 |
Assalammualaikum wbt dan salam sejahtera semua.
Baru-baru ini, pada hari Ahad, 17 Mei 2026 jam 7.05 pagi, saya berdepan situasi di mana akaun Instagram saya tiba-tiba menghantar mesej crypto scam kepada followers tanpa pengetahuan saya.
Lebih mengejutkan, akaun Instagram saya sudah mempunyai 2FA (Two-Factor Authentication) menggunakan nombor telefon dan emel.
Namun insiden ini tetap berlaku.
Apa yang berlaku sebenarnya?
Saya mula sedar apabila tiba-tiba saya dapat notification bahawa saya menghantar mesej kepada akaun media sosial organisasi, di mana saya adalah salah seorang admin. Kemudian, ada beberapa kawan memaklumkan bahawa mereka menerima mesej pelik daripada akaun saya. Mereka pelik kenapa saya promote crypto. Saya ni tak pernah-pernah main crypto. Rupanya bila saya check, hacker tu dia dah broadcast ke semua followers.
Kandungan mesej tersebut ialah:
- Screenshot berkaitan crypto
- Menggunakan nama tokoh terkenal iaitu Elon Musk
- Tangkap gambar screen (most likely laptop atau desktop) yang menunjukkan platform Twitter atau X. Sekali imbas nampak la macam real.
 |
| Image yang diterima oleh orang yang follow saya. Very likely edited. Not a real post by Elon Musk. Takdenya la Mas Elon nak buat posting macam ni. |
Selepas semakan, jelas ia bukan datang daripada saya.
|
| Saya dah buat comparison so senang nak faham. |
Gambar Itu Fake. Bagaimana Nak Tahu?
Bila diteliti semula, terdapat beberapa perkara yang mencurigakan pada screenshot tersebut.
Antaranya:
- Alignment teks dan susunan elemen UI kelihatan tidak konsisten. Boleh lihat dekat line kuning yang saya highlight tu. Patutnya text takkan melebihi tanda titik 3 tu.
- Jumlah engagement seperti likes, views, comments dan shares tidak tally antara satu sama lain. Engagement fake post tu jauh lebih tinggi dari yang posting akaun ori, tapi views dia sikit.
Inilah antara taktik atau MO attacker. Mereka cuba hasilkan visual yang nampak “convincing” supaya orang percaya dan terus klik tanpa semak terlebih dahulu.
Dalam kes saya ni, saya bernasib baik sebab attacker / hacker tidak broadcast clickable link. Kalau ya, akan jadi lagi haru dan payah. Sebab link yang mereka bagi semestinya dah infected.
Macam Mana Nak Tahu Website Tu Legit ke Tak?
Boleh try check dekat website checker. Antara yang saya biasa pakai ialah SSLTrust Website Security Checker. Ni linknya: https://www.ssltrust.com.au/ssl-tools/website-security-check. So bila saya check domain / URL / website seperti dalam gambar. Saya tak selitkan nama website dalam bentuk text dekat sini sebab takut ada yang tertekan.
Ni contoh nak tunjuk bahawa website tu infected:
 |
| Boleh nampak ada 13 positive match untuk malware. Dan dalam tu boleh nampak website tersebut pun ada dalam database Kasperksy, Sophos, Fortinet, BitDefender. Tu nama-nama besar tu dalam Cybersecurity. |
Jadi, jangan tekan sebarangan website.
Tindakan segera yang saya ambil
Apabila sedar akaun telah compromised pada 7.05 pagi, saya terus:
- Tukar password akaun
- Log out semua devices
- Semak login activity
- Remove akses yang mencurigakan
- Kemaskan security setting semula
- Dan tukar semua 2FA kepada authenticator app. Ada banyak jenis authenticator app. Paling senang boleh guna Google Authenticator.
Semua proses ini saya selesaikan dalam masa yang sangat singkat. Log out from all devices dan password saya tukar dalam masa 1-2 minit. Lagi lambat tukar, lagi tinggi kebarangkalian tindakan hacker untuk buat benda lain pula.
Kemudian, saya inform di IG Story, IG Feed dan juga reply pada yang bertanya. Agak susah untuk saya DM seorang-seorang sebab dia broadcast ke semua yang follow saya. Ada la dalam 2000+ followers.
Apa akan jadi kalau lambat bertindak?
Lagi lambat bertindak, lagi tinggi risiko attacker melakukan perkara lain seperti:
- Menukar recovery email atau nombor telefon
- Mengambil alih akaun sepenuhnya
- Menggunakan akaun untuk scam lebih ramai orang
- Menyasarkan clients, followers atau business contacts
- Menyebarkan malware atau phishing links
Apa patut buat andai kata dah tertekan link tu ataupun terdetik nak taip dan masuk dalam link tu?
Berikut adalah tindakan yang boleh dibuat:
- Segera tutup website tersebut
- Jangan login atau masukkan sebarang maklumat
- Tukar password akaun penting dengan segera
- Log out semua active sessions
- Scan device menggunakan antivirus atau anti-malware
- Semak third-party access yang mencurigakan
- Aktifkan authenticator app jika belum digunakan
- Pantau sebarang login atau aktiviti pelik selepas itu
- Jalankan full scan atau deep scan menggunakan antivirus / anti-malware yang dipercayai
- Remove extension, software atau aplikasi mencurigakan yang baru dipasang
Kenapa ini boleh berlaku walaupun ada 2FA?
Dalam banyak kes zaman sekarang ini, attacker tidak semestinya “hack password”, tetapi mereka mencuri access yang sudah sah daripada device atau browser kita sendiri, baik di phone, tab atau desktop / laptop.
2FA tidak semestinya bermaksud akaun kita 100% kebal.
Dalam kes saya, kemungkinan besar ia berlaku melalui:
1. Session hijacking
Attacker tidak perlu login semula atau masukkan 2FA jika mereka sudah mencuri session aktif dari browser atau device.
2. Device atau browser compromise
Extension atau software yang tidak disedari boleh mencuri cookies atau access token. Satu hari sebelum kejadian, saya ada download satu extension di Google Chrome. Bila diteliti kembali, rupanya extension tu tak selamat. Waktu download dia tak keluar. Lepas kejadian, bila check, baru Google mention. So... Boleh jadi itu antara punca. Possibility sahaja la.
3. Third-party access
Kadangkala kita terlalu mudah memberikan akses kepada aplikasi atau servis pihak ketiga tanpa benar-benar menyemak permission yang diminta. Selain itu, jika aplikasi tersebut mempunyai security yang lemah, access token atau session tertentu boleh disalahgunakan.
Realiti tentang 2FA yang ramai salah faham
Untuk akaun Instagram saya, pada asalnya 2FA method saya guna ialah nombor telefon dan emel. Saya tidak guna authenticator app untuk Instagram.
Sebelum ini saya sendiri anggap:
“Kalau dah ada 2FA guna nombor telefon atau email, akaun dah cukup selamat.”
Tapi selepas insiden ini, saya sedar rupanya tidak.
SMS dan email 2FA ada kelemahan, iaitu:
- bergantung pada telco dan email security
- boleh terdedah kepada phishing atau SIM-related attack
- tidak melindungi session yang sudah aktif
Kenapa saya tukar kepada authenticator app
Selepas insiden ini, saya terus tukar semua akaun penting kepada authenticator app.
Sebab utama:
✔ Kod dijana dalam device sendiri
Tidak bergantung kepada SMS atau email.
✔ Tidak boleh dipintas melalui network
Walaupun nombor telefon atau email terdedah, kod masih selamat.
✔ Lebih selamat terhadap phishing real-time
Serangan hari ini banyak berlaku secara “live”, bukan sekadar password leak.
 |
| Ni adalah Google Authenticator. Code semua ada dalam app ni. Code ni dia akan reset setiap 1 minit. Jadi, code sentiasa berubah-ubah. Andai kata attacker / hacker nakkan code ni, kita akan dapat notification dulu. Dekat situ kita boleh detect kalau ada suspicious movement atau attempt. |
Apa yang saya ubah selepas insiden ini
- Semua social media guna authenticator app
- Email utama diperkukuh dengan 2FA lebih kuat
- Revoke semua third-party access
- Elakkan login di browser yang tidak dipercayai
- Asingkan penggunaan browser kerja & personal
Kesimpulan
Apa yang berlaku kepada saya ini bukan sekadar satu insiden, tetapi satu wake-up call.
Keselamatan digital bukan lagi pilihan, tetapi satu keperluan.
Kita boleh ada password yang kuat, 2FA yang aktif, dan device yang dikemas kini. Tapi jika kita leka dengan session, browser dan akses pihak ketiga, akaun masih boleh diambil alih tanpa kita sedar.
Saya harap perkongsian ini memberi manfaat buat semua dan agar semua berhati-hati.
Sebab apa? Sebab dalam dunia digital hari ini, satu klik yang salah sudah cukup untuk membuka pintu kepada serangan yang lebih besar.
Sekian, terima kasih.
#Azaraslan #CyberSecurity #OnlineSecurity #CyberAwareness #ScamAlert #Phishing #SocialMediaSafety #AccountSecurity #DigitalSafety #DigitalMarketing #TechAwareness
Catat Ulasan