Dua lembaga intelijen utama Belanda, yakni Badan Intelijen Umum (AIVD) dan Dinas Intelijen dan Keamanan Militer (MIVD), baru saja mengeluarkan peringatan darurat tingkat tinggi. Sebuah kampanye siber berskala global yang didukung oleh Rusia kini tengah berlangsung, menargetkan akun Signal dan WhatsApp milik pejabat pemerintah, personel militer, dan jurnalis.

Ironisnya, aplikasi pesan yang mengandalkan Enkripsi Ujung-ke-Ujung (End-to-End Encryption / E2EE) ini justru menjadi medan perburuan utama. Menurut AIVD dan MIVD, popularitas aplikasi ini di kalangan pejabat untuk berbagi informasi rahasia menjadikannya "tempat ideal bagi aktor jahat untuk mencoba menangkap informasi sensitif."

Baca Juga: Aturan Blokir Medsos Anak <16 Tahun: Tonggak Baru Tata Kelola Siber RI Melawan Manipulasi Algoritma

Perlu ditegaskan bahwa peretas Rusia tidak memecahkan algoritma enkripsi Signal atau WhatsApp. Baik pihak Signal maupun WhatsApp mengonfirmasi bahwa infrastruktur inti mereka tidak dikompromikan. Serangan ini murni mengeksploitasi kelengahan manusia (Social Engineering) melalui kampanye phishing yang sangat terkoordinasi.

Berikut adalah dua metode utama yang digunakan pelaku:

1. Impersonasi Dukungan Teknis (Support Chatbot): Peretas memulai obrolan dengan menyamar sebagai akun "Signal Support" atau "WhatsApp Support". Mereka meyakinkan target untuk menyerahkan kode verifikasi 6 digit atau PIN keamanan dengan dalih pembaruan sistem atau verifikasi identitas.
2. Eksploitasi Fitur "Perangkat Tertaut" (Linked Devices): Pelaku menipu korban untuk memindai kode QR atau memberikan persetujuan akses, yang memungkinkan peretas menautkan akun korban ke perangkat milik pelaku secara diam-diam.

Indikator Kompromi (IoC): Intelijen Belanda memberikan panduan untuk mendeteksi apakah sebuah akun telah dibajak. Pengguna harus waspada jika melihat daftar kontak yang muncul dua kali (ganda), atau jika ada nomor dalam grup obrolan yang tiba-tiba berubah status menjadi 'deleted account' (akun terhapus). Ini adalah indikasi kuat bahwa pihak ketiga telah menyusup ke dalam akun atau grup tersebut.

Pernyataan Direktur MIVD, Laksamana Madya Peter Reesink, memberikan pukulan realitas yang keras: "Meskipun ada opsi enkripsi ujung-ke-ujung, aplikasi pesan seperti Signal dan WhatsApp tidak boleh digunakan sebagai saluran untuk informasi rahasia, konfidensial, atau sensitif."

Enkripsi E2EE hanya mengamankan data saat "sedang transit" di udara. Jika penyerang berhasil membajak titik akhir (endpoint—dalam hal ini, akun pengguna itu sendiri), enkripsi sehebat apa pun menjadi tidak berguna karena penyerang sudah berada di dalam "kamar" yang sama dengan korban.

Untuk memitigasi kampanye spionase siber semacam ini, Fourtrezz sangat merekomendasikan:

1. Kunci Registrasi (Registration Lock / Two-Step Verification): Wajibkan pengaktifan PIN tambahan pada WhatsApp dan Signal. PIN ini akan mencegah peretas mendaftarkan nomor telepon Anda di perangkat lain, meskipun mereka berhasil mencuri kode verifikasi SMS 6 digit Anda.
2. Audit Linked Devices Berkala: Jadikan pemeriksaan menu "Perangkat Tertaut" sebagai rutinitas mingguan. Jika ada sesi peramban web atau perangkat desktop yang tidak dikenal, segera Log Out (Keluarkan).
3. Gunakan Platform Enterprise/Military Grade: Untuk instansi pemerintahan dan korporasi yang menangani data rahasia (Classified Information), tinggalkan aplikasi pesan konsumen (consumer-grade). Beralihlah ke platform komunikasi internal tertutup yang dikelola secara lokal (On-Premise) dengan kontrol akses akses yang sepenuhnya dikelola oleh tim IT internal, bukan server pihak ketiga.