Serangan Trojan, Domain Polri hingga Kemensos Diduga Bocor

TEMPO.CO, Jakarta - Pengamat keamanan digital dari Vaksincom, Alfons Tanujaya, mengungkapkan bahwa ada lebih dari 28 domain dan subdomain institusi pemerintah mengalami kebocoran data kredensial mailserver. Alfons menduga domain dan subdomain tersebut disusupi oleh malware Trojan

Alfons menyatakan hal itu berdasarkan data Dark Tracer yang diolah oleh lab Vaksincom. Menurut Alfons, kebocoran kredensial email perlu mendapatkan perhatian ekstra. Karena dengan kredensial email yang bocor tersebut, maka peretas dapat mengakses mailserver institusi secara sah dan mengirimkan email menggunakan akun email yang bocor tersebut.

Dia menjelaskan bahwa hal itu akan mampu menembus perlindungan antispam yang canggih sekalipun seperti SPF, DKIM dan DMARC.

“Dan bukan salah program antispamnya yang tidak mampu mendeteksi spam, tapi karena memang email itu dikirimkan dari IP dan domain email yang sah, sehingga diloloskan oleh antispam,” ujar dia dalam keterangan tertulis, Ahad, 24 April 2022.

Dark Tracer mengklaim bahwa kebocoran kredensial terjadi karena aksi malware Trojan yang menjalankan aksi mencuri ketukan keyboard atau dikenal dengan istilah keylogger.

"Trojan bisa masuk ke perangkat anda ketika anda menginstal perangkat lunak bajakan (crack)," kata Alfons.

Bahkan, menurut Alfons, malware tersebut bisa menumpang freeware dimana ia akan ikut terinstal secara otomatis ketika pengguna menginstal freeware tersebut. Atau ketika ingin menonton konten video bajakan dan diminta untuk menyetujui instalasi aplikasi tertentu sebagai syarat untuk melihat konten bajakan tersebut. 

Adapun daftar mailserver institusi pemerintah yang mengalami kebocoran menurut Dark Tracer adalah sebagai berikut :

1. mail.kemenag.go.id (326)
2. mail.polri.go.id (114)
3. mail.atrbpn.go.id (104)
4. mail.bps.go.id (100)
5. sakti.mail.go.id (96)
6. webmail.kemenkeu.go.id (85)
7. mailhost.bpd.go.id (84)
8. mail.jabarprov.go.id (79)
9. email.pajak.go.id (46)
10. mail.go.id (37)
11. mail.kemendikbud.go.id (25)
12. mail.dephub.go.id (21)
13. mail.customs.go.id (20)
14. mail.esdm.go.id (14)
15. mail.kejaksaan.go.id (13)
16. mail.kemenkumham.go.id (13)
17. webmail.bnn.go.id (13)
18. email.jakarta.go.id (11)
19. mail.bppt.go.id (11)
20. mail.pertanian.go.id (11)
21. mail.ojk.go.id (10)
22. mail.kemsos.go.id (7)
23. mail.pom.go.id (7)
24. mail.bkkbn.go.id (6)
25. webmail.kpu.go.id (6)
26. mail.bpk.go.id (5)
27. mail.kemenpppa.go.id (5)
28. mail.pu.go.id (4)

Kebocoran kredensial email yang berasal dari domain/subdomain institusi pemerintah dan swasta, kata Alfons, perlu mendapatkan perhatian khusus.

“Karena email yang dikirimkan menggunakan akun yang bocor itu, selain akan lolos dari saringan antispam, juga terpercaya dan penerimanya akan mudah terkecoh menjadi korban rekayasa sosial mengatasnamakan lembaga yang bersangkutan,” tutur dia.

Secara teknis, menurut dia, korban rekayasa sosial kurang teliti dengan apa yang menimpanya. Namun, kebocoran kredensial email ini memungkinkan terjadinya rekayasa sosial menggunakan mailserver tersebut yang seharusnya dijaga dengan baik oleh administrator. 

Selain meminta korban untuk ekstra hati-hati menerima email phishing, Alfons Tanujaya juga pengelola domain juga memiliki kewajiban untuk mengamankan mailservernya dari aksi pengambilalihan akun.

“Seperti dengan mengaktifkan pelrindungan TFA/ OTP untuk pengakses mailserver dari perangkat, peramban atau mailclient baru,” ujar Alfons.