Peneliti kebijakan publik Ravio Patra ditangkap polisi pada 22 April 2020 atas dugaan melakukan hasutan yang dilakukan dengan cara menyebarkan pesan ajakan rusuh melalui WhatsApp. Ravio mengklaim bahwa nomor WhatsApp-nya diretas ketika hasutan itu disebarkan ke sana-sini. Polisi melepaskan Ravio 33 jam kemudian dengan status sebagai saksi.

Banyak dari kita barangkali bertanya-tanya bagaimana peretasan terhadap akun WhatsApp milik Ravio dilakukan. Karena itu tulisan ini bermaksud untuk memberikan penjelasan mengenai kemungkinan cara yang dipakai untuk meretas akun Ravio. Penjelasan ini akan bersifat teknis dan didasarkan pada informasi yang saya miliki mengenai kondisi ponsel/akun WhatsApp Ravio berikut kronologi kejadiannya. Saya juga mendasarkan analisis saya lewat kasus-kasus pembajakan akun yang pernah terjadi.

Tapi sebelum menjelaskan hal itu, satu pertanyaan yang harus dijawab adalah: apakah akun WhatsApp Ravio benar diretas? Apa indikasi kalau akun Ravio benar dibajak?

Untuk menjawab pertanyaan tersebut kita lebih dulu perlu memahami perbedaan antara WhatsApp dengan aplikasi pengirim pesan lainnya. WhatsApp bukan seperti Telegram yang menerapkan cloud-based system. Semua pesan kita di WhatsApp hanya tersedia di perangkat yang kita gunakan, berikut dengan seluruh kontak.

Jadi apabila suatu akun WhatsApp diretas, maka pesan WhatsApp di perangkat milik korban tidak akan bisa diakses oleh pelaku pembobolan, begitu pula dengan daftar kontak, karena semuanya hanya ada di ponsel korban. Namun hal ini tidak berlaku kalau si peretas juga meretas email yang digunakan untuk mengintegrasi akun WhatsApp seseorang, sehingga si peretas bisa mengakses daftar kontak dan arsip pesan (kalau sistem back-up ke Google Drive dihidupkan, misalnya)

Pada kasus Ravio, artinya, apabila ia benar mengirimkan broadcast yang berisi pesan hasutan, maka seharusnya kontak yang menerima broadcast tersebut adalah kontak yang ada di ponsel Ravio, 

Namun, berdasarkan kronologi, pesan hasutan tersebut tidak diterima oleh satu pun kontak yang ada di perangkat milik Ravio. Sebaliknya, yang justru menerima pesan tersebut malah sekumpulan kontak yang tidak dikenal dan tidak tersimpan di buku kontak milik Ravio. Bahkan, menurut salah seorang penerima pesan yang dihubungi Asumsi.co, rata-rata mereka yang menerima pesan hasutan tersebut adalah relawan Jokowi.

Apa yang secara sementara bisa kita simpulkan di sini?

Pertama, ada indikasi bahwa akun WhatsApp milik Ravio memang diretas. Selain sudah dijelaskan dalam analisis teknis di atas, pernyataan seorang perwakilan WhatsApp APAC di Singapura juga menguatkan indikasi adanya peretasan itu: “akun dia [Ravio] entah bagaimana telah dibobol (compromised)”.

Kedua, si peretas kemungkinan besar tidak membajak email Ravio, melainkan hanya akun Whatsapp saja. Hal ini diketahui dari tidak adanya kontak di perangkat Ravio yang menerima pesan hasutan tersebut. Ketiga, si peretas ini adalah orang yang ponselnya menyimpan kontak para relawan Jokowi.

Lantas, kalau memang akun WhatsApp Ravio benar diretas, bagaimana itu dilakukan? Bukankah pelaku harus mengetahui OTP (one-time password) yang dikirimkan oleh WhatsApp? 

 

Kronologi dan kondisi akun Whatsapp milik Ravio

Untuk meretas suatu akun WhatsApp, pelaku peretasan harus memiliki akses untuk membaca SMS dan mengakses telepon milik korban. Akses tersebut dibutuhkan untuk membaca pesan OTP yang dikirimkan oleh WhatsApp ketika hendak login.

Selain OTP, fitur keamanan lain yang disediakan WhatsApp adalah “verifikasi 2 langkah” (two-step verification). Dengan fitur ini, tingkat keamanan sebuah akun akan lebih tinggi, karena pelaku peretasan akan membutuhkan nomor PIN yang telah di-setup sebelumnya oleh pemilik akun.

Jika tidak mengetahui PIN yang digunakan, maka pelaku diharuskan untuk mengetahui akun email yang digunakan untuk verifikasi 2 langkah tersebut, termasuk juga meretas email terlebih dahulu. Sebab, fitur forgot pin yang disediakan oleh WhatsApp hanya menyediakan 2 opsi, yakni mengirimkan via email dan menghubungi layanan bantuan WhatsApp. 

Lantas, seperti apa kondisi akun WhatsApp Ravio?

Berdasarkan siaran pers dari Kontras, pada pukul 13:10 Ravio terbangun dari tidurnya dan menyadari bahwa ia tidak bisa mengakses akun WhatsApp-nya. Sebelumnya pada pukul 12:30, Ravio menerima SMS yang berisi kode OTP dari WhatsApp.

Selama tertidur, ada beberapa panggilan tak terjawab dari beberapa nomor yang tidak dikenal, yang kemudian diketahui melalui aplikasi Truecaller dan Getcontact sebagai nomor telepon milik Kapolres Tapanuli Utara AKBP Horas Marisi Silaen dan seorang perwira militer berpangkat Kolonel, Andi Asmara Dewa.  Panggilan tak terjawab juga diterima Ravio dari nomor tak dikenal yang berasal dari Malaysia dan juga Amerika Serikat.

Berdasarkan informasi yang saya miliki, Ravio tidak mengaktifkan verifikasi 2 langkah pada akun WhatsApp-nya. Artinya, si peretas membobol akun Ravio dengan memasukkan kode OTP yang didapat melalui SMS. Dengan kata lain, si peretas punya akses ke SMS Ravio.

Bagaimana hal itu mungkin dilakukan?

Whatsapp ketika fitur “verifikasi 2 langkah” diaktifkan

WhatsApp ketika fitur “verifikasi 2 langkah” tidak diaktifkan

 

Empat Metode Peretasan: Pegasus, Aplikasi Pengintai, Duplikasi SIM, dan Call Forwarding

Ada beberapa kasus peretasan yang pernah terjadi dan dilakukan dengan menggunakan metode berbeda. Di sini saya akan menjelaskan empat di antaranya.

Metode pertama adalah penyadapan menggunakan Pegasus.

Beberapa tahun belakangan, dunia ramai memberitakan mengenai alat penyadap bernama Pegasus yang dibuat oleh NSO Group, sebuah perusahaan teknologi dari Israel. Proyek Pegasus dari NSO Group ini diduga dibiayai oleh pemerintah Israel. Alat penyadap tersebut digunakan untuk melakukan penyadapan dan pemerasan terhadap tokoh politik, jurnalis, dan juga aktivis.

Sejauh ini ada dua cara peretasan yang dimiliki Pegasus, yakni meretas dengan melakukan panggilan ke nomor telepon yang mau diretas dan dengan mengirimkan sebuah malicious file yang berbentuk video.

Berdasarkan CVE 2019-3568, cara pertama mungkin dilakukan adalah dengan memanfaatkan kerentanan buffer overflow di WhatsApp VOIP, yang memungkinkan pelaku mengeksekusi kode melalui jarak jauh melalui serangkaian paket RTCP yang dibuat khusus dan dikirim ke nomor telepon target. Setelah ini dilakukan, pelaku bisa dengan mudahnya memiliki akses penuh ke perangkat milik korban. Facebook, perusahaan induk dari WhatsApp, kemudian mengklaim bahwa mereka telah memperbaiki celah tersebut. Mantan kontraktor Badan Keamanan Nasional Amerika Serikat (NSA) Edward Snowden menyebut spyware buatan NSO Group ini pernah digunakan pemerintah Arab Saudi untuk melacak Jamal Khashoggi, wartawan yang dikenal kritis terhadap pemerintah Saudi.

Cara kedua Pegasus adalah dengan mengirimkan malicious file yang berbentuk video ke nomor telepon yang digunakan oleh korban, seperti kasus penyadapan yang dialami oleh CEO Amazon Jeff Bezos dan ditengarai dilakukan oleh Pangeran Saudi Mohammed bin Salman. Dengan cara ini kemudian pelaku akan mendapatkan akses penuh ke telepon milik Bezos.

Setelah disadap, berdasarkan hasil laporan digital forensik, data pada iPhone Bezos mengalami lonjakan penggunaan menjadi 126 MB dan terus meningkat di hari-hari berikutnya. Padahal sebelumnya, rata-rata penggunaan data pada iPhone Bezos berjumlah 430 KB per hari. Artinya, setelah disadap, ponsel Bezos tersebut tiap harinya mengirimkan semua data ke server milik pelaku peretasan.

Penggunaan data internet pada iPhone Jeff Bezos yang meningkat sejak 2 Mei 2018

Metode kedua adalah aplikasi pengintai.

Metode ini beroperasi dengan cara dipasangnya sebuah aplikasi pada perangkat telepon. Jika suatu perangkat telah disusupi oleh aplikasi pengintai, maka pelaku dengan mudahnya membaca SMS dan mengakses rekaman telepon setiap panggilan masuk dan keluar.

Metode ketiga adalah duplikasi SIM Card atau SIM Swap.

Metode ini pernah membuat pengusaha infotainment Ilham Bintang menjadi korban. Dalam kasus Ilham, duplikasi SIM dilakukan oleh pelaku dengan mendatangi gerai Indosat Ooredoo di Bintaro Xchange pada 3 Januari 2020 dan mengaku sebagai Ilham Bintang untuk meminta kartu SIM baru. Padahal, pada tanggal tersebut, Ilham sedang berada di Australia.

Setelah berhasil mendapatkan kartu SIM milik Ilham Bintang, pelaku menggunakannya untuk mengakses beberapa rekening bank, dan melakukan setidaknya 98 transaksi dalam waktu 3 jam saja. Kerugian karena peretasan ini ditaksir mencapai Rp 385 juta. Ilham menyayangkan lemahnya proses verifikasi dan validasi dari pegawai Indosat saat pergantian kartu SIM pascabayar. Dalam metode peretasan ini, ketika pelaku sudah mendapatkan kartu SIM baru, maka kartu SIM milik Ilham Bintang tidak lagi bisa digunakan.

Metode keempat adalah call forwarding.

Metode peretasan ini pernah dialami Maia Estianty pada 2019. Saat itu Maia memesan makanan melalui GoFood dan pengemudi yang mengantarkan mengaku motornya mogok dan meminta Maia untuk memasukan kode *21*082178912261# dengan dalih supaya makanan pesanan Maia bisa dialihkan untuk diantar oleh rekan pengemudi yang lain.

Dengan cara itu, akun Gojek Maia kemudian dibajak dan saldo GoPay miliknya juga ikut dikuras. Belum berhenti di situ, pelaku juga membajak akun Tokopedia dan WhatsApp. Cara ini kemudian dikenal dengan istilah call forwarding. Ketika Maia melakukan panggilan ke *21*082178912261# artinya Maia mengaktifkan fitur call forwarding pada nomor telepon miliknya ke nomor pelaku. Setiap panggilan dan SMS yang masuk ke nomor milik Maia akan diteruskan ke nomor milik pelaku. Oleh karena itu pelaku dengan mudahnya bisa mendapatkan OTP berbagai aplikasi yang digunakan oleh Maia.

 

Kesimpulan

Berdasarkan beberapa metode di atas, metode yang tidak mungkin digunakan adalah duplikasi SIM. Sebab, Ravio masih bisa menggunakan kartu SIM miliknya. Ponselnya masih bisa menerima nomor OTP, mendapat panggilan telepon dari nomor tak dikenal, dan menghubungi teman-temannya. Kalau metode duplikasi SIM dipakai, nomor yang digunakan Ravio otomatis hangus dan tidak bisa dipakai sama sekali.

Sementara itu metode call forwarding, suatu cara yang digunakan menggunakan teknik social engineering, mungkin juga bisa dicoret, karena ketika akunnya dibajak, Ravio sedang dalam keadaan tertidur. Itu artinya, sebelumnya tidak ada interaksi antara Ravio dengan siapapun. 

Lalu apakah bisa jadi aplikasi pengintai yang kemudian menjadi penyebab pelaku bisa membaca SMS milik Ravio untuk mendapatkan kode OTP? Ini adalah satu cara yang mungkin bisa digunakan. Namun cara ini membutuhkan kelalaian atau keterlibatan Ravio. Ia harus, dengan sadar atau pun tidak, memasang aplikasi pengintai pada perangkat yang digunakan olehnya.

Cara lainnya yang mungkin digunakan adalah pelaku harus memegang fisik perangkat yang digunakan oleh Ravio. Dibutuhkan waktu setidaknya 30 detik untuk bisa memegang kemudian memasang aplikasi pengintai pada perangkat Ravio. Namun kalau metode aplikasi pengintai juga tidak mungkin, maka metode yang tersisa adalah penggunaan alat penyadap bernama Pegasus.

Artinya, jawaban paling akurat hanya tersedia dengan melakukan forensik digital terhadap perangkat yang digunakan oleh Ravio.