Penjelasan Teknik DoubleSwitch

Aplikasi-aplikasi sekarang ini banyak terintegrasi satu dengan lainnya dan itu sangat membantu pengguna menjalankan aktifitasnya. Kita bisa menggunakan account sebuah social media sebagai identitas untuk aplikasi lainnya. Dari account facebook yang digunakan sebagai user pada situs berita, forum atau game. Ternyata dibalik itu ada titik lemah yang cukup berpotensi mengacaukan keterintegrasian itu.

DoubleSwitch

Untuk melihat lebih jelasnya bagaimana teknik ini bisa jadi masalah besar. Kita perlu lihat apa yang dilakukan dengan ini.

Ceritanya account twitter @budi dibajak, baik melalui phishing ataupun cara lainnya. Itu belum seberapa. Karena @budi terhubung dengan situs seperti detik, pembajaknya juga akan coba menguasai account di detik lewat @budi.

Yang membajak account itu akan mengganti @budi menjadi @budiGantiNama. Dan itu membuat @budi bisa kembali digunakan. Dan pembajaknya cukup membuat account baru dengan nama @budi dan email yang berbeda.

Karena pembajaknya tahu @budi yang asli terhubung dengan detik. Maka dengan @budi yang palsu ini dapat dengan mudah mevalidasi 'keaslian' @budi. Detik tahunya @budi itu sebelumnya sudah terhubung dan tidak tahu bahwa ini bukan @budi yang asli.

Lebih memusingkan lagi, ketika pemilik asli @budi ingin me-recovery account-nya. Twitter akan kesulitan karena @budi yang sekarang itu account baru.

Teknik DoubleSwitch ini memanfaatkan keterintegrasian antar aplikasi sebagai jalan masuk menguasai aplikasi yang terhubung dengan penguna aslinya. Cara ini pada saat ini masih bisa diaplikasikan di-Twitter, Facebook atau Instagram.

CounterMeasure

Masalah ini dimulai ketika account-nya terbajak. Dan itu kadang tidak terhindari juga. Kita manusia kadang teledor dan kesalahan terjadi.

Dari sisi pengguna yang bisa dilakukan adalah dengan memperketat perubahan pada setting-nya. Contohnya mengaktifkan multi-factor authentication lewat media yang berbeda (email, sms atau lainnya).

Teknik ini memang menyasar pada kelemahan cara kerja dari authentication antar aplikasi. Dan diharapkan penyedia aplikasi melakukan inovasi baik dari fitur atau rule yang dapat mencegah atau setidaknya lebih menyulitkan untuk menjalankan DoubleSwitch.

Penutup

Fitur public user yang bisa dirubah-ubah memang menarik tapi itu membuka celah yang bisa dimanfaatkan. Terlebih lagi fitur itu juga digunakan sebagai identifikasi.

Pemaparan di artikel ini hanyalah dasarnya saja dari banyak kemungkinan variasi teknik DoubleSwitch ini. Jadi tetap waspada.

Referensi

• Wikipedia: Malware
• Wikipedia: Phishing
• Cover: Food vector created by 3ab2ou - Freepik.com