Akhir 2021, Google Bakal Aktifkan 2-Step Verification pada 150 Juta Akun Secara Otomatis

Mei lalu, Google mengumumkan rencananya untuk mengaktifkan two-step verification (2SV) secara default, sebuah fitur yang sudah mereka hadirkan dan promosikan sejak lama demi membantu meningkatkan keamanan akun masing-masing penggunanya.

2SV selama ini bersifat opsional, namun Google secara perlahan ingin menjadikannya sebagai fitur wajib. Menjelang akhir tahun nanti, Google berniat untuk mengaktifkan fitur 2SV pada 150 juta akun pengguna. Menurutnya, proteksi terkuat bisa didapat dengan menandemkan “sesuatu yang kita tahu” (seperti kata sandi) dan “sesuatu yang kita punya” (macam ponsel atau security key).

Lebih lanjut, mulai 1 November 2021, Google juga akan mewajibkan aktivasi 2SV bagi 2 juta kreator yang tergabung dalam YouTube Partner Program. Kalau 2SV belum diaktifkan, maka mereka tidak bisa mengakses YouTube Studio.

Google tidak lupa mengingatkan bahwa mereka juga punya fitur password manager yang terintegrasi ke Chrome. Jadi ketimbang membuat kata sandi yang kelewat simpel agar mudah diingat, kita bisa memanfaatkan fitur ini untuk meracik kata sandi yang kompleks, lalu menyimpannya secara aman.

Password manager bawaan Chrome ini juga tersedia di iOS, dan pengguna dapat memakainya untuk menginput kata sandi yang tersimpan (autofill) di berbagai aplikasi lain. Dalam waktu dekat, pengguna perangkat iOS juga bisa memakai fitur ini untuk meracikkan kata sandi buat berbagai aplikasi, persis seperti cara kerjanya di perangkat Android.

Terakhir, Google turut menyoroti fitur bernama Inactive Account Manager, yang sebenarnya sudah ada sejak tahun 2013. Fitur ini pada dasarnya berguna untuk menentukan nasib dari akun-akun Google yang sudah tidak kita gunakan lagi.

Anda bebas menentukan berapa lama jeda waktu sebelum akhirnya Google menandai akun Anda nonaktif; apakah 3 bulan, 6 bulan, 12 bulan, atau 18 bulan. Setelahnya, Anda bisa memilih hingga 10 orang untuk dinotifikasi ketika akun Google milik Anda sudah nonaktif, dan kalau perlu, mereka juga dapat diberi akses ke sejumlah data yang tersimpan di akun Anda.

Langkah yang terakhir adalah menentukan apakah akun Google yang nonaktif tersebut perlu dihapus secara permanen atau dibiarkan begitu saja. Penghapusan baru akan berlangsung tiga bulan setelah akun ditandai sebagai nonaktif, jadi kontak yang sudah dipilih tadi masih punya waktu untuk mengunduh konten yang tersimpan.

Sumber: 1, 2, 3. Gambar header: Solen Feyissa via Unsplash.

On Gojek’s Efforts Against Social Engineering

Starting in the Slack’s chat room, a hacking act succeeded to penetrate Twitter’s layered security in mid-July. The attack took over a number of large profile Twitter accounts such as Elon Musk, Bill Gates, Barack Obama, and many more. As well as humiliating Twitter’s reputation as one of the world’s leading technology companies, billions of rupiah have vanished in the form of bitcoin due to the attack.

Saying the attack as hacking is quite inaccurate because the perpetrator did not attack the platform’s security holes. What happened to Twitter in that attack was social engineering. This social engineering attacks human negligence in quite a variety of ways. The perpetrator deceptively managed to earn the trust earned from Twitter employees and used the information he obtained to bypass the platform’s security system. In the ISACA State of Cybersecurity 2020 report, Part 2: Threat and Landscape Security Practices, social engineering is called the number one digital security threat in the world. This encourages the belief that humans are the weakest chain in a digital security system.

Identifying social engineering

What happened to Twitter is also common in other digital platforms, including in Indonesia. If the attack makes employees a foothold to jump over the platform’s security system, there are many cases that attack platform users. In general, user literacy levels are much more diverse than those working in technology companies. Therefore, it is not surprising that social engineering attacks happen to common people. Domestically, this attack trend is increasingly evident. As one of the largest digital platforms in Indonesia, these happen a few times with Gojek users.

The Center for Digital Society (CfDS) from Gadjah Mada University considers social engineering techniques as fraud which is performed by penetrating security networks through user manipulation to obtain classified information. Indeed, the mechanism is not as complicated as a hacking attack. However, as previously stated, this method is widely used because it takes advantage of the victim’s ignorance of the digital ecosystem.

CfDS researcher Tony Seno Hartono revealed some concepts used in social engineering techniques. Phishing is the most common cause. In this case, the perpetrator uses telephone, email, or other media to gather information about the target of the attack. The next mode is SMShing, which mechanism is similar to phishing but using SMS. Furthermore, there is pretexting which relies on a narrative that convinces the victim to retrieve information. Lastly, there is an impersonation. This mode is done by pretending to be someone to collect information from the target victim.

Seizing the victim’s trust is the red thread of all these cases. Making victims off guard and gaining important information regarding personal data, one-time passwords (OTP), and other sensitive data makes it easier for them to penetrate the platform’s security system. For perpetrators, these social engineering techniques are more practical than hacking into security systems. In the context of the digital ecosystem in Indonesia, the threats these social engineering techniques pose can have a huge impact.

Fungus in the rainy season

The form of crime always adapts and develops from time to time with the conditions of society. The fertility of this social engineering method of deception. Indonesia is currently home to Southeast Asia’s largest digital business ecosystem. The We are Social 2020 report shows that there are more than 175 million internet users, thousands of digital startups, and six unicorns in Indonesia. Temasek and Google‘s research stated that the value of the digital economy in Indonesia has reached US$40 billion last year and potentially to double to US$133 billion by 2025.

Although, digital literacy in the country is quite far from sufficient. CfDS stated that digital technology security competence in Indonesia is quite basic and still in middle categories. This is directly proportional to cyberattacks targeting internet users in the region.

The Covid-19 outbreak has become a catalyst that accelerates society’s adaptation to the digital economy. The situation that requires most people to do activities from home forces them to adapt to using all kinds of digital services. This large migration can certainly be interpreted as an opportunity for cybercriminals. The large number of new users who are yet to understand much about digital solutions is an easy target for users of social engineering.

Gojek acts against social engineering

Of the many digital businesses in Indonesia, Gojek is one of the driving forces. Gojek is a decacorn with 20 different services with 3 super apps for customers, driver-partners, and merchant partners. They have also expanded to other countries in the region such as Vietnam, Singapore, the Philippines, and Thailand. By the end of the second quarter of this year, their application has been downloaded more than 190 million times, with more than 2 million drivers, and 500,000 GoFood partners. A study by the Demographic Institute of the Faculty of Economics and Business, Universitas Indonesia in 2019 found that Gojek’s contribution to the national economy has reached IDR 104.6 trillion.

Imagine millions of rotating transactions in one day is enough to convince digital bandits to aim at Gojek users as targets. Gojek acknowledged the threat was real. In fact, Gojek makes three approaches to protect its service ecosystem: technology, protection, and education. The technological approach is the foundation of the security system. They added some innovations such as number masking, two-factor authentication, chat intervention, fingerprint features, face verification, and piracy prevention. GoPay’s SVP IT Governance, Risk & Compliance, Genesha Nara Saputra explained their team always keeps an eye behind the scenes on the latest attack trends and improves the capabilities of the security infrastructure. However, Ganesha believes that all the technical sophistication they provide can be useless when the perpetrators of social engineering attacks target their common users.

“In the case of social engineering, there is only one effective way, it is education. It has been recognized by the world that this human is the weakest chain. That’s why the key is practical education,” Genesha explained.

Regarding this educational approach, Gojek emphasizes four things for its users. Those are including not to transact outside of the application, secure personal data, use a PIN for every transaction, and immediately complain to customer service or the police when there is something suspicious. This is indeed targeting Gojek driver-partners and merchants too. Of the social engineering cases that happened to Gojek, the perpetrators often target the victim’s electronic wallet.

One of the significant improvements Gojek managed in maintaining the security of its ecosystem is the ability to detect fictional orders. In the past few years, fictitious orders have become a scourge for driver-partners. Another thing is the use of illegal applications such as Fake GPS or most popular among drivers with the term “tuyul”. The illegal application allows rogue drivers to manipulate their location. Gojek’s Head of Driver Operations Trust & Safety, Kevin Timotius said the progress came from the use of machine learning and artificial intelligence that they developed in the Gojek SHIELD technology.

“We have utilized machine learning and artificial intelligence technology to detect and crack down on various fraudulent acts that harm driver-partners, including fictitious orders and the use of illegal devices. Previously, similar technology has also helped improve partner security through face verification and phone number disguise,” said Kevin.

Regardless, social engineering scam remains a latent danger that lurks any user of digital services. This technique is less affected by the sophisticated security infrastructure used by digital startups like Gojek as this act targets a person’s psychology. This problem can be suppressed only with qualified digital literacy.

However, digital platforms cannot run solely. They need a helping hand from industry, government, non-governmental organizations, and the community to prevent the proliferation of cases of social engineering in Indonesia.

–
Original article is in Indonesian, translated by Kristin Siagian

Upaya Gojek Melawan Ancaman Rekayasa Sosial

Berawal dari kamar percakapan di Slack, sebuah aksi peretasan berhasil menembus keamanan berlapis milik Twitter pada pertengahan Juli kemarin. Serangan tersebut mengambil alih sejumlah akun Twitter berprofil besar seperti Elon Musk, Bill Gates, Barack Obama, dan banyak lagi. Selain mempermalukan reputasi Twitter sebagai salah satu perusahaan teknologi ternama dunia, uang miliaran rupiah melayang dalam bentuk Bitoin dari serangan tersebut.

Menyebut serangan tersebut sebagai peretasan sebenarnya kurang tepat sebab pelaku tidak menyerang celah keamanan platform. Apa yang terjadi pada Twitter pada serangan itu adalah rekayasa sosial atau social engineering. Rekayasa sosial ini menyerang kelengahan manusia dengan modus yang cukup beragam. Pelaku dengan tipu dayanya berhasil memperoleh kepercayaan yang ia peroleh dari karyawan Twitter dan memanfaatkan informasi yang dia peroleh untuk menembus sistem keamanan platform. Dalam laporan ISACA State of Cybersecurity 2020, Part 2: Threat and Landscape Security Practices, rekayasa sosial disebut sebagai ancaman keamanan digital nomor wahid di dunia. Hal ini menebalkan keyakinan bahwa manusia adalah rantai terlemah dalam sebuah sistem keamanan digital.

Mengidentifikasi rekayasa sosial

Apa yang terjadi pada Twitter itu juga jamak ditemui di platform digital lain termasuk di Indonesia. Jika serangan tersebut menjadikan karyawan sebagai pijakan untuk melompati sistem keamanan platform, kasus serangan yang menyerang pengguna platform tak kalah banyak. Secara umum, tingkat literasi pengguna jauh lebih beragam ketimbang mereka yang bekerja di perusahaan teknologi. Maka tidak mengherankan serangan rekayasa sosial lebih ramai menimpa masyarakat awam. Di dalam negeri, tren serangan ini makin nampak. Sebagai salah satu platform digital terbesar di Indonesia, kasus yang menimpa pengguna Gojek pernah terjadi beberapa kali.

Center for Digital Society (CfDS) dari Universitas Gadjah Mada merumuskan teknik rekayasa sosial sebagai penipuan yang dilakukan dengan menembus jaringan keamanan melalui manipulasi pengguna untuk mendapatkan informasi rahasia. Memang mekanismenya tak serumit serangan peretasan. Namun seperti disebutkan sebelumnya, cara ini banyak dipakai karena memanfaatkan ketidaktahuan korban mengenai ekosistem digital.

Peneliti CfDS Tony Seno Hartono memaparkan sejumlah modus yang dipakai dalam teknik rekayasa sosial. Phishing merupakan modus yang paling banyak ditemui. Dalam modus ini, pelaku menggunakan telepon, surel, atau media lain untuk mengumpulkan informasi mengenai target serangan. Modus berikutnya adalah SMShing yang mekanismenya menyerupai phishing hanya saja memakai SMS. Selanjutnya ada pretexting yang mengandalkan narasi yang meyakinkan korban untuk mengambil informasi. Terakhir ada impersonation. Modus ini dilakukan dengan cara berpura-pura menjadi seseorang untuk mengumpulkan informasi dari target korban.

Merebut kepercayaan korban menjadi persamaan dari semua modus itu. Membuat lengah korban dan meraih informasi penting mengenai data pribadi, kata kunci sekali pakai (one time password/OTP), serta data sensitif lainnya memudahkan mereka menembus sistem keamanan platform. Bagi pelaku, teknik rekayasa sosial ini lebih praktis ketimbang mereka meretas sistem keamanan. Dalam konteks ekosistem digital di Indonesia, ancaman yang dibawa oleh teknik rekayasa sosial ini bisa berdampak begitu besar.

Cendawan di musim hujan

Bentuk kejahatan selalu beradaptasi dan berkembang dari waktu ke waktu dengan kondisi masyarakat. Suburnya penipuan dengan metode rekayasa sosial ini. Indonesia saat ini adalah rumah untuk ekosistem bisnis digital terbesar di Asia Tenggara. Laporan We are Social 2020 mencatat pengguna internet di Indonesia sudah lebih dari 175 juta pengguna internet, ribuan startup digital, dan enam unicorn. Riset Temasek dan Google menyebut nilai ekonomi digital di Indonesia pada tahun lalu mencapai US$40 miliar dan berpotensi berlipat menjadi US$133 miliar pada 2025.

Kendati begitu literasi digital di Tanah Air masih jauh dari cukup. CfDS menyatakan kompetensi keamanan teknologi digital di Indonesia di kategori dasar dan menengah. Hal ini berbanding lurus dengan serangan siber yang menyasar pengguna internet di sini.

Wabah Covid-19 menjadi katalis yang mempercepat adaptasi masyarakat ke ekonomi digital. Situasi yang mengharuskan mayoritas orang berkegiatan dari rumah memaksa mereka beradaptasi untuk memakai segala jenis layanan digital. Migrasi besar tersebut tentu dapat ditafsirkan sebagai peluang bagi pelaku kejahatan siber. Banyaknya pengguna baru yang belum banyak mengerti seluk-beluk solusi digital adalah sasaran empuk pengguna teknik rekayasa sosial.

Langkah Gojek melawan rekayasa sosial

Dari sekian banyak bisnis digital di Indonesia, Gojek merupakan salah satu motor penggeraknya. Gojek adalah decacorn dengan 20 layanan berbeda dengan 3 super app untuk pelanggan, mitra pengemudi, dan mitra merchant. Mereka juga sudah ekspansi ke negara lain di kawasan seperti Vietnam, Singapura, Filipina, dan Thailand. Hingga akhir kuartal kedua tahun ini, aplikasi mereka sudah diunduh lebih dari 190 juta kali, dengan lebih dari 2 juta pengemudi, dan 500.000 mitra GoFood. Studi Lembaga Demografi Fakultas Ekonomi dan Bisnis Universitas Indonesia pada 2019 menemukan kontribusi Gojek terhadap perekonomian nasional menyentuh Rp104,6 triliun.

Membayangkan jutaan transaksi berputar dalam satu hari saja sepertinya sudah cukup meyakinkan para bandit digital melirik pengguna Gojek sebagai target. Gojek mengakui ancaman itu nyata. Sejatinya Gojek membuat tiga pendekatan untuk melindungi ekosistem layanannya: teknologi, proteksi, dan edukasi. Pendekatan teknologi menjadi fondasi Gojek dalam sistem keamanan. Sejumlah inovasi mereka buat seperti penyamaran nomor, two-factor authentication, intervensi chat, fitur sidik jari, verifikasi wajah, hingga pencegahan pembajakan. SVP IT Gobernance, Risk & Compliance GoPay Genesha Nara Saputra menjelaskan di belakang layar tim mereka selalu mengawasi tren serangan terbaru dan meningkatkan kapabilitas infrastruktur keamanan. Namun Ganesha menilai segala kecanggihan teknologi yang mereka sediakan dapat sia-sia belaka ketika pelaku serangan rekayasa sosial menargetkan pengguna mereka yang masih awam.

“Untuk kasus rekayasa sosial ini memang cuma ada satu cara efektif yakni edukasi. Sudah diakui dunia bahwa manusia ini adalah rantai terlemah. Makanya kuncinya cuma edukasi,” terang Genesha.

Perihal pendekatan edukasi ini Gojek menekankan empat hal untuk pengguna mereka. Keempatnya adalah tidak bertransaksi di luar aplikasi, mengamankan data pribadi, menggunakan PIN setiap bertransaksi, dan segera mengadu ke layanan pelanggan atau kepolisian ketika menghadapi sesuatu yang mencurigakan. Edukasi ini tentu juga dimaksudkan kepada mitra pengemudi dan merchant Gojek. Dari sekian kasus rekayasa sosial yang pernah menimpa Gojek sebelumnya, acapkali pelaku mengincar dompet elektronik korban.

Salah satu peningkatan signifikan yang dilakukan Gojek dalam menjaga keamanan ekosistemnya adalah kemampuan mendeteksi order fiktif. Pada beberapa tahun lalu, order fiktif sempat menjadi momok bagi mitra pengemudi. Hal lain yang juga berkembang adalah pendeteksian penggunaan aplikasi ilegal seperti Fake GPS atau populer di kalangan pengemudi dengan nama “tuyul”. Aplikasi ilegal itu memungkinkan pengemudi nakal mengubah lokasi keberadaan mereka sesuka hati meskipun mereka berada di lokasi lain. Head of Driver Operations Trust & Safety Gojek Kevin Timotius mengatakan, kemajuan itu muncul berkat pemanfaatan machine learning dan kecerdasan buatan yang mereka kembangkan dalam teknologi Gojek SHIELD.

“Teknologi machine learning dan kecerdasan buatan telah kami manfaatkan untuk mendeteksi serta menindak berbagai tindakan curang yang merugikan mitra pengemudi, termasuk di antaranya order fiktif dan penggunaan perangkat ilegal. Sebelumnya teknologi sejenis juga telah banyak membantu meningkatkan keamanan mitra lewat fitur verifikasi wajah dan penyamaran nomor telepon,” tukas Kevin.

Terlepas dari itu semua, teknik penipuan rekayasa sosial tetap menjadi bahaya laten yang mengintai pengguna layanan digital mana pun. Teknik ini tidak begitu terpengaruh dengan infrastruktur keamanan yang canggih yang dipakai startup digital seperti Gojek sebab teknik ini mengincar psikologi seseorang. Hanya dengan literasi digital yang mumpuni persoalan ini dapat ditekan.

Meskipun demikian, platform digital tak bisa sendirian. Mereka perlu uluran tangan industri, pemerintah, organisasi swadaya masyarakat, dan masyarakat itu sendiri untuk mencegah menjamurnya kasus rekayasa sosial di Indonesia.