 |
| Very likely fake / edited, not a real post from Elon Musk. |
Assalammualaikum wbt dan salam sejahtera semua.
Baru-baru ini, saya berdepan situasi di mana akaun Instagram saya tiba-tiba menghantar mesej crypto scam kepada followers tanpa pengetahuan saya.
Lebih mengejutkan, akaun Instagram saya sudah mempunyai 2FA (Two-Factor Authentication) menggunakan nombor telefon dan emel.
Namun insiden ini tetap berlaku.
Apa yang berlaku sebenarnya?
Saya sedar apabila tiba-tiba saya dapat notification bahawa saya menghantar mesej kepada akaun media sosial organisasi, di mana saya adalah admin. Kemudian, ada beberapa orang mula memaklumkan mereka menerima mesej pelik daripada akaun saya. Rupanya bila saya check, hacker tu dia dah broadcast ke semua followers.
Kandungan mesej tersebut biasanya:
- berkaitan crypto scam
- menggunakan gambar tokoh terkenal
- dan nampak seperti “announcement investment”
Selepas semakan, jelas ia bukan datang daripada saya.
Tindakan segera yang saya ambil
Apabila sedar akaun telah compromised, saya terus:
- Tukar password akaun
- Log out semua devices
- Semak login activity
- Remove akses yang mencurigakan
- Kemaskan security setting semula
- Dan tukar semua 2FA kepada authenticator app
Kenapa ini boleh berlaku walaupun ada 2FA?
2FA tidak semestinya bermaksud akaun kita 100% kebal.
Dalam kes saya, kemungkinan besar ia berlaku melalui:
1. Session hijacking
Attacker tidak perlu login semula atau masukkan 2FA jika mereka sudah mencuri session aktif dari browser atau device.
2. Device atau browser compromise
Extension atau software yang tidak disedari boleh mencuri cookies atau access token.
3. Third-party access
Ada kemungkinan akses daripada aplikasi atau service yang pernah di-authorize sebelum ini digunakan untuk automation.
Realiti tentang 2FA yang ramai salah faham
Sebelum ini saya sendiri anggap:
“Kalau dah ada 2FA guna nombor telefon atau email, akaun dah cukup selamat.”
Tapi selepas insiden ini, saya sedar rupanya tidak.
SMS dan email 2FA ada kelemahan, iaitu:
- bergantung pada telco dan email security
- boleh terdedah kepada phishing atau SIM-related attack
- tidak melindungi session yang sudah aktif
Kenapa saya tukar kepada authenticator app
Selepas insiden ini, saya terus tukar semua akaun penting kepada authenticator app.
Sebab utama:
✔ Kod dijana dalam device sendiri
Tidak bergantung kepada SMS atau email.
✔ Tidak boleh dipintas melalui network
Walaupun nombor telefon atau email terdedah, kod masih selamat.
✔ Lebih selamat terhadap phishing real-time
Serangan hari ini banyak berlaku secara “live”, bukan sekadar password leak.
Apa yang saya ubah selepas insiden ini
- Semua social media guna authenticator app
- Email utama diperkukuh dengan 2FA lebih kuat
- Revoke semua third-party access
- Elakkan login di browser yang tidak dipercayai
- Asingkan penggunaan browser kerja & personal
Kesimpulan
Insiden ini ajar saya satu perkara penting:
Security bukan sekadar password atau 2FA tetapi juga bagaimana kita mengurus access, device dan session.
Jika anda masih bergantung kepada SMS atau email 2FA semata-mata, mungkin sudah tiba masa untuk upgrade kepada authenticator app.
Lagi-lagi jika anda mengurus akaun business, brand atau client.
Semoga perkongsian ini bermanfaat.
Sekian, terima kasih.
#Azaraslan
Catat Ulasan