Dua badan intelijen dan keamanan siber utama Jerman, BfV (Badan Perlindungan Konstitusi) dan BSI (Kantor Keamanan Informasi Federal), baru saja mengeluarkan peringatan gabungan yang mendesak. Sebuah kampanye siber berbahaya yang kemungkinan besar disponsori oleh negara (state-sponsored) sedang berlangsung, menargetkan individu profil tinggi di Jerman dan Eropa.

Target utamanya sangat spesifik: politisi papan atas, petinggi militer, diplomat, dan jurnalis investigasi. Uniknya, serangan ini tidak mengeksploitasi celah keamanan teknis (vulnerability) pada aplikasi Signal yang dikenal sangat aman, melainkan mengeksploitasi fitur sah aplikasi tersebut untuk membajak akun.

Baca Juga: Celah VMware ESXi (CVE-2025-22225) Jadi Senjata Ransomware, Toolkit Cina Terdeteksi Sejak 2024

Para peretas menggunakan pendekatan Social Engineering yang rapi untuk mengambil alih akun korban tanpa perlu menyebarkan malware. Berikut adalah dua vektor serangan utamanya:

1. Impersonasi Dukungan Teknis (Support Scam):
   • Pelaku menghubungi target menggunakan nama akun seperti "Signal Support" atau "Signal Security ChatBot".
   • Mereka mendesak korban untuk mengirimkan Kode Verifikasi SMS atau PIN Signal dengan ancaman palsu bahwa data akan hilang jika tidak segera diverifikasi.
   • Dampak: Jika korban memberikan kode tersebut, pelaku dapat mendaftarkan ulang nomor korban di perangkat mereka. Meskipun pelaku tidak bisa melihat pesan masa lalu (karena tersimpan lokal), mereka bisa mencegat pesan baru dan mengirim pesan atas nama korban, merusak reputasi dan jaringan komunikasi.
2. Jebakan Tautan Perangkat (Device Linking Trap):
   • Dalam skenario alternatif, pelaku menipu korban untuk memindai Kode QR fitur Linked Devices.
   • Dampak: Jika berhasil, pelaku mendapatkan akses penuh ke akun Signal korban di perangkat sekunder (desktop/iPad) milik pelaku. Berbeda dengan skenario pertama, metode ini memungkinkan pelaku melihat riwayat pesan hingga 45 hari ke belakang dan memantau percakapan secara real-time tanpa korban sadari.

Peringatan dari Jerman ini tidak berdiri sendiri. Di Norwegia, Badan Keamanan Polisi (PST) menuduh kelompok peretas yang didukung Tiongkok (termasuk Salt Typhoon) dan Rusia secara sistematis memata-matai target militer dan merekrut "sumber manusia" melalui LinkedIn. Sementara itu, CERT Polska melaporkan bahwa kelompok peretas Rusia Static Tundra telah menyerang lebih dari 30 fasilitas energi (angin dan surya) dengan mengeksploitasi perangkat VPN FortiGate yang tidak diproteksi MFA.

Benang merah dari semua insiden ini adalah fokus pada pencurian akses kredensial dan manipulasi kepercayaan, bukan sekadar perusakan sistem.

Kasus Signal ini adalah pengingat keras bahwa aplikasi terenkripsi (End-to-End Encryption) sekalipun tidak kebal terhadap manipulasi manusia. Keamanan teknis Signal yang superior menjadi tidak relevan ketika pengguna sendiri yang menyerahkan kunci aksesnya kepada penyerang.

Individu dengan profil tinggi sering kali memiliki rasa aman palsu ketika menggunakan aplikasi "aman" seperti Signal atau WhatsApp. Mereka cenderung menurunkan kewaspadaan di platform tersebut dibandingkan saat menggunakan email korporat. Di Fourtrezz, kami melihat urgensi bagi organisasi untuk menerapkan protokol keamanan komunikasi khusus bagi personel kunci:

1. Kunci Registrasi (Registration Lock): Wajibkan pengaktifan fitur Registration Lock di Signal dan WhatsApp. Fitur ini mencegah orang lain mendaftarkan ulang nomor Anda di perangkat baru tanpa PIN, bahkan jika mereka memiliki kode SMS Anda.
2. Audit Perangkat Tertaut: Lakukan pemeriksaan rutin (mingguan) pada menu "Linked Devices". Segera hapus perangkat yang tidak dikenali atau sesi yang sudah lama tidak aktif.
3. Verifikasi Identitas Ketat: Jangan pernah membagikan kode verifikasi SMS atau PIN kepada siapa pun, termasuk akun yang mengaku sebagai "Support". Dukungan teknis resmi tidak akan pernah meminta kode verifikasi Anda.