Signal Perketat Keamanan: Lawan Serangan Social Engineering dan Phishing dengan Peringatan Baru

Bahkan aplikasi pesan paling aman seperti Signal pun menyadari bahwa “benteng” kriptografi terkuat bisa runtuh hanya karena satu kesalahan manusia. Menanggapi gelombang serangan yang menargetkan profil-profil tinggi, Signal resmi meluncurkan serangkaian fitur peringatan dalam aplikasi (in-app warnings) untuk melawan taktik social engineering dan phishing.

Langkah ini menyusul laporan dari FBI serta otoritas Jerman dan Belanda yang mengaitkan serangan tersebut dengan peretas yang disponsori negara Rusia. Para aktor ini biasanya menyamar sebagai “Signal Support” untuk membajak fitur Linked Device.

Fitur Keamanan Baru: Memperlambat Langkah Penipu

Tujuan utama pembaruan ini adalah memberikan “gesekan” (friction) agar pengguna memiliki waktu sejenak untuk berpikir sebelum menanggapi permintaan eksternal yang mencurigakan.

• Verifikasi Status Kontak: Signal kini akan menampilkan label “Name not verified” di bawah kontak baru yang mengirim pesan langsung. Selain itu, indikator “No groups in common” akan muncul untuk mempertegas bahwa Anda tidak memiliki kaitan apa pun dengan pengirim tersebut.
• Konfirmasi Permintaan Pesan: Saat menerima permintaan pesan baru, sistem akan memunculkan pengingat tegas bahwa Signal tidak akan pernah meminta kode registrasi, PIN, atau kunci pemulihan Anda.
• Edukasi Anti-Spoofing: Akan ada pengingat berkala agar pengguna tidak merespons obrolan yang berpura-pura berasal dari dukungan resmi Signal.
• Tips Keamanan yang Lebih Kaya: Menu tips keamanan kini mendapatkan pembaruan konten untuk mencakup metode penipuan terbaru yang melibatkan kode QR.

Anatomi Serangan: Modus “Linked Device”

Serangan yang baru-baru ini terjadi bekerja dengan cara yang cukup licik namun sederhana:

1. Penipu meyakinkan korban untuk memindai kode QR atau membagikan kode sekali pakai.
2. Alasannya? Biasanya diklaim sebagai bagian dari “proses verifikasi keamanan” karena adanya aktivitas mencurigakan.
3. Begitu korban memindai atau memberikan kode, penautkan perangkat berhasil. Penyerang kini memiliki akses penuh ke akun, riwayat obrolan, dan daftar kontak target.

Saran Teknis: Sebagai pengembang atau admin, sangat disarankan untuk sesekali mengecek menu Settings > Linked Devices di aplikasi Signal Anda. Jika ada perangkat yang tidak dikenal, segera hapus aksesnya tanpa ragu.