Sebuah kampanye peretasan canggih dilaporkan menargetkan aktivis dan individu yang terlibat dalam isu Iran. Modusnya sederhana namun berbahaya: tautan phishing dikirim melalui WhatsApp, lalu menjebak korban agar menyerahkan data sensitif, mulai dari kredensial Gmail hingga lokasi real-time.
Kasus ini terungkap setelah Nariman Gharib, aktivis Iran yang tinggal di luar negeri, membagikan tangkapan layar pesan mencurigakan yang ia terima. Ia secara terbuka memperingatkan publik agar tidak mengklik tautan asing, terutama yang mengatasnamakan layanan populer.
Serangan Muncul di Tengah Pemadaman Internet Terpanjang Iran
Kampanye phishing ini terjadi saat Iran menghadapi pemadaman internet nasional terlama dalam sejarah, di tengah gelombang protes anti-pemerintah dan tindakan represif aparat. Situasi tersebut mempersempit arus informasi dan meningkatkan risiko serangan siber terhadap individu yang aktif memantau atau menyuarakan isu Iran dari luar negeri.
Gharib kemudian membagikan tautan phishing lengkap beserta analisis awalnya kepada TechCrunch. Dari situlah, pola serangan mulai terkuak.
Target Utama: Gmail, WhatsApp, dan Data Pribadi
Berdasarkan analisis kode sumber halaman phishing, para penyerang secara aktif membidik:
-
Kredensial Gmail dan akun daring lainnya
-
Kode autentikasi dua faktor (2FA)
-
Akun WhatsApp
-
Data lokasi, foto, dan rekaman audio
Serangan ini tidak hanya mencuri kata sandi, tetapi juga membuka peluang pengawasan digital terhadap korban.
Server Penyerang Terbuka, Ratusan Data Korban Bocor
Kesalahan fatal dilakukan pelaku. Server penyimpanan data korban dibiarkan terbuka tanpa kata sandi. Dari sana, terungkap lebih dari 850 catatan data, termasuk username, password, kode 2FA, hingga informasi perangkat korban.
Korban berasal dari berbagai latar belakang, seperti:
-
Akademisi bidang keamanan nasional
-
Pejabat tinggi pemerintahan Timur Tengah
-
Eksekutif industri pertahanan
-
Jurnalis
-
Pengguna dengan nomor Amerika Serikat
Meski jumlah korban terverifikasi kurang dari 50 orang, potensi jumlah sebenarnya diperkirakan jauh lebih besar.
Trik DuckDNS dan Domain Palsu
Untuk menyamarkan lokasi server, pelaku memanfaatkan layanan DNS dinamis DuckDNS agar tautan terlihat sah. Namun, halaman phishing sebenarnya di-host pada domain yang baru dibuat pada akhir 2025.
Pola domain menunjukkan kampanye terorganisasi, bahkan mengarah ke target lain seperti layanan rapat virtual palsu. Ini menandakan operasi dirancang matang dan tidak bersifat acak.
Modus QR Code: WhatsApp Bisa Diambil Alih Seketika
Dalam beberapa kasus, korban diarahkan ke halaman palsu bertema WhatsApp yang menampilkan kode QR. Saat dipindai, akun WhatsApp korban langsung terhubung ke perangkat milik penyerang.
Teknik ini menyalahgunakan fitur device linking WhatsApp, metode lama yang kembali efektif karena minimnya kewaspadaan pengguna.
Aktor Negara atau Penjahat Siber?
Hingga kini, identitas pelaku belum terkonfirmasi. Namun, sejumlah pakar keamanan menilai serangan ini memiliki ciri khas spearphishing tingkat tinggi, yang kerap dikaitkan dengan operasi intelijen negara.
Beberapa indikator mengarah ke kemungkinan:
-
Aktor yang didukung negara, untuk spionase politik dan pemantauan diaspora Iran
-
Kelompok kriminal bermotif finansial, untuk pencurian data bisnis dan aset digital
Menariknya, fokus pada data lokasi dan media perangkat dinilai tidak lazim bagi peretas murni bermotif uang.
Peringatan Keras bagi Pengguna WhatsApp
Kasus ini kembali menegaskan satu hal penting: tautan WhatsApp yang tidak diminta adalah ancaman serius. Sekilas tampak sah, tetapi bisa membuka akses penuh ke kehidupan digital korban.
Para ahli keamanan menyarankan pengguna:
-
Tidak mengklik tautan asing
-
Mengaktifkan proteksi tambahan akun
-
Waspada terhadap kode QR yang tidak jelas sumbernya
Situs phishing dalam kasus ini memang telah ditutup. Namun, pola serangan serupa berpotensi muncul kembali.
- Waspada Modus Baru Phishing: Email “Resmi” Google Berhasil Menipu
- Server Toyota ‘Mogok’ Karena Masalah Teknis, Bukan Serangan Siber
- Teknologi Canggih di Pelukan Karpet Masjid Nabawi: QR Code dan Chip Aroma Wewangian!
- Menggemparkan Dunia Maya: Google Umumkan Penghapusan Gmail 1 Agustus 2024!