Pages:
Author

Topic: [TANYA]Apakah Mengaktifkan 2FA Jaminan Tidak Kena Hack (Read 989 times)

legendary
Activity: 2170
Merit: 1789
btw, diskusi tentang 2fa panjang juga ya ...
@OP apakah sudah bisa ditarik kesimpulan dari permasalahannya?

Sudah tidak aktif dari 26 September. Post terakhir juga bulan Agustus. Kayaknya ga bakal merespons OP om. Direport saja biar dikunci sama mod.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
-snip- Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. -snip-
Tapi ini bukan merupakan ajakan kan?  Smiley

mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya
Kalau metode ini saya pernah melihatnya, seolah mengirim pesan berupa gambar tapi tidak kebuka dan target dikecoh untuk mengklik link tersebut untuk bisa melihat gambarnya, dari situlah spyware masuk ke smartphone target.

btw, diskusi tentang 2fa panjang juga ya ...
@OP apakah sudah bisa ditarik kesimpulan dari permasalahannya?
legendary
Activity: 2170
Merit: 1789
Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.

Bisa-bisa saja terjadi, namun tentu ada metodenya. Misalnya memanfaatkan celah kernel dengan masuk atau mengarahkan user ke Chrome Sandbox, mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya. Terlebih apabila hape atau device pengguna yang lain tidak mengaktifkan firewall.

Tapi ngehack wifi untuk dapetin kode 2FA kayaknya bakal susah karena harus identifikasi sasarannya. Belum lagi kalau ternyata yang ngakses gak punya duit ya sia-sia tenaganya. Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. Masih banyak yang ketipu dan jumlahnya gak main-main.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.
Saya belum sampai sejauh itu om nge-tes nya, lagi pula ilmu saya masih belum apa-apanya ketimbang om EmJi, om ElJi atau yang lainnya yang memang ahli IT.
btw, bagi yang punya wifi dengan SSID bisa dilihat publik, selain password sebaiknya manfaatkan juga filter MAC Address.

Oh ya, selain 2fa (two-factor authentication) ada istilah lain yang hampir mirip namun sebenarnya ada perbedaan dari cara kerja nya, yakni
2sv (two-step verification).
Referensi kalau mau baca lebih lanjut: https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/
sr. member
Activity: 1204
Merit: 388
btw, dulu saya pernah iseng nyoba tes akses wifi orang lain dan berhasil membuka passwordnya
Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
-snip-
https://twitter.com/TwitterComms/status/1167591003143847936?s=20

Seed nya, pernah liat ada yg share tools nya waktu itu di grup sosmed cuman udah lama banget cuman ane masih inget kalau tools yg dishare nya itu tools untuk bruteforce seed 2fa dan itu juga belum tentu bisa ketebak karena memang harus mengumpulkan wordlist yg sangat banyak
brute force yg wordlist nya aja ribuan butuh waktu beberapa jam kelar
Di google banyak yang memberikan link tools untuk bruteforce namun peluang untuk berhasil juga tidak mudah, selain itu baiknya tidak disalahgunakan untuk merugikan pihak lain.

btw, dulu saya pernah iseng nyoba tes akses wifi orang lain dan berhasil membuka passwordnya Smiley, namun ya sudah tidak saya manfaatkan akses wifi "gratis" itu karena tujuannya memang hanya ingin tahu saya bisa mengaksesnya atau tidak ...

https://www.backtrack-linux.org/
https://www.kali.org/

sr. member
Activity: 1204
Merit: 257
Yang dimaksud dijebol, apakah kodenya atau 'seed'-nya?
Seed nya, pernah liat ada yg share tools nya waktu itu di grup sosmed cuman udah lama banget cuman ane masih inget kalau tools yg dishare nya itu tools untuk bruteforce seed 2fa dan itu juga belum tentu bisa ketebak karena memang harus mengumpulkan wordlist yg sangat banyak
brute force yg wordlist nya aja ribuan butuh waktu beberapa jam kelar
full member
Activity: 321
Merit: 152
Save Palestine
Iya lebih mudah sim-swap kalau skill social engineering nya diatas rata2 dan memiliki DATAnya.

Kalau di Indo minta aja ke Telkomsel,  XL,  dan provider yg ada Grin.

Itu salahsatu bahaya dari kyc.

Rumornya,  twitter jack dorsey diretas oleh Chuckle Squad menggunakan teknik sim-swap.
legendary
Activity: 2170
Merit: 1789
Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce? dan jika memang bisa apakah salah satu caranya hanya membatasinya?

Yang dimaksud dijebol, apakah kodenya atau 'seed'-nya? Kalau seednya mungkin lebih mudah dibandingkan jebol kode yang ada limit 30 detik, kecuali agan punya quantum komputer dan bisa melakukan 1 triliun komputasi per sepersepuluh detik. Walaupun begitu, menjebolnya juga susah karena agan juga harus memastikan seednya pas dengan kodenya.

Bakal lebih mudah jebol lewat sim-swap atau MITM daripada brute force kode 2FA.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce?
Kode yang dihasilkan dengan menggunakan 2FA biasanya random, jadi akan sulit saya kira (untuk saat ini) jikapun ada yang berusaha untuk menjebolnya menggunakan metode bruteforce. Untuk bruteforce password yang sifatnya statis/tidak berubah otomatis saja diperlukan perangkat komputer yang mumpuni.

Teknik ini juga tergantung dari kecepatan prosesor komputer yang digunakan untuk melakukan teknik brute force.
sr. member
Activity: 1204
Merit: 257
2FA Exploit
Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce? dan jika memang bisa apakah salah satu caranya hanya membatasinya?
seperti contoh jika kita salah memasukan 2fa 5x berturut-turut akun akan di kunci selama 2 jam

Oiya bagi yg belum tau bruteforce mungkin link berikut bisa bermanfaat dan bisa menambah pengetahuan baru
https://www.logique.co.id/blog/2019/04/25/brute-force-attack/
legendary
Activity: 2170
Merit: 1789
Tadi saya coba baca-baca terkait hal tersebut dan ada beberapa tips untuk menghindarinya.

Modus serangan ini sepertinya sudah ada di Indonesia tapi kayaknya gak begitu masif[1]. Mungkin karena butuh biaya dan ilmu yang relatif lebih sulit daripada modus penipuan biasa seperti nelpon dan mengancam keluarga korban ditangkep polisi. Ada beberapa solusi, baik dari segi operator ataupun pengguna itu sendiri. Sebagai pengguna memang yang paling aman ya stay anonymous, atau minimal gak mengumbar data" pribadi di internet. Kalau perlu, nomor hape hanya diketahui oleh orang yang agan kenal. Kalau mau transaksi kontak aja lewat akun Telegram pseudonim khusus.

SIM swapping sering jadi alat untuk menjebol/menerobos 2FA, tapi hal itu juga gak akan terjadi kalau password agan kuat dan selalu waspada. Selalu aktifkan notifikasi log-in atau percobaan log-in agar agan bisa cepat bertindak kalau ada upaya menjebol akun agan. Terutama di situs yang lebih memberatkan konfirmasi lewat telepon/sms daripada 2FA.

[1] https://news.detik.com/berita/d-4325326/polisi-berikan-tips-cegah-kejahatan-sim-swap-fraud
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
-snip- dan harus diselotip di sana-sini. -snip-
Salah satu ciri orang hemat  Smiley

-snip- apalagi kalau exchange/platformnya menerima pergantian 2FA hanya dengan nomor telepon, yang bisa dilakukan lewat SIM swapping.
SIM swapping... adakah member disini yang pernah mengalami hal ini...?
Tadi saya coba baca-baca terkait hal tersebut dan ada beberapa tips untuk menghindarinya.

SIM swapping is a big deal, especially if you’re also actively involved in the cryptocurrency community—a great way for an attacker to make a little cash and mess up your life.
-snip-
To prevent this, keep your phone number, date of birth, mailing address, and all other compromising information off as many of your accounts as possible, and don’t share this information publicly if you can avoid it. Some of this data is necessary for certain services, but you don’t need for any of to be searchable on social media. You should cancel and delete any accounts you no longer use as an added precaution.
legendary
Activity: 2170
Merit: 1789
Bukankah flashdisk itu malah rentan terkena virus? ditambah lagi usia pakai dari flashdisk itu setahu saya lebih pendek dari pada harddisk.

Tergantung konteks pemakaiannya juga om. Kalau cuma dipakai/diakses buat 2FA saja sekali dalam setahun ketika perangkatnya mau direset ya tentu usianya bisa panjang & bisa jadi kebal virus (ketika dibuat read-only). Flashdisk saya yang berasal dari tahun 2003 sampai sekarang masih hidup walaupun udah kebentur dan harus diselotip di sana-sini. Idenya ga begitu buruk selama penerapannya disesuaikan. Tapi tentunya tetap tidak menjamin 2FA tidak kena hack, apalagi kalau exchange/platformnya menerima pergantian 2FA hanya dengan nomor telepon, yang bisa dilakukan lewat SIM swapping.

Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.

Googling gan.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
-snip-
Sepertinya langkah yang agan utarakan bisa dipertimbangkan. Tapi sampai saat ini tidak banyak orang yang mengetahui perangkat apa yang cocok digunakan untuk meminimalisir celah atau resiko kerusakan. Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.
Pertanyaannya sudah agak keluar dari inti topik saya kira ...
Untuk macam-macam media penyimpanan data komputer, plus minusnya antara lain bisa dibaca disini:
http://blog.unnes.ac.id/sutrisno/2017/02/10/pengertian-dan-macam-macam-media-penyimpanan-data-komputer/

Kalau untuk perbandingan ketahanan media penyimpanan, antara lain bisa dilihat pada tabel* berikut:

Sumber: https://hakmantenera.wordpress.com/2013/10/22/kapasitas-dan-ketahanan-media-penyimpanan-data_hakman_pawiran_sarim/

*Data tersebut bersifat umum dalam keadaan pemakaian normal dan saya kira tidak sepenuhnya akurat juga, masih banyak faktor yang bisa saja mempersingkat usia pakai perangkat tersebut.

Kembali ke topik
Quote
Berikut ini salah satu video yang membahas tentang 2FA Exploit:


legendary
Activity: 2464
Merit: 2094
~snip
Meskipun semua perangkat ada celahnya masing-masing, tapi setidaknya cari perangkat yang celahnya lebih sedikit ketimbang lainnya, apalagi untuk urusan menyimpan data login, email ataupun data kode 2fa.
Sepertinya langkah yang agan utarakan bisa dipertimbangkan. Tapi sampai saat ini tidak banyak orang yang mengetahui perangkat apa yang cocok digunakan untuk meminimalisir celah atau resiko kerusakan. Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.
legendary
Activity: 2296
Merit: 2892
#SWGT CERTIK Audited
-snip- langkah antisipasi menurut saya adalah menyimpan kode 2FA, data login dan data email pada flashdisk sehingga misalnya kehilangan HP tetap bisa di akses 2FA nya dengan memasukkan kembali kode 2fa pada perangkat lain
Bukankah flashdisk itu malah rentan terkena virus? ditambah lagi usia pakai dari flashdisk itu setahu saya lebih pendek dari pada harddisk.

Flash memory menyimpan data dalam bentuk muatan listrik. Karena itu dia juga sensitif terhadap medan elektromagnetik, listrik statis, dan sinar X. Jadi bersiap-siaplah kalau tiba-tiba data kamu di flashdisk hilang/rusak(corrupt) tanpa tahu penyebabnya.

Meskipun semua perangkat ada celahnya masing-masing, tapi setidaknya cari perangkat yang celahnya lebih sedikit ketimbang lainnya, apalagi untuk urusan menyimpan data login, email ataupun data kode 2fa.
hero member
Activity: 2282
Merit: 589
Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp

Mau di PC juga gapapa selama bisa melindungi keamanan PCnya sendiri. Kalau pake di hape juga ada potensi risiko hape hilang dan ga bisa login misalnya. Intinya semua model penggunaan 2FA punya celahnya masing-masing, agan hanya bisa 'aman' bila tahu gimana cara mengamankan diri dari serangan atas celah-celah tersebut.
Mau di PC atau HP sih resiko tetap ada tetapi bukan dari sistemnya hanya saja kita tidak safety mengamankan data dan perangkat yang menyimpan akses ke exchange, langkah antisipasi menurut saya adalah menyimpan kode 2FA, data login dan data email pada flashdisk sehingga misalnya kehilangan HP tetap bisa di akses 2FA nya dengan memasukkan kembali kode 2fa pada perangkat lain
sr. member
Activity: 910
Merit: 351
berarti sekuat apapun 2fa itu tidak menjamin keamanan kita atau mungkin bisa dikatakan hanya sedikit mempersulit hacker dlam mengambil data2 penting kita ...( tidak ada yang aman di onlen  Grin

Ya memang. Kalau ada yang aman ga bakal ada mekanisme perlindungan yang rumit gan. Agak naif kalau hanya dengan memasang 2FA atau password agan merasa data agan udah aman.

Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp

Mau di PC juga gapapa selama bisa melindungi keamanan PCnya sendiri. Kalau pake di hape juga ada potensi risiko hape hilang dan ga bisa login misalnya. Intinya semua model penggunaan 2FA punya celahnya masing-masing, agan hanya bisa 'aman' bila tahu gimana cara mengamankan diri dari serangan atas celah-celah tersebut.
hero member
Activity: 1792
Merit: 728
Teman saya beberapa tahun lalu pernah di hack juga akunnya padahal sudah pakai 2fa
Setelah ditelusuri, ternyata 2fa nya bukan dari hp tapi dari chrome di komputer dia sendiri.. Saya tidak tau 2fa apa sih.. Tapi yg jelas, cara kerja hackernya seperti menggunakan aplikasi teamviewer.. Jadi hackernya bukan hanya bisa mengakses akunnya tapi bisa mengakses semua yang ada di komputer teman saya

Kalau kejadiannya udah kayak gini, mau pake password sepanjang 1 kamus pun juga ga bisa melindungi gan. 2FA cuma didesain untuk mencegah akun agan dibobol ketika penyerang mengetahui password atau hal lain yang bersangkutan dengan log in dsm. Kalau mereka sampe masuk dan mengakses komputer ya perlindungan itu udah hilang.

Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp
Pages:
Jump to: