Heboh Ancaman Pembajakan! Muncul Iklan dalam SMS Verifikasi Dua Langkah Akun Google

JAKARTA - Chris Lacy, pebisnis yang menjalankan perusahaan pengembangan aplikasi seluler Australia Action Launcher, Selasa 29 Juni mentweet tangkapan layar yang menunjukkan verifikasi dua langkah dari Google yang diselipi dengan iklan teks. Hal ini menghebohkan, mengingat layanan ini tak seharusnya ada. 

Google akhirnya bereaksi dengan menyatakan mereka tidak berperan dalam penyisipan iklan itu. Google akan menyelidiki bagaimana iklan teks bisa disuntikkan ke dalam pesan SMS yang berisi kode keamanan verifikasi dua langkah atau kode otentikasi dua faktor itu bisa terjadi. 

Kode yang muncul dalam verifikasi dua langkah adalah sesuatu yang sangat rahasia. Kode  ini seharusnya hanya diketahui oleh si pengguna dan Google. Jika ada pihak lain yang mengetahui kode itu, bahkan menyisipkan iklan, tentu menjadi sebuah tanda tanya, apakah keamanan terjamin?

I just received a two factor authentication SMS from Google that included an ad. Google's own Messages SMS app flagged it as spam.

What a shameful money grab. pic.twitter.com/NeStIndR6q

— Chris Lacy (@chrismlacy) June 29, 2021

"Itu bukan iklan Google, dan kami tidak memaafkan praktik ini," bunyi  tweet dari Mark Risher, Direktur Senior Manajemen produk untuk platform identitas dan keamanan Google. "Kami bekerja dengan operator seluler untuk memahami mengapa ini terjadi dan memastikan itu tidak terjadi lagi."

Lacy, sendiri yang tidak menanggapi permintaan komentar atas postingnya. Ia juga tidak menyebutkan nama operator nirkabel yang terlibat.

Netizen yang meminta namanya tak disebutkan juga melaporkan ke Grup Media Keamanan Informasi, menyatakan bahwa dia juga menerima pesan yang sama pada 25 Juni saat masuk ke akun Google. 

Dia juga memberikan tangkapan layar dan mengatakan dia memiliki kontrak pascabayar dengan operator nirkabel Australia Optus, anak perusahaan Singtel Singapura. Orang ini mengatakan bahwa tautan dalam iklan tersebut dialihkan ke vendor antivirus Avira, yang menjual layanan VPN.

To close the loop, these are not Google ads and we do not condone this practice. We are working with the wireless carrier to understand why this happened and ensure it doesn't happen again.

Glad Google Messages flagged it as unsafe 🛑 https://t.co/MqSZgh1uUK

— mark risher (@mrisher) June 29, 2021

Seorang juru bicara Optus mengatakan jika perusahaannya "tidak menyuntikkan pesan dan tidak mengetahui situasinya tetapi sekarang sedang menyelidiki lebih lanjut kejadian ini."

Sementara juru bicara Avira mengatakan bahwa iklan tersebut ditempatkan oleh mitra periklanan pihak ketiga tanpa sepengetahuan mereka. Avira dan mitra periklanan sekarang telah "menghentikan semua aktivitas dengan perusahaan yang memasang iklan itu, karena jelas melanggar syarat dan ketentuan dalam kontrak." Avira sendiri menolak menyebutkan nama perusahaan atau mitra iklannya.

"Avira mendukung semua upaya untuk melindungi orang-orang di dunia yang terhubung, termasuk memanfaatkan otentikasi dua faktor jika memungkinkan," kata Jubir perusahaan itu. "Kami berterima kasih kepada orang-orang yang membawa iklan tersebut menjadi perhatian kami."

Dua operator besar Australia lainnya, Vodafone dan Telstra, mengatakan mereka tidak menyuntikkan iklan ke dalam pesan teks.

Sementara Lacy juga menulis bahwa dia menerima kode verifikasi dua langkah melalui SMS setelah masuk ke akun email Google yang lama. Dia menulis bahwa dia belum mengganti akun itu untuk mendapatkan kode dua langkah melalui aplikasi autentikator.

Tweet-nya segera memicu kekhawatiran Google. Adrienne Porter Felt, seorang manajer teknik untuk Google Chrome, bertanya apakah kode dua langkah itu berfungsi. Lacy menjawab bahwa itu benar.

Ada alasan bagus mengapa iklan yang ditambahkan ke pesan keamanan dianggap bermasalah. Lacy mencatat bahwa fitur spam anti-SMS milik Google menangkap pesan tersebut.

Lacy menulis dalam tweet berikutnya bahwa praktik injeksi iklan "mengikis kepercayaan pada 2FA dan membuat pesan 2FA lebih kecil kemungkinannya untuk disampaikan. Ini benar-benar memalukan."

Chris Boyd, analis intelijen malware di Malwarebytes, menulis bahwa cara iklan itu ditampilkan, menimbulkan pertanyaan tentang persetujuan pelanggan, jaringan iklan apa yang terlibat, dan data apa yang dibagikan atau dilihat oleh pihak lain. Sulit bagi pengguna untuk menentukan apakah tautan tersebut berbahaya.

"Skenario terburuk, iklan bisa mengarah ke halaman jahat atau situs phishing," tulis Boyd dalam posting blog. "Tidak banyak cara untuk bisa merusak reputasi penggunaan kode SMS sebagai lapisan keamanan tambahan."

Mencampur proposisi komersial dengan peringatan keamanan atau bahkan hanya lalu lintas penjelajahan secara normal selama ini tidak dianggap baik.

Tiga tahun lalu, sekelompok peneliti menemukan bahwa Facebook menggunakan nomor telepon yang disediakan oleh pengguna yang bertujuan menerima kode verifikasi dua langkah untuk tujuan periklanan. Facebook akhirnya mengizinkan pengguna untuk menggunakan verifikasi dua langkah tanpa harus memberikan nomor telepon mereka.

Selain iklan, ada kasus keamanan yang kuat untuk mengalihkan kode dua langkah apa pun yang datang melalui SMS ke aplikasi autentikator.

Pesan SMS selama ini tidak terenkripsi, dan operator memiliki akses penuh ke konten dan dapat memodifikasi konten. Namun menerima kode verifikasi dua langkah melalui SMS lebih baik daripada tidak mengaktifkannya, karena hal ini dapat menghentikan pengambilalihan akun. Akan tetapi menerima kode melalui SMS kini mulai menimbulkan risiko.

Pasalnya Penyerang dapat mengambil alih nomor telepon korban untuk menerima kode dua langkah mereka dalam skema yang dikenal sebagai pertukaran SIM atau pembajakan. 

Dalam serangan ini, penipu berpura-pura menjadi pemegang resmi nomor, seringkali dengan menipu perwakilan layanan pelanggan di operator seluler, dan kemudian memindahkan nomor ke kartu SIM yang berbeda.