[Diskusi] Pencurian Kode Aplikasi Google Authenticator

[Ifra24]

Bisa jadi GA populer karena menyandang nama google didepan aplikasinya, cukup lama juga tanpa ada fitur tambahan diaplikasinya dan baru pada update 12 Mei 2020 (versi Android) ada semacam "fitur" backup/restore (transfer akun), meskipun menurut saya sebenarnya ini adalah fitur cloning data GA antar perangkat (device) bukan berupa backup file yang dienkripsi semisal file JSON sebagaimana pada Aegis.

Saya tidak pakai GA om tapi saya pakai Authy. Alasanya karena dulu saya pikir fiturnya kurang. Saya pakai authy karena ada fitur multyply device, kemudian masalah backup nya auto , misal apliksi terhapus tinggal download masukan email pswod sudah pulih lagi. Kalu GA sudah mendukung backup otomatis dan multiply device sepertinya perlu dicoba.
Kemudian untuk OP saya setuju pendapat om om diatas sebagai benteng, jangan paranoid, review ontentifikasi yang menurut om bagus dan gunakan. Alasan saya karena sejauh saya di dunia crypto otentifikasi ini cukup membantu/ bermanfaat tidak ada ruginya.

[turkandjaydee]

Bisa jadi GA populer karena menyandang nama google didepan aplikasinya
-snip-

Kalau ini sih seharusnya juga karena setau saya GA itu aplikasi yang jadi pelopornya aplikasi sejenis (release September 20, 2010) dan dulu banyak banget yang merekomendasikan sampai situs2 yang menyediakan fitur 2 Factor Authentication itu merekomendasikan GA juga untuk di download (saya lupa situsnya apa saja dan seingat saya beberapa bursa kripto juga termasuk).

-snip-
cukup lama juga tanpa ada fitur tambahan diaplikasinya dan baru pada update 12 Mei 2020 (versi Android) ada semacam "fitur" backup/restore (transfer akun), meskipun menurut saya sebenarnya ini adalah fitur cloning data GA antar perangkat (device) bukan berupa backup file yang dienkripsi semisal file JSON sebagaimana pada Aegis.
-snip-

Saya heran juga kenapa lama banget baru disediakan fitur ini dan saya pikir inilah penyebab besarnya banyak orang yang beralih memakai Authy.

[joniboini]

Saya pakai authy karena ada fitur multyply device, kemudian masalah backup nya auto , misal apliksi terhapus tinggal download masukan email pswod sudah pulih lagi.

Perlu diingat kalau bersama dengan kemudahan ini ada risiko juga. Kalau misalnya server Authy jebol dan data-datanya diambil orang, bukan tidak mungkin secret key agan juga bisa ketahuan. Kita hanya bisa berharap semoga kalau kejadian kayak gitu semua data dienkripsi dengan kuat oleh Authy jadi masih ada waktu untuk reset semua 2FA yang pernah dipake ke secret yang baru.

Kode secret 2FA seharusnya memang harus dimiliki sendiri, kalau ingin lebih trustless.

[Husna QA]

-snip- apa penyebeb Google Authenticator saya bisa di ketahui orang lain

Penyebabnya bisa saja sebelumnya pernah meng-klik link yang disebar melalui email atau lainnya 'yang nampak asli', kemudian log-in pada web asli yang diarahkan link tersebut termasuk menginput kode yang dikirim ke smartphone, dan peretas mencuri cookies session pengguna, jika sudah begini bahkan peretas tidak perlu lagi meretas device lain yang ada aplikasi authenticatornya.
Mungkin bisa dipelajari penjelasan dari Kevin Mitnick berikut:

"Jika kita dapat mencuri cookies session pengguna, kita bisa menjadi mereka, dan kita tidak memerlukan nama pengguna, kata sandi, atau two-factor authentication mereka,"

Referensi lanjut yang mungkin bisa bermanfaat untuk pencegahan dan edukasi perihal peretasan authenticator:
New Exploit Hacks LinkedIn 2-Factor Authentication, With Kevin Mitnick
https://www.knowbe4.com/press/knowbe4-chief-hacking-officer-kevin-mitnick-reveals-new-exploit-that-hacks-two-factor-authentication
https://www.cnbcindonesia.com/tech/20190108151315-37-49584/login-dengan-verifikasi-2-langkah-akun-masih-bisa-diretas

[joniboini]

dan peretas mencuri cookies session pengguna, jika sudah begini bahkan peretas tidak perlu lagi meretas device lain yang ada aplikasi authenticatornya.

Untuk sekedar masuk ke akun mungkin cookies bisa dipakai. Tapi kebanyakan exchange pasti akan meminta authentication lagi ketika mau WD dan sejenisnya. Ane ga yakin informasi kode 2FA yang berubah tiap 30 detik ada juga dalam cookies atau terexpose begitu saja di profil pengguna di situs yang bersangkutan. Kecuali mungkin situsnya aja yang keamanannya lemah. Jadi mungkin serangan ini bakal dipakai untuk menjual/beli aset tanpa sepengetahuan pengguna.

Selain itu, rata-rata exchange atau situs yang menggunakan 2FA biasanya punya cookies yang bakal expired dalam beberapa menit/ketika Windows di-close. Kalau ada fitur untuk lihat agan login dari IP/browser mana, bisa dipakai untuk memonitor apakah ada IP aneh yang login ke akun agan. Lebih aman lagi kalau tiap abis login dan mau logout, revoke semua akses IP sekalipun itu IP agan sendiri. Poin penting dari artikel" yang dicantumkan oleh om husna di atas adalah bahwa kadang teknologi udah cukup 'ideal' tapi karena kelengahan manusia itu sendiri yang membuat keamanan yang ditawarkan jadi hilang.

[abhiseshakana]

Untuk sekedar masuk ke akun mungkin cookies bisa dipakai. Tapi kebanyakan exchange pasti akan meminta authentication lagi ketika mau WD dan sejenisnya. Ane ga yakin informasi kode 2FA yang berubah tiap 30 detik ada juga dalam cookies atau terexpose begitu saja di profil pengguna di situs yang bersangkutan. Kecuali mungkin situsnya aja yang keamanannya lemah. Jadi mungkin serangan ini bakal dipakai untuk menjual/beli aset tanpa sepengetahuan pengguna.

Yang paling mengkhawatirkan adalah jenis-jenis malware yang memiliki kemampuan aksesibilitas terhadap device yang dijangkitinya seperti RAT, apalagi jika kedepannya ada malware yang sanggup melakukan eksekusi terhadap aplikasi-aplikasi yang ada didalam device dengan proses background activity (semoga saja malware/trojan seperti ini tidak akan pernah eksis  ).

Tentunya keberadaan malware/trojan seperti ini akan menjadi momok buat para pengguna aplikasi 2FA (dan aplikasi-aplikasi penting lainnya), sehingga diperlukan sebuah antisipasi untuk mengatasi potensi serangan tersebut (memasang anti-virus/anti-malware atau bisa juga menggunakan metode authenticator lainnya (SMS) pada device yang masih menggunakan tekhnologi lama (HP jadul))

[Husna QA]

Salah satu malware berjenis RAT (Remote-Access Trojan) antara lain Cerberus yang bahkan bisa digunakan untuk
mengubah settingan perangkat, install/uninstall aplikasi, menggunakan aplikasi, dan lainnya termasuk menyerang fitur Accessibility untuk mem-bypass penggunaan authentication di perangkat smartphone (terutama Android).
Beberapa referensi lain yang mungkin bisa jadi perhatian bagi pengguna smartphone yang menggunakan 2fa semisal GA:
https://securityintelligence.com/news/cerberus-android-malware-gains-ability-to-steal-2fa-tokens-screen-lock-credentials/
https://cyberthreat.id/read/5522/Malware-Baru-di-Android-Mencuri-2FA-Google-Authenticator

[joniboini]

Betul. RAT memang berbahaya. Cara paling simpel untuk melindungi diri ya jangan sampai terkena malware itu

Alternatif lain adalah dengan mempersiapkan device khusus yang selalu offline sebagai perangkat untuk mengakses 2FA atau kode" lain yang tidak memerlukan internet. Selain itu, jangan install apps aneh" dan selalu update security patch kalau ada. Apapun itu kewaspadaan biasanya bisa menyelamatkan diri sendiri dan jauh lebih efektif dari teknologi.

[Dread Pirate Roberts]

RAT emang bahaya karena kalo Device kita udah kena bisa dipantau langsung oleh hackernya . dan juga mereka biasanya meyebarkan file berisi server mereka melalui social free sharing dalam bentuk macam2 . alibi miner free lah . fix program sharing lah . dan meskipun kita udah pake anti virus sehebat apapun kalau file berisi server mereka tersebut ( malware ) udah di decode lagi bahasanya udah FUD ( Fully Undetectable ) file berisi malware tersebut tetep lolos antivirus . makanya anti virus itu update harian / mingguan sering. Jadi kalo mau bener2 aman yakinkan device yang kita gunakan tidak pernah download macem2 dan jangan di pake browsing yang aneh2 dll. berikut contoh screenshot RAT yang dulu pernah saya pake untuk pembelajaran.  

Dan RAT itu ga cuman bisa control Desktop PC . Bisa Record Keylogger tanpa harus di setting ( Live ) bisa command prompt (CMD) copying files from user to hacker . atau hacker ke PC victim . Nyalain Webcam. mining digital di PC victim lah . dan cleaning nya juga rada ribet dan ga yakin 100% juga langsung ilang. kecuali install ulang PC yah. pasti ilang itu si  

Ntar aku coba bikin thread tentang Pencegahan dan edukasi RAT lebih detail ah . kayanya bahan2 dulu masih ada .

[abhiseshakana]

Betul. RAT memang berbahaya. Cara paling simpel untuk melindungi diri ya jangan sampai terkena malware itu

Alternatif lain adalah dengan mempersiapkan device khusus yang selalu offline sebagai perangkat untuk mengakses 2FA atau kode" lain yang tidak memerlukan internet.

Padahal salah satu ide dari munculnya 2FA App adalah untuk opsi dari permasalahan SMS 2FA, yang kala itu muncul beberapa ancaman yang dikenal dengan istilah SIM Swap dan SS7 attack.

Selain itu, jangan install apps aneh" dan selalu update security patch kalau ada. Apapun itu kewaspadaan biasanya bisa menyelamatkan diri sendiri dan jauh lebih efektif dari teknologi.

Modus penyebaran yang terbilang baru adalah memanfaatkan sebuah aplikasi yang akhir-akhir ini sedang booming (karena dampak corona) yakni "Zoom". Mulai dari maraknya domain-domain palsu yang terus bermunculan (yg berkaitan dengan nama zoom), sampai penyebaran link phising memanfaatkan meeting chat (zoom).

Mungkin bagi yang sudah terbiasa dengan hal-hal yang berkaitan dengan cyber threat, akan sedikit mudah untuk mengantisipasi model-model serangan malware seperti diatas. Tapi buat orang-orang yang notabene tidak terlalu familar dengan tekhnologi-teknologi baru (seperti zoom) maka akan menjadi target empuk. Terlebih untuk saat ini pengguna zoom hampir meliputi seluruh kalangan karena adanya aturan PSBB yang dikeluarkan oleh pemerintah.

[Princeofpoetry]

Saya baru tahu informasinya RAT, sangat berbahaya. Memang dunia internet mempunyai dua sisi, negatif & positif. Untuk menghindari RAT, saya rasa jangan asal download serta mengujungi tautan website yang gak jelas, biasanya malware banyak menyelinap disitu, apalagi iklan seperti pop up, sangat rawan ada virus/malware.

GA ini biasanya bisa dibobol karena keamanan device kita yang lemah. Kalau untuk PC saran saya cukup pakai anti virus bawaan tetapi harus selalu update.

[joniboini]

GA ini biasanya bisa dibobol karena keamanan device kita yang lemah.

Dari beberapa thread dan juga baca-baca di internet, ane lebih sering nemuin kasus pembobolan karena keteledoran pengguna dan bukan karena keamanan device yang lemah (eg: hp bisa dibobol orang via wifi, komputer dengan antivirus bisa disadap dengan ngirimin bug, dkk).

That being said, ane rasa pertanyaan OP udah terjawab sejauh ini.

[andriyana]

bagai mana solusinya gan jika PC kita udh di sususpi pencuri apakah dengan meng'instal PC akan menghilangkan malware dan kembali normal seperti sedial kala

[joniboini]

bagai mana solusinya gan jika PC kita udh di sususpi pencuri apakah dengan meng'instal PC akan menghilangkan malware dan kembali normal seperti sedial kala

Coba cek dulu pakai aplikasi seperti Malwarebytes. Kalau ga ketemu berarti ya wipe disknya dan inul (install ulang) gan. Kalau kebutuhan PCnya hanya untuk kerja kantoran biasa dan sesekali manage kripto, bisa make GNU/Linux. Atau dual-boot sekalian. Tentunya hal itu tetap tidak menjamin 2FA bisa melindungi agan selamanya, terlebih kalau agan teledor.

[George0port]

Btw, klo boleh tau Exchange apa yang saat ini agan gunakan sebagai media trading ??

Exchange yang pernah saya gunakan hitBtc & LATOKEN. Saya pernah menggunakan Authenticator di chrome di salah satu exchange tersebut, dan waktu laptop/PC saya bermasalah malah semakin kacau gara-gara tidak bisa login ke exchange tersebut meskipun saya meminta bantuan support exchange tapi selalu gagal untuk menghapus 2FA.
Meskipun 2FA & GA sangatlah penting tapi ujung-ujungnya kalau masalah seperti tidak bisa dianggap remeh kalau pada akhirnya seperti ini. Bukan Malasah saya kehilangan beberapa token BTC/ETH tapi yang saya down untuk memulainya kembali dari awal

[joniboini]

Meskipun 2FA & GA sangatlah penting tapi ujung-ujungnya kalau masalah seperti tidak bisa dianggap remeh kalau pada akhirnya seperti ini. Bukan Malasah saya kehilangan beberapa token BTC/ETH tapi yang saya down untuk memulainya kembali dari awal

Ane agak kesulitan memahami maksud agan, tapi prinsipnya jelas exchange ga akan dengan mudah mau menghapus 2FA dan harus minta banyak konfirmasi karena tentunya mereka ga mau disalahkan kalau ternyata yang minta reset itu orang klonengan. Kalaupun agan udah ngikutin semua prosedur tapi exchangenya bandel ya itu merekanya yang bermasalah dan bukan 2FAnya. Selain itu kalau memakai 2FA wajib hukumnya nyimpen backup, jadi hal kayak gitu ga bakal kejadian.

Semuanya memang relatif 'ribet' karena ini menyangkut masalah duit. Ntar kalau dibuat agak longgar, terus kemalingan baru sadar rasa pentingnya keamanan walaupun ribet. Buat aja akun baru di exchange lain gan, kan tidak semuanya juga butuh KYC. Terlebih banyak exchange yang kualitasnya jauh lebih baik daripada 2 exchange yang agan sebutin di atas yang punya layanan pelanggan lebih baik.

[Ifra24]

Exchange yang pernah saya gunakan hitBtc & LATOKEN. Saya pernah menggunakan Authenticator di chrome di salah satu exchange tersebut, dan waktu laptop/PC saya bermasalah malah semakin kacau gara-gara tidak bisa login ke exchange tersebut meskipun saya meminta bantuan support exchange tapi selalu gagal untuk menghapus 2FA.

Om sudah minta bantuan suport, dan sudah dibalas? Jika belum mungkin ada banyak antrian, saran yang pernah saya dapat jangan mengirim email berulang dan sabar prosesnya (antri) lama. Saya pernah lakukan ini di Bittrex sekitar 1 bulan baru direply. Kalau sudah dibalas dan gagal mungkin bukti kepemilikan akun agan (data-data) kurang, jadi dilengkapi, tambahkan bukti screenshoot kalau ada.  

[electronFiX]

RAT emang bahaya karena kalo Device kita udah kena bisa dipantau langsung oleh hackernya . ~~~

Bagaimana cara kita mengetahui PC atau laptop kita Sudah terkena RAT ?

[joniboini]

Bagaimana cara kita mengetahui PC atau laptop kita Sudah terkena RAT ?

Gejalanya bisa bermacam-macam, antara:
- Ada aktivitas dari IP/komputer agan tapi agan ga melakukannya.
- Ada aktivitas akun exchange/sosmed/dkk tapi agan tidak melakukannya (dengan kata lain penyerang udah mengambil data login).
- Aktivitas internet di komputer tinggi padahall agan ga ngapa-ngapain.
- Mouse/keyboard pindah/berinteraksi sendiri.
- dkk.

Coba cek PC secara berkala dengan antimalware/antivirus atau kalau ada gejala di atas. Kalau ga ketemu penyakitnya apa lewat antimalware tapi terus terjadi, format dan inul komputer agan. Lebih lanjut bisa nyari tips di Google, ada banyak tips dan pertanyaan seperti ini juga banyak dibahas (eg, https://www.quora.com/How-do-you-detect-and-remove-a-RAT-virus-on-your-computer?share=1#).

[taufik123]

Saya tidak pakai GA om tapi saya pakai Authy. Alasanya karena dulu saya pikir fiturnya kurang. Saya pakai authy karena ada fitur multyply device, kemudian masalah backup nya auto , misal apliksi terhapus tinggal download masukan email pswod sudah pulih lagi. Kalu GA sudah mendukung backup otomatis dan multiply device sepertinya perlu dicoba. -snip-

Saya juga salah satu pengguna Authy yang sebelumnya menggunakan GA ( Google Authenticator ). Karena beberapa masalah yang saya alami saat menggunakan GA, jadi saya pindah dan memilih Authy sebagai layanan 2FA yang saya gunakan hingga saat ini. Penggunaan Multiple device, backup, fitur restore dan verifikasi via kode SMS dll. Lebih unggul dari GA, karena ada beberapa Exchange yang menggunakan GA namun tidak cocok dan selalu terjadi kesalahan.

Perlu diingat kalau bersama dengan kemudahan ini ada risiko juga. Kalau misalnya server Authy jebol dan data-datanya diambil orang, bukan tidak mungkin secret key agan juga bisa ketahuan.

Memang akan beresiko jika sewaktu-waktu server Authy jebol dan data-datanya di sadap oleh hacker. Tapi saya yakin pihak Authy juga memiliki cara untuk mengamankan servernya.

Kode secret 2FA seharusnya memang harus dimiliki sendiri, kalau ingin lebih trustless.

Saya juga memiliki salinan kode 2FA yang dibuat saat mengaktifkan keamanan dengan kode 2FA, setiap kode 2FA saya amankan di tempat terpisah dan hanya saya yang bisa mengakses. Sebagai cadangan jika sewaktu-waktu terjadi error App Authy atau hal lainnya yang gak di inginkan.

-snip-
Kemudian untuk menggunakan 2FA dalam hal ini aplikasi authenticator, saya lebih cenderung menyarankan aplikasi yang dipasang pada perangkat terpisah, misal aktifitas utama di PC sementara authenticator dipasang di smartphone. Pilih aplikasi authenticator yang ada fitur backup/restore (di enkrip) dan fitur keamanan tambahan lainnya.

Saya juga melakukan cara yang sama dengan memisahkan penggunaan 2FA di perangkat yang berbeda. 2FA hanya saya instal di smartphone yang lebih mudah di pantau, selalu di akses setiap hari dan PC sebagai aktifias utama untuk membuka Exchange, beberapa akun yang membutuhkan kode 2FA dan lainnya.

Pencurian bisa dilakukan dengan mudah jika tidak mementingkan keamanan perangkat yang digunakan, teledor, tidak pernah melakukan pengecekan keamanan yang dimiliki. Yang penting harus tetap waspada dan jangan menginstal aplikasi-aplikasi asing yang tidak dikenal, Hindari iklan-iklan aneh yang memiliki potensi besar melakukan penyebaran Malware, ransomware, RAT dan aplikasi phising, hacking sejenisnya.