatkan konfirmasi dari hp yang agan hubungkan ke email (seperti tombol 'yes' dan 'no'). Saya sendiri sudah menerapkan ini.
• Tetap ganti password akun2 agan karena memang sudah dibobol.
• Lalu seperti yang sudah banyak orang bilang kalau agan harus berhati2 jika login / menghubungkan / membuat akun di website2 yang mencurigakan dan juga jangan pernah memakai free wifi di tempat2 umum apalagi sampai melakukan transaksi / hal2 lainnya yg penting pada saat memakai wifi tersebut.

Seingat saya klo hp sudah disadap dengan aplikasi seperti Spy Phone App atau yang sejenisnya, sms juga bisa kebaca gan.

Itu karena hape tsb msh bersentuhan dg internet.
Bagaimana dengan Nokia 3310 dan jenis hape sejenis, atau seperti punya saya (Android Redmi 5A) tetapi dikhususkan utk call & text only dan tidak saya gunakan utk internet atau terkoneksi wifi.

AFAIK. Utk memasang aplikasi penyadap yg terdapat di playstore biasanya hp target harus kita pinjam secara diam2 utk memasang apk tsb.

Klo memang untuk keperluan sms authentication saja, menggunakan HP jadul yg masih berbasis java saya rasa memang opsi yang bagus. Lagian untuk harganya sendiri juga sangat terbilang murah  ;D


Mayoritas memang seperti itu Om, tapi jika pelaku melakukan phising (pelaku harus mengetahui nomor si korban terlebih dahulu) dengan cara mengirimkan link (contoh: XySpy) kepada korban dan korban menginstall app tsb melalui link tersebut, maka pelaku akan memiliki akses terhadap HP korban.

Jadi memang yg terpenting ialah tidak asal membuka dan meng-install link yg dibagikan oleh seseorang dan mungkin untuk gadget sendiri perlu diproteksi dengan password/PIN jadi pada saat kita lengah orang yg berada dekat dengan kita tidak bisa memasang app spy tsb secara diam-diam.

Wah memang benar klo seperti bisa gan, tapi bisa dibilang butuh pengorbanan sedikit lah. Apalagi klo untuk orang yg bukan geek dan bahkan cuma punya 1 hp, entah beli hp baru atau mengisolasi hp sendiri.

Klo untuk aplikasi playstore bisa gan, klo akun google nya ditembus/dibobol. Tapi ya tetap masuk notifikasi nya ke smartphone. (source: https://www.wikihow.tech/Install-Apps-Remotely-on-Android).

Klo untuk diluar playstore celahnya setau saya di kesalahan penggunanya. Klo misalkan penggunanya percaya untuk menginstall aplikasi berbahaya (contoh nya aplikasi yang punya embel-embel bisa menghasilkan uang).

Tambahan, sedikit OOT, untuk meneruskan terkait aplikasi berbahaya.

Selain aplikasi yang memberikan embel-embel uang, sebenarnya ada juga yang mungkin sengaja menyisipkan sistem nakal walaupun aplikasi ini lolos dan masuk playstore. Saya pernah install game, cuma karena sudah cukup lama sih jadi saya lupa nama gamenya. Saya heran karena setelah install game tersebut, saya melihat ada iklan di "mobile legend", nah ini kan aneh.

Kemudian, saya uninstall game tersebut, ternyata tetep ada iklan, bahkan beberapa aplikasi yang biasanya tidak ada iklan jadi ada iklan. artinya ada Adware pada HP saya. Saya cek di daftar aplikasi terinstall awalnya mikir tidak ada masalah, sampe akhirnya setelah beberapa hari saya mencari masalahnya, saya pun menemukan aplikasi asing didaftar aplikasi yang berjalan terus (running app) yang hanya berbentuk icon android seperti gambar ini

https://i.postimg.cc/FRXRCMWv/image.png

nama dari aplikasi tersebut, saya masih ingat dengan nama kamuflase "android-setting". ternyata setelah uninstall ini pun HP saya kembari normal tidak ada iklan. Model-model seperti ini pula yang bisa membuat ponsel kita terkena program jahat.

kemudian, install game mod, kita mungkin yang ga maniak game, pengen ngegame dan ga pengen stress, cari game yang sudah dimodifikasi agar koin banyak, ga bisa mati dan lain sebagainya, atau install mod aplikasi berbayar biar gratis. Menginstall aplikasi modifikasi seperti ini juga sangat rentan disusupin program jahat. mungkin saat ini sudah sangat berhati-hati untuk install game atau aplikasi mod. jika masih ada yang nyari, harap hati-hati jika pada hp Anda juga terdapat wallet, aplikasi exchange dan GA.

mengaktifkan 2fa tidak lah jaminan untuk tidak terkena hack, tetapi kita dengan mudah mengontrol akun dan aset2 kita, ane rasa kunci nya hanya pada kita gan, contoh nya exchange sekelas Binance aja tetap bisa ditembus, apalagi hanya 2fa,

2fa itu sebagai tambahan keaman bukan untuk kemudahan mengontrol aset
kalau exchange yang kena hack di luar kontrol kemanaan kita, tapi itu dari pihak exchange dan sampean cuma bisa pasrah

Yup, benar sekali seperti yang disebutkan oleh mas roy, 2FA hanya faktor tambahan untuk keamanan. Dalam hal ini untuk mencegah akses dari luar secara tidak wajar agar tidak langsung masuk ke aset. Saya coba menggambarkan secara sederhana kronologi ini dalam infografis berikut


Ketika kita sebagai user, kita akan diminta untuk memasukkan sandi dan 2FA untuk mengakses akun exchange yang kita miliki. Tetapi, dalam hal masalah hacking yang sifatnya direct pada website, maka hacker tidak membutuhkan lagi yang namanya security lagi. Mengingat mereka sudah berhasil menjebol security dari belakang. Artinya, jika mereka sudah bisa menjebol database user pada akun suatu website/exchange, mereka bisa sesuka hati melakukan apapun pada exchange atau website tersebut termasuk mengganti semua pengaturan keamanan akun. Sehingga hacker bebas membawa aset kita baik berupa Withdraw atau dengan cara membuat trading palsu yang menghabiskan aset kita.

Kemudahan dalam exchange tidak ditentukan dengan adanya 2FA atau tidak. Justru dengan 2FA kita mendapatkan perintah tambahan secara tidak langsung dari sistem. atau nambah step yang (mempersulit) kita untuk login secara bebas jika tidak memiliki kode 2FA. Kemudahan dalam mengontrol aset bergantung pada User Interface serta proses untuk WD yang disediakan oleh masing-masing exchange.

Coba perhatikan sedikit perbedaan mendasar antara wallet exchange dan persona dalam segi kontrol berikut (pada daftar adalah apa yang dimiliki oleh user)


Kita yang menggunakan wallet exchange tidak dapat mengontrol aset kita, kecuali mengontrol akun yang kita miliki. karena, wallet hasil generate yang dibuat oleh exchange tidak memiliki private key yang dapat kita simpan. Di mana private key dari hasil generator wallet pada suatu exchange bisa terdapat pada suatu database atau pula dihapus secara otomatis oleh sistem untuk menghindari hal-hal yang tidak diinginkan.

Kemudahan mengontrol aset adalah ketika kita bisa menyimpan aset serta memiliki private key kita sendiri.


ps: mohon koreksi jika ada kesalahan pada infografis

keamanan Bursa exchangenya memang lagi bermasalah mungkin, karena yang mengalami kendala seperti itu tidak 1 orang saja, ada beberapa orang yang memiliki kasus seruap.
Saya lebih menyarankan menyimpan asset di wallet pribadi, Jika memang ingin di HOLD. Kalau memang ingin trade pilih exchange yang sudah jelas ke amananya, saya lihat idax banyak kasus semenjak
program IEO atau lauchpad mereka di mulai. Jadi 2FA hanya kemanan tembok luar saja, misal didalamnya ada yang tidak beres apa pun bisa terjadi.

Memilih exchange dengan nama besar atau memiliki keamanan yang bagus tidak serta merta membuat aset yang kita miliki disana 100% aman .... Selama hacker dan oknum-oknum tidak bertanggung jawab masih merajalela didunia Cryptocurrency, maka suatu exchange akan tetap memiliki potensi menerima serangan hack, bahkan exchange sekelas Binance dan Bithumb tidak luput dari serangan tersebut.

https://binance.zendesk.com/hc/en-us/articles/360028031711-Binance-Security-Breach-Update
https://cafe.bithumb.com/view/board-contents/1640037


Jadi dalam memilih exchange selain menimbang dari sisi kredibilitas dan tingkat keamanan yang dimiliki, unsur tanggung jawab dari pihak exchange juga perlu dipertimbangkan. Sehingga jika terjadi hal-hal yg tidak diinginkan seperti kejadian hacked, system rusak, dan lain sebagainya, pihak exchange bersedia mengganti jika aset kita hilang dalam kejadian tersebut.

Pilihan lainnya ialah memilih DEX yang menggunakan non-custodial wallet dan memastikan device yang kita gunakan benar-benar bersih dari virus, trojan, keylogger, dll serta memiliki pengamanan system yang bagus (antivirus/antimalware, firewall, dll). Seperti halnya desktop wallet maupun 2FA, meskipun terinstall di PC atau device pribadi akan tetapi jika sistem dan jaringan yang dipakai tidak terproteksi dengan bagus maka akan selalu menjadi target empuk buat para hacker dan berbagai serangan phising.

Mungkin bisa saja device yang agan gunakan untuk login dan menyimpan GA terkena virus TROJAN,jadi informasi di device anda bisa di akses si hacker.
Saran saya lebih baik install ulang device anda , scan virus, atau ganti device aja

Plus jangan klik link sembarangan, meskipun 2fa merupakan lapisan proteksi tambahan selain password, tapi tidak menutup kemungkinan juga bisa ditembus.

*Kevin Mitnick, the chief hacking officer at Knowbe4, was once the FBI’s most wanted hacker. (CNBC (https://www.cnbc.com/2019/01/04/how-secure-is-your-account-two-factor-authentication-may-be-hackable.html))

Sebetulnya dibuatnya 2FA adalah salah satu dari sekian banyak fasilitas untuk membantu agar kita tidak terjadi perbuatan yang ingin berbuat kecurangan. tetapi semua akhirnya kembali terhadap  kita sendiri bagaimana kita agar terhindar dari orang yang ingin berbuat curang. banyak perilaku kita sendiri yang akan mengakibatkan kesalahan tersebut.
misal :
-membuka link email yang kita tidak ketahui.
-membuka web dari google tanpa diperhatikan benar karena gak taunya palsu (disarankan pakai bookmarks)
-dan jangan lupa pakai fasilitas virus internet dll.

Berdasarkan apa yang saya baca dari awal ada beberapa kemungkinan.

Pertama:
Ada yang melakukan Trading akun agan dan mungkin itu sebenarnya orang disekitar agan [masih satu rumah/kenal betul dengan agan] Yang parahnya belum tau soal trading jadi akun agan di exchange tersebut digunakan oleh "tangan jahil" orang tersebut.

Kedua:
Hacking 2FA Oleh pihak ketiga
Saya rasa penjelasan ini sudah cukup jelas disampaikan oleh komentar-komentar di atas

Ketiga:
Oknum Pihak exchange yang memang bermasalah

Opini dan Pertanyaan pribadi:
Kenapa masih nyisain $80?
Si Hacker Iba kah? Kasihan Kah?
Saya lebih cenderung kepada kemungkinan pertama mengingat sempat login, ditinggalkan dan menyisakan saldo $80

Yang ngomong sama juga siapa om?
kan saya bilang sebagai tambahan keamanan, ngapain sampean ngulang kalimat saya

Teman saya beberapa tahun lalu pernah di hack juga akunnya padahal sudah pakai 2fa
Setelah ditelusuri, ternyata 2fa nya bukan dari hp tapi dari chrome di komputer dia sendiri.. Saya tidak tau 2fa apa sih.. Tapi yg jelas, cara kerja hackernya seperti menggunakan aplikasi teamviewer.. Jadi hackernya bukan hanya bisa mengakses akunnya tapi bisa mengakses semua yang ada di komputer teman saya

Kalau kejadiannya udah kayak gini, mau pake password sepanjang 1 kamus pun juga ga bisa melindungi gan. 2FA cuma didesain untuk mencegah akun agan dibobol ketika penyerang mengetahui password atau hal lain yang bersangkutan dengan log in dsm. Kalau mereka sampe masuk dan mengakses komputer ya perlindungan itu udah hilang.

berarti sekuat apapun 2fa itu tidak menjamin keamanan kita atau mungkin bisa dikatakan hanya sedikit mempersulit hacker dlam mengambil data2 penting kita ...( tidak ada yang aman di onlen  ;D

Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp

Ya memang. Kalau ada yang aman ga bakal ada mekanisme perlindungan yang rumit gan. Agak naif kalau hanya dengan memasang 2FA atau password agan merasa data agan udah aman.


Mau di PC juga gapapa selama bisa melindungi keamanan PCnya sendiri. Kalau pake di hape juga ada potensi risiko hape hilang dan ga bisa login misalnya. Intinya semua model penggunaan 2FA punya celahnya masing-masing, agan hanya bisa 'aman' bila tahu gimana cara mengamankan diri dari serangan atas celah-celah tersebut.

Mau di PC atau HP sih resiko tetap ada tetapi bukan dari sistemnya hanya saja kita tidak safety mengamankan data dan perangkat yang menyimpan akses ke exchange, langkah antisipasi menurut saya adalah menyimpan kode 2FA, data login dan data email pada flashdisk sehingga misalnya kehilangan HP tetap bisa di akses 2FA nya dengan memasukkan kembali kode 2fa pada perangkat lain

Bukankah flashdisk itu malah rentan terkena virus? ditambah lagi usia pakai dari flashdisk itu setahu saya lebih pendek dari pada harddisk.

---

Meskipun semua perangkat ada celahnya masing-masing, tapi setidaknya cari perangkat yang celahnya lebih sedikit ketimbang lainnya, apalagi untuk urusan menyimpan data login, email ataupun data kode 2fa.

Sepertinya langkah yang agan utarakan bisa dipertimbangkan. Tapi sampai saat ini tidak banyak orang yang mengetahui perangkat apa yang cocok digunakan untuk meminimalisir celah atau resiko kerusakan. Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.

Pertanyaannya sudah agak keluar dari inti topik saya kira ...
Untuk macam-macam media penyimpanan data komputer, plus minusnya antara lain bisa dibaca disini:
http://blog.unnes.ac.id/sutrisno/2017/02/10/pengertian-dan-macam-macam-media-penyimpanan-data-komputer/ (http://blog.unnes.ac.id/sutrisno/2017/02/10/pengertian-dan-macam-macam-media-penyimpanan-data-komputer/)

Kalau untuk perbandingan ketahanan media penyimpanan, antara lain bisa dilihat pada tabel* berikut:
https://i.imgur.com/VvpXrbb.png
Sumber: https://hakmantenera.wordpress.com/2013/10/22/kapasitas-dan-ketahanan-media-penyimpanan-data_hakman_pawiran_sarim/ (https://hakmantenera.wordpress.com/2013/10/22/kapasitas-dan-ketahanan-media-penyimpanan-data_hakman_pawiran_sarim/)

*Data tersebut bersifat umum dalam keadaan pemakaian normal dan saya kira tidak sepenuhnya akurat juga, masih banyak faktor yang bisa saja mempersingkat usia pakai perangkat tersebut.

---

Kembali ke topik
Berikut ini salah satu video yang membahas tentang 2FA Exploit:

https://i.imgur.com/vSo0BLj.png (https://www.youtube.com/watch?v=xaOX8DS-Cto)

Tergantung konteks pemakaiannya juga om. Kalau cuma dipakai/diakses buat 2FA saja sekali dalam setahun ketika perangkatnya mau direset ya tentu usianya bisa panjang & bisa jadi kebal virus (ketika dibuat read-only). Flashdisk saya yang berasal dari tahun 2003 sampai sekarang masih hidup walaupun udah kebentur dan harus diselotip di sana-sini. Idenya ga begitu buruk selama penerapannya disesuaikan. Tapi tentunya tetap tidak menjamin 2FA tidak kena hack, apalagi kalau exchange/platformnya menerima pergantian 2FA hanya dengan nomor telepon, yang bisa dilakukan lewat SIM swapping.


Googling gan.

Salah satu ciri orang hemat  :)

---

SIM swapping... adakah member disini yang pernah mengalami hal ini...?
Tadi saya coba baca-baca terkait hal tersebut dan ada beberapa tips untuk menghindarinya.

Modus serangan ini sepertinya sudah ada di Indonesia tapi kayaknya gak begitu masif[1]. Mungkin karena butuh biaya dan ilmu yang relatif lebih sulit daripada modus penipuan biasa seperti nelpon dan mengancam keluarga korban ditangkep polisi. Ada beberapa solusi, baik dari segi operator ataupun pengguna itu sendiri. Sebagai pengguna memang yang paling aman ya stay anonymous, atau minimal gak mengumbar data" pribadi di internet. Kalau perlu, nomor hape hanya diketahui oleh orang yang agan kenal. Kalau mau transaksi kontak aja lewat akun Telegram pseudonim khusus.

SIM swapping sering jadi alat untuk menjebol/menerobos 2FA, tapi hal itu juga gak akan terjadi kalau password agan kuat dan selalu waspada. Selalu aktifkan notifikasi log-in atau percobaan log-in agar agan bisa cepat bertindak kalau ada upaya menjebol akun agan. Terutama di situs yang lebih memberatkan konfirmasi lewat telepon/sms daripada 2FA.

---

[1] https://news.detik.com/berita/d-4325326/polisi-berikan-tips-cegah-kejahatan-sim-swap-fraud

Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce? dan jika memang bisa apakah salah satu caranya hanya membatasinya?
seperti contoh jika kita salah memasukan 2fa 5x berturut-turut akun akan di kunci selama 2 jam

Oiya bagi yg belum tau bruteforce mungkin link berikut bisa bermanfaat dan bisa menambah pengetahuan baru
https://www.logique.co.id/blog/2019/04/25/brute-force-attack/

Kode yang dihasilkan dengan menggunakan 2FA biasanya random, jadi akan sulit saya kira (untuk saat ini) jikapun ada yang berusaha untuk menjebolnya menggunakan metode bruteforce. Untuk bruteforce password yang sifatnya statis/tidak berubah otomatis saja diperlukan perangkat komputer yang mumpuni.

Yang dimaksud dijebol, apakah kodenya atau 'seed'-nya? Kalau seednya mungkin lebih mudah dibandingkan jebol kode yang ada limit 30 detik, kecuali agan punya quantum komputer dan bisa melakukan 1 triliun komputasi per sepersepuluh detik. Walaupun begitu, menjebolnya juga susah karena agan juga harus memastikan seednya pas dengan kodenya.

Bakal lebih mudah jebol lewat sim-swap atau MITM daripada brute force kode 2FA.

Iya lebih mudah sim-swap kalau skill social engineering nya diatas rata2 dan memiliki DATAnya.

Kalau di Indo minta aja ke Telkomsel,  XL,  dan provider yg ada ;D.

Itu salahsatu bahaya dari kyc.

Rumornya,  twitter jack dorsey diretas oleh Chuckle Squad menggunakan teknik sim-swap.

Seed nya, pernah liat ada yg share tools nya waktu itu di grup sosmed cuman udah lama banget cuman ane masih inget kalau tools yg dishare nya itu tools untuk bruteforce seed 2fa dan itu juga belum tentu bisa ketebak karena memang harus mengumpulkan wordlist yg sangat banyak
brute force yg wordlist nya aja ribuan butuh waktu beberapa jam kelar

https://twitter.com/TwitterComms/status/1167591003143847936?s=20 (https://twitter.com/TwitterComms/status/1167591003143847936?s=20)

Di google banyak yang memberikan link tools untuk bruteforce namun peluang untuk berhasil juga tidak mudah, selain itu baiknya tidak disalahgunakan untuk merugikan pihak lain.

---

btw, dulu saya pernah iseng nyoba tes akses wifi orang lain dan berhasil membuka passwordnya :), namun ya sudah tidak saya manfaatkan akses wifi "gratis" itu karena tujuannya memang hanya ingin tahu saya bisa mengaksesnya atau tidak ...

https://www.backtrack-linux.org/
https://www.kali.org/

Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.

Saya belum sampai sejauh itu om nge-tes nya, lagi pula ilmu saya masih belum apa-apanya ketimbang om EmJi, om ElJi atau yang lainnya yang memang ahli IT.
btw, bagi yang punya wifi dengan SSID bisa dilihat publik, selain password sebaiknya manfaatkan juga filter MAC Address.

---

Oh ya, selain 2fa (two-factor authentication) ada istilah lain yang hampir mirip namun sebenarnya ada perbedaan dari cara kerja nya, yakni
2sv (two-step verification).
Referensi kalau mau baca lebih lanjut: https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/

Bisa-bisa saja terjadi, namun tentu ada metodenya. Misalnya memanfaatkan celah kernel dengan masuk atau mengarahkan user ke Chrome Sandbox, mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya. Terlebih apabila hape atau device pengguna yang lain tidak mengaktifkan firewall.

Tapi ngehack wifi untuk dapetin kode 2FA kayaknya bakal susah karena harus identifikasi sasarannya. Belum lagi kalau ternyata yang ngakses gak punya duit ya sia-sia tenaganya. Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. Masih banyak yang ketipu dan jumlahnya gak main-main.

Tapi ini bukan merupakan ajakan kan?  :)

Kalau metode ini saya pernah melihatnya, seolah mengirim pesan berupa gambar tapi tidak kebuka dan target dikecoh untuk mengklik link tersebut untuk bisa melihat gambarnya, dari situlah spyware masuk ke smartphone target.

---

btw, diskusi tentang 2fa panjang juga ya ...
@OP (https://bitcointalk.org/index.php?action=profile;u=1830363) apakah sudah bisa ditarik kesimpulan dari permasalahannya (https://bitcointalk.org/index.php?topic=5169910.msg51989448#msg51989448)?

Sudah tidak aktif dari 26 September. Post terakhir juga bulan Agustus. Kayaknya ga bakal merespons OP om. Direport saja biar dikunci sama mod.