Industri penerbangan, yang memegang data jutaan pelancong global, kini berada dalam bidikan kelompok peretas elit. Maskapai penerbangan nasional Spanyol, Iberia, baru-baru ini mengkonfirmasi insiden siber signifikan yang mengakibatkan kompromi pada sistem internal dan data penumpangnya. Namun, ini bukan sekadar insiden isolasi. FBI dan badan keamanan siber global melihat pola serangan sistematis terhadap sektor transportasi dan aviasi pada akhir 2025, yang didalangi oleh kelompok ancaman yang dikenal sebagai "Scattered Spider" (atau UNC3944).

Baca Juga: Eskalasi Ransomware Asia-Pasifik: Grup Qilin dan Pencurian 2,5 TB Data Habib Bank

Berbeda dengan kelompok peretas negara (Nation-State) yang mengandalkan kode canggih, Scattered Spider dikenal karena kefasihan mereka dalam bahasa Inggris dan pemahaman budaya korporat Barat. Mereka didominasi oleh individu muda (banyak yang diduga berbasis di AS/Inggris) yang ahli dalam teknik Social Engineering agresif.

• Modus Operandi: Mereka tidak meretas firewall; mereka meretas manusia. Taktik utama mereka adalah menargetkan staff Helpdesk IT. Penyerang akan menelepon staf IT, menyamar sebagai karyawan maskapai yang panik karena lupa password atau kehilangan token MFA (Multi-Factor Authentication).
• SIM Swapping: Mereka sering menggunakan teknik SIM Swapping untuk mengambil alih nomor telepon karyawan, sehingga kode OTP (One-Time Password) dikirim ke perangkat penyerang, bukan korban.

Akses ke sistem maskapai seperti Iberia memberikan "harta karun" bagi penyerang:

1. Data PII (Personally Identifiable Information): Nomor paspor, tanggal lahir, dan detail pembayaran penumpang adalah komoditas mahal di pasar gelap untuk pencurian identitas.
2. Loyalty Points Fraud: Poin frequent flyer bernilai setara uang tunai. Penyerang dapat mentransfer poin ini atau menggunakannya untuk membeli tiket penerbangan dan hotel mewah, lalu menjualnya kembali dengan harga diskon.
3. Dampak Reputasi & Regulasi: Di bawah regulasi GDPR (General Data Protection Regulation) Uni Eropa, kebocoran data penumpang dapat menyebabkan denda hingga 4% dari pendapatan global tahunan perusahaan. Selain denda, hilangnya kepercayaan penumpang di tengah kompetisi maskapai yang ketat adalah kerugian jangka panjang yang sulit dipulihkan.

Kasus Iberia membuktikan bahwa MFA konvensional (SMS/App Push Notification) sudah usang melawan peretas yang gigih.

• Adopsi FIDO2: Maskapai dan perusahaan besar wajib beralih ke kunci keamanan fisik (hardware security keys) berbasis standar FIDO2 (seperti YubiKey). Kunci ini secara fisik tidak bisa diretas melalui telepon atau phishing situs palsu.
• Verifikasi Identitas Helpdesk: Prosedur reset password harus diperketat. Verifikasi tidak boleh hanya berdasarkan "Nomor Induk Karyawan". Perlu ada verifikasi visual (video call) atau persetujuan manajer langsung sebelum akses dipulihkan.