Iamprovider

WhatsApp Zali Steggall Diretas dalam Serangan yang Diduga dari Rusia

WhatsApp Zali Steggall Diretas dalam Serangan yang Diduga dari Rusia

Anggota Parlemen Australia Terjebak dalam Gelombang Phishing Global

Anggota parlemen federal independen Zali Steggall mengungkapkan akun WhatsApp-nya diretas pada bulan Maret sebagai bagian dari skema phishing canggih yang didalangi oleh aktor ancaman Rusia. Serangan yang menargetkan akun pribadinya ini merupakan bagian dari kampanye global yang lebih luas yang telah membahayakan akun pesan para pejabat pemerintah, personel militer, dan jurnalis di seluruh dunia.

Steggall mengonfirmasi pelanggaran tersebut dalam sebuah pernyataan, mencatat bahwa peretas menggunakan taktik menipu untuk mendapatkan akses. Meskipun kantornya tidak mengungkapkan detail spesifik tentang konten yang diakses, insiden ini menggarisbawahi kerentanan yang semakin besar dari platform pesan yang banyak digunakan terhadap spionase siber yang disponsori negara.

Bagaimana kampanye phishing bekerja

Menurut peringatan dari badan intelijen Belanda dan Jerman, para penyerang menyamar sebagai akun dukungan resmi di Signal dan WhatsApp. Korban menerima pesan yang tampaknya berasal dari tim keamanan platform, memperingatkan aktivitas mencurigakan dan mendesak tindakan segera—seperti memasukkan kode verifikasi atau memindai kode QR.

Intelijen Belanda (AIVD/MIVD) menggambarkan kampanye ini sebagai upaya global skala besar oleh peretas negara Rusia yang menargetkan "tokoh terkemuka, personel militer, dan pegawai negeri." Para penyerang mengeksploitasi fitur sah seperti opsi "perangkat tertaut", mengelabui pengguna untuk memberikan akses ke akun mereka tanpa pernah merusak enkripsi aplikasi.

Enkripsi Signal dan WhatsApp tetap utuh

Kedua layanan pesan telah menekankan bahwa enkripsi dasar mereka tidak terganggu. Signal mengeluarkan pernyataan yang mengatakan, "Enkripsi dan infrastruktur Signal tidak terganggu dan tetap kuat." Pejabat Belanda menegaskan hal ini, mencatat bahwa kampanye tersebut "tidak mengeksploitasi kerentanan teknis apa pun dari layanan pesan."

Sebaliknya, serangan ini bergantung pada kesalahan manusia—pengguna yang tertipu untuk menyerahkan kode keamanan. Metode ini sangat efektif, seperti yang terlihat dalam kasus Steggall dan di Jerman, di mana sekitar 300 akun Signal milik tokoh politik dilaporkan dibobol.

Jerman dan AS mengonfirmasi serangan serupa

Di Jerman, jaksa federal meluncurkan penyelidikan awal terhadap serangan siber pada akun Signal yang menargetkan politisi tingkat tinggi, termasuk dua menteri pemerintah. Majalah Jerman Der Spiegel melaporkan bahwa korban menerima pesan dari chatbot keamanan Signal palsu yang memerintahkan mereka untuk memasukkan PIN atau memindai kode QR.

Sementara itu, badan intelijen AS memperingatkan pada bulan Maret bahwa peretas Rusia telah membobol ribuan akun milik pejabat pemerintah AS, personel militer, dan jurnalis. Peringatan FBI menggambarkan kampanye yang menyamar sebagai akun dukungan resmi untuk memikat korban agar membagikan informasi sensitif.

Siapa yang berisiko dan cara melindungi diri

Meskipun kampanye ini terutama menargetkan pejabat pemerintah dan militer, jurnalis dan orang lain yang menjadi perhatian pemerintah Rusia juga berisiko. Tujuan peretas adalah menyusup ke obrolan grup dan mendapatkan akses ke komunikasi sensitif.

  • Jangan pernah membagikan kode verifikasi: Platform yang sah tidak akan pernah meminta PIN atau kode satu kali Anda melalui obrolan.
  • Aktifkan autentikasi dua faktor: Menambahkan lapisan keamanan ekstra di luar verifikasi standar.
  • Waspadai pesan dukungan yang tidak diminta: Jika Anda menerima pesan yang mengaku dari dukungan Signal atau WhatsApp, verifikasi secara independen melalui saluran resmi.
  • Periksa perangkat tertaut: Secara teratur tinjau perangkat mana yang terhubung ke akun Anda dan hapus yang tidak Anda kenali.

Ancaman canggih namun dapat dicegah

Peretasan Steggall adalah pengingat yang jelas bahwa bahkan individu berprofil tinggi pun rentan terhadap rekayasa sosial. Sementara pertahanan teknis aplikasi seperti WhatsApp dan Signal tetap kuat, elemen manusia adalah tautan terlemah. Saat peretas yang didukung negara menyempurnakan umpan phishing mereka, kesadaran dan kewaspadaan adalah tindakan pencegahan terbaik.

Skala global kampanye ini—meliputi Australia, Eropa, dan AS—menandakan ancaman persisten yang tidak menunjukkan tanda-tanda mereda. Bagi pejabat dan pengguna biasa, pesannya jelas: jangan percaya permintaan kredensial yang tidak diminta, betapa pun resmi tampaknya.