Pengguna WhatsApp kembali perlu waspada. Sebuah kampanye pengambilalihan akun (account takeover) yang baru ditemukan menunjukkan bahwa akun WhatsApp kini bisa diretas tanpa perlu mencuri kata sandi dan bahkan tanpa mengeksploitasi celah teknis apa pun. Cukup bermodal nomor HP dan sedikit kelengahan pengguna, penyerang bisa mendapatkan akses penuh ke akun korban.
Baca Juga : Cara Setting Signature di Gmail di HP & Laptop (Step by Step)
Serangan ini dikenal dengan nama GhostPairing Attack. Alih-alih memanfaatkan bug atau kelemahan sistem, metode ini mengandalkan rekayasa sosial (social engineering) serta fitur resmi WhatsApp, yaitu device linking atau penautan perangkat.
Menariknya, meski pertama kali terdeteksi di Republik Ceko (Czechia), serangan ini tidak mengenal batas wilayah. Para pelaku menggunakan kit serangan yang bisa dipakai ulang, sehingga mudah disebarkan ke berbagai negara dengan beragam bahasa.
Awal Mula Serangan
.webp "Awal Mula Serangan GhostPairing")
Serangan GhostPairing biasanya dimulai dengan cara yang terlihat sangat sepele. Korban menerima pesan WhatsApp dari kontak yang sudah dikenal, misalnya teman atau rekan kerja. Pesan tersebut umumnya berisi kalimat sederhana seperti, “Ini foto kamu ya?” atau “Aku nemu foto ini, kamu?”
Di dalam pesan itu terdapat sebuah tautan yang tampak seperti penampil konten Facebook. Karena dikirim oleh orang yang dikenal dan membawa embel-embel Facebook, banyak pengguna yang tidak curiga dan langsung mengkliknya.
Begitu tautan dibuka, pengguna diarahkan ke halaman palsu bertema Facebook yang meminta proses verifikasi sebelum konten bisa dilihat. Tampilan yang familiar ini menciptakan kesan aman dan resmi, sehingga korban terdorong untuk mengikuti instruksi tanpa berpikir panjang.
Memanfaatkan Fitur Resmi WhatsApp, Bukan Celah Keamanan
Peneliti keamanan dari Gen Digital menemukan bahwa serangan ini mengeksploitasi fitur pairing perangkat WhatsApp. Fitur ini sebenarnya dibuat untuk memudahkan pengguna menghubungkan akun WhatsApp ke perangkat lain, seperti browser web atau aplikasi desktop.
Dalam kondisi normal, fitur ini aman dan sah. Namun dalam GhostPairing Attack, penyerang memanipulasi alur verifikasi agar korban secara sukarela menyetujui koneksi perangkat milik penyerang.
Artinya, tidak ada kata sandi yang dicuri, tidak ada malware yang dipasang, dan tidak ada bug sistem yang dimanfaatkan. Semua berjalan lewat persetujuan korban sendiri, meski tanpa disadari.
Mekanisme Infeksi
.webp "Mekanisme Infeksi GhostPairing")
Bagian paling krusial dari serangan ini ada pada mekanisme pairing berbasis nomor HP dan kode numerik. Inilah yang membuat GhostPairing sangat efektif.
Saat korban memasukkan nomor HP mereka di halaman palsu tersebut, sistem milik penyerang akan meneruskan permintaan itu ke endpoint resmi WhatsApp untuk penautan perangkat. WhatsApp kemudian menghasilkan kode pairing yang seharusnya hanya digunakan oleh pemilik akun.
Namun, alih-alih kode itu masuk ke perangkat penyerang, kode tersebut ditampilkan kembali ke korban melalui website palsu, lengkap dengan instruksi untuk memasukkannya ke aplikasi WhatsApp mereka.
Dari sudut pandang korban, proses ini terlihat sangat normal, bahkan mirip dengan verifikasi dua langkah yang sering digunakan WhatsApp. Tanpa sadar, ketika korban memasukkan kode tersebut, mereka sebenarnya menyetujui perangkat penyerang sebagai perangkat tertaut.
Akses Penuh Tanpa Terdeteksi
.webp "Akses Penuh Tanpa Terdeteksi")
Begitu pairing berhasil, penyerang langsung mendapatkan akses permanen ke akun WhatsApp korban. Mereka bisa membaca seluruh riwayat chat, memantau pesan masuk, melihat foto, video, hingga informasi sensitif lainnya.
Yang membuat serangan ini semakin berbahaya adalah sifatnya yang tidak mengusir pemilik akun. WhatsApp korban tetap bisa digunakan seperti biasa, sementara penyerang mengintip dari balik layar tanpa terdeteksi.
Berbeda dengan pembajakan akun konvensional yang biasanya langsung mengunci korban, GhostPairing memungkinkan penyerang mengamati percakapan dan mengumpulkan informasi dalam jangka panjang.
Efek Domino
Akun yang sudah terkompromi kemudian digunakan sebagai alat penyebaran. Penyerang akan mengirim pesan umpan yang sama ke kontak-kontak korban, menciptakan efek bola salju yang memperluas jangkauan serangan secara cepat.
Karena pesan dikirim dari akun asli, tingkat keberhasilannya jauh lebih tinggi dibandingkan penipuan biasa.
Cara Melindungi Diri dari GhostPairing Attack
Meski terdengar mengkhawatirkan, pengguna tetap bisa melindungi diri dengan langkah-langkah sederhana berikut:
-
Rutin cek perangkat tertaut di menu WhatsApp Settings dan segera hapus sesi yang tidak dikenal
-
Anggap permintaan scan QR code atau memasukkan kode pairing dari luar WhatsApp sebagai hal mencurigakan
-
Aktifkan Two-Step Verification untuk lapisan keamanan tambahan
-
Jangan mudah percaya pada tautan, meskipun dikirim oleh kontak yang dikenal
Baca Juga : WhatsApp Tingkatkan Keamanan Backup dengan Teknologi Passkey Terbaru
GhostPairing Attack menjadi pengingat bahwa ancaman siber kini tidak selalu datang dari celah teknis, tetapi dari manipulasi kepercayaan pengguna. Dengan sedikit kewaspadaan dan kebiasaan mengecek keamanan akun, risiko serangan ini bisa ditekan secara signifikan.
