JATIMTIMES - Pengguna internet diminta lebih waspada terhadap modus kejahatan siber berkedok CAPTCHA yang belakangan kembali marak. Alih-alih berfungsi untuk memverifikasi bahwa pengguna adalah manusia, CAPTCHA palsu justru dapat menjadi pintu masuk bagi peretas untuk mencuri data sensitif hingga mengambil alih akun media sosial korban.
Peringatan tersebut disampaikan oleh konten kreator teknologi, Alexander Marcel, melalui unggahannya di Instagram. Ia membagikan kisah seorang temannya yang menjadi korban peretasan setelah mengikuti instruksi dari CAPTCHA palsu saat berbelanja secara online.
Baca Juga : Viral Sisa Makanan Program MBG di Depok, Anggaran Triliunan Terbuang
"Teman gue ada yang kena hack karena klik ini. Jadi seperti yang kita tahu, ini tuh namanya captcha, gunanya untuk validasi apakah kita itu manusia atau bot. Sayangnya yang diklik teman gue itu adalah kapca palsu," ujar Alexander Marcel.
Menurutnya, kejadian itu bermula ketika temannya hendak membeli peralatan laboratorium melalui sebuah situs web. Secara tampilan, situs tersebut terlihat normal sehingga tidak menimbulkan kecurigaan.
"Jadi kejadiannya tuh saat dia pengen beli alat-alat laboratorium di suatu website, saat gue lihat sebenarnya websitenya tuh kelihatan normal-normal aja ya. Tapi tiba-tiba saat dia pengen check out, tiba-tiba muncul captcha, dan saat dia klik, ada beberapa perintah. Sayangnya di situ dia ikutin semua perintahnya," ungkapnya.
Alexander menjelaskan, setelah melakukan pemeriksaan lebih lanjut, ia menemukan bahwa instruksi yang dijalankan korban ternyata merupakan perintah untuk mengunduh sebuah skrip berbahaya.
"Jadi saat gue coba forensik, gue tuh dapetin komen yang dijalanin yaitu ini. Jadi long story short, ini adalah komen untuk mendownload suatu skrip," katanya.
Skrip tersebut umumnya digunakan pelaku kejahatan siber untuk menyebarkan malware atau menjalankan perintah tertentu di perangkat korban.
"Skripnya itu tuh biasa untuk mendownload malware atau jalanin perintah-perintah untuk mencuri data sensitif. Biasanya itu adalah password atau session aktif yang tersimpan di browser, crypto wallet. atau dokumen-dokumen penting," lanjut Alexander.
Dalam kasus yang dialami temannya, data yang dicuri tidak hanya sebatas informasi pribadi. "Tapi di kasus teman gue ini tuh, dia mencuri beberapa akun online, termasuk Instagram media," ujarnya.
Alexander menyebut teknik yang digunakan dalam modus tersebut dikenal dengan nama ClickFix. Modus ini sebenarnya bukan hal baru, tetapi disebut mengalami peningkatan dalam beberapa bulan terakhir.
"Jadi teknik yang dipakai di modus ini tuh namanya click fix. Ini tuh udah rame dari 2 tahun lalu, dan gue perhatiin makin hari tuh makin canggih," katanya.
Ia menjelaskan bahwa inti dari teknik ClickFix adalah mengelabui pengguna agar menjalankan sendiri perintah berbahaya di perangkat yang digunakan.
"Inti dari teknik ini tuh untuk mengelabui pengguna, untuk menjalankan perintah berbahaya di device mereka sendiri," jelas Alexander.
Baca Juga : Organisasi KIP-K Unair Akui Ada Penyalahgunaan Dana oleh Pengurus
Karena tindakan tersebut dilakukan langsung oleh pemilik perangkat, sistem keamanan bawaan sering kali kesulitan mendeteksi ancaman tersebut.
"Nah, karena dijalankan oleh usernya sendiri, ini tuh susah dideteksi oleh proteksi pada device, seperti antivirus," tambahnya.
Alexander juga mengungkapkan bahwa sejumlah analis keamanan siber atau threat analyst melihat peningkatan signifikan penggunaan teknik ini.
"Banyak Threat Analyst ngeliat Clickfix ini naek drastis dari 4 bulan lalu. Efektif banget," ungkapnya dalam unggahan lanjutan.
Cara Mengenali CAPTCHA Palsu
Alexander mengingatkan masyarakat untuk tidak sembarangan mengikuti instruksi yang muncul pada halaman CAPTCHA, terutama jika diminta menjalankan perintah tertentu di perangkat.
"Jadi kalian ingat-ingat lagi, kalau kalian ketemu kapca, dan di captcha itu tuh nanti dia minta kalian untuk menjalankan suatu komen, atau untuk melakukan copy paste, itu udah pasti tuh palsu. Jangan dilakukan. Stay safe," tegasnya.
Ia juga memberikan penjelasan mengenai perbedaan CAPTCHA asli dan palsu. "Tambahan : intinya captcha asli mau dari brand apapun ga bakal nyuruh kita masukin perintah di device kita. Biasanya cuma minta click checkbox/gambar/ nyelesain puzzle," tulis Alexander.
Sebagai langkah antisipasi, pengguna disarankan untuk tidak melakukan copy-paste perintah yang muncul secara tiba-tiba saat mengakses situs tertentu.
Selain itu, pastikan untuk selalu memeriksa alamat situs yang dikunjungi, memperbarui sistem keamanan perangkat, serta mengaktifkan autentikasi dua faktor pada akun-akun penting.
