Sistem Otentikasi Dua Faktor Google Tak Lagi Aman

KOMPAS.com - Selama ini, sistem keamanan otentikasi dua faktor (Two Factor Authentication/2FA) menjadi andalan untuk melindungi akun dari peretas di dunia maya.

Otentikasi dua faktor adalah sistem keamanan akun yang mewajibkan pengguna melakukan dua langkah verifikasi untuk masuk ke dalam akun tersebut.

Biasanya, otentikasi tersebut berupa password akun dan kode khusus yang dikirim melalui SMS.

Otentikasi dua faktor seringkali dianggap bisa memberikan keamanan ekstra agar terhindar dari serangan para hacker. Namun ternyata, sistem keamanan ini tak lagi sepenuhnya aman.

Sebuah laporan terbaru dari firma keamanan siber, ThreatFabric, menemukan bahwa ada malware yang dapat mencuri kode autentikasi yang dikirimkan aplikasi Google Autenthicator di smartphone Android.

Menurut peneliti, malware bernama Cerberus ini masuk dalam kategori Trojan yang kerap mengincar akun-akun perbankan milik pengguna. Malware tersebut pertama kali ditemukan pada June 2019 lalu.

Baca juga: Ancaman Malware di Perangkat Mac Kini Lampaui Windows

"Ketika aplikasi (Google Authenticator) sedang berjalan, Trojan ini bisa mendapatkan konten dari antarmuka dan dapat mengirimkannya ke server," kata peneliti.

Dirangkum KompasTekno dari halaman resmi ThreatFabric, Selasa (3/3/2020), Cerberus disebut merupakan hasil pengembangan dari Trojan Anubis yang ditemukan pada tahun 2018 lalu.

Berbeda dengan Anubis, Cerberus dapat memberikan akses kepada peretas untuk mengendalikan perangkat yang terinfeksi dari jarak jauh.

Peretas juga kemudian bisa menggunakan sejumlah informasi penting milik nasabah untuk mengakses akun perbankan online.

Kemudian, peretas akan menggunakan fitur pencuri kode OTP yang dikirimkan Google Authenticator untuk melewati otentikasi dua faktor pada akun tersebut.

Baca juga: Awas, Ada Malware Sakti yang Kebal Factory Reset

Kendati demikian, para peneliti belum mengetahui bagaimana malware tersebut dapat membobol otentikasi dua faktor secara teknis.

Malware tersebut pun konon masih dalam tahap uji coba. 

ThreatFabric mengatakan bahwa setidaknya ada sejumlah layanan perbankan di Prancis, Amerika serikat, Jepang, dan sejumlah non-perbankan menjadi taget dari Cerberus ini.