Bisnis.com, JAKARTA – Pengamat kemanan siber menilai akun media sosial dan laman daring lembaga pemerintah harus memiliki kemanan yang memadai.
Ketua Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menyebut kasus akun Youtube BNPB yang mengalami peretasan dan peretas memakainya untuk mempromosikan siaran aset kripto Ethereum seharusnya tidak terjadi. Pasalnya, akun tersebut saat ini digunakan pemerintah untuk mengabarkan perkembangan bencana erupsi gunung semeru.
"Prinsipnya para pelaku akan menyasar pada potensi paling lemah dari akun tersebut. Biasanya pelaku harus tahu email apa saja yang mengelola akun tersebut," ujarnya, Kamis (9/12/2021).
Menurutnya metode peretasan yang digunakan sama seperti peretasan pada akun Facebook/Meta, yaitu dengan menyasar akun pengelola atau akun admin.
Pratama menjelaskan, saat salah satu akun admin atau atau email utama berhasil diretas, maka mereka bisa mengubah berbagai informasi bahkan menghapus akun tersebut. Kasus tersebut mirip dengan yang dialami channel keluarga halilintar beberapa waktu lalu yang diubah nama, namun jika dicek videonya masih ada.
Karena itu, menurut Pratama, pengamanan dari akun email yang terlibat sebagai admin harus ditingkatkan. Mulai dari two authentication pada email sampai pada penambahan token untuk membuka akun email admin tersebut.
Pengamanan dari Google sendiri sebenarnya sangat berlapis, bahkan untuk mengubah informasi akun YouTube dibutuhkan verifikasi tambahan bila dideteksi dilakukan dari perangkat yang asing dan mencurigakan.
"Seharusnya Google dengan mudah bisa mengembalikan akun BNPB, karena akun ini merupakan akun resmi dari pemerintah," ucapnya.
Pratama mengatakan model serangan kemungkinan besar bisa dengan phishing yang menyasar pada email terkait pengelola terutama admin. Karena dalam mengelola Youtube memang dimungkinkan admin lebih dari satu. Karena itu email para admin dan pengelola harus ditingkatkan keamanan serta edukasi pengamanannya.
Menurutnya pada 2019, sekitar 23 juta akun youtube diretas dengan serangan phishing massal. Korban dikirimkan email dengan URL yang sangat meyakinkan dan sangat mirip dengan surel resmi dari Google. URL tersebut meminta pengguna memasukkan email, kata sandi, dan informasi penting lainnya.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
