Kurt Kena Tipu

 (fly.io)
1 poin oleh GN⁺ 2025-10-10 | 1 komentar | Bagikan ke WhatsApp
  • Akun Twitter Fly.io dibajak setelah terkena serangan phishing
  • CEO Kurt Mackey menjelaskan bagaimana email phishing yang canggih membuat informasi akun bocor
  • Akun Twitter dianggap sebagai aset yang kurang penting di dalam perusahaan sehingga dikeluarkan dari prioritas keamanan
  • Menekankan pentingnya autentikasi tahan phishing (MFA, Passkeys, FIDO2, dll.) sebagai cara mencegah phishing
  • Menyebut perlunya memperkuat keamanan MFA akun Twitter dan menata ulang kesadaran keamanan setelah insiden ini

Ringkasan insiden phishing Twitter Fly.io

  • Akun Twitter Fly.io dibajak akibat serangan phishing
  • CEO Kurt Mackey menerima email phishing yang dirancang dengan sangat meyakinkan, lalu memasukkan informasi akun sehingga terekspos pada serangan
  • Latar belakang utama keberhasilan serangan ini adalah karena akun Twitter tersebut secara objektif dipandang kurang penting, ditambah kerentanan psikologis tim pengelola yang tidak terlalu akrab dengan budaya internet generasi muda

Kronologi rinci serangan phishing

  • Sejak lama, Fly.io menyerahkan sebagian pengelolaan kanal Twitter kepada kontraktor eksternal, dan tidak cukup akrab dengan konten generasi baru seperti meme kreatif
  • Email phishing yang digunakan dalam serangan ini dirancang agar tampak seperti notifikasi peringatan asli dari x.com (Twitter), dan mengeksploitasi titik psikologis yang memicu kecemasan manajemen
  • Kurt mengambil informasi akun dari 1Password lalu masuk ke situs phishing yang dimanipulasi penyerang
  • Setelah serangan terjadi, jejaknya segera terlihat, seperti alamat email akun Twitter yang diubah menjadi milik penyerang, dan secara internal mereka menjalani tahap pemeriksaan serta pemblokiran semua hak akses

Strategi pertahanan phishing dan kondisi keamanan organisasi

  • Secara umum, pencegahan phishing memiliki keterbatasan jika hanya mengandalkan “pelatihan karyawan”, dan perlu mengakui bahwa siapa pun bisa salah klik
  • Solusi mendasarnya adalah menerapkan autentikasi tahan phishing (U2F, FIDO2, Passkeys, dll.) dengan struktur autentikasi timbal balik
  • Infrastruktur internal Fly.io dilindungi dengan SSO dan MFA yang aman melalui Google IdP, sehingga hanya area Twitter dan sistem lama yang relatif memiliki kelemahan
  • Insiden ini menyadarkan mereka bahwa tingkat keamanan autentikasi yang sama juga perlu diterapkan pada area non-inti seperti akun SNS bersama

Penanganan insiden dan proses pemulihan

  • Penyerang segera membatalkan semua sesi dan mencoba mereset 2FA, sehingga meskipun Fly.io cepat mengganti kata sandi, pemulihan akun tetap memerlukan waktu
  • Dengan bantuan dukungan manual dari X.com, mereka sepenuhnya memulihkan kontrol akun dalam sekitar 15 jam
  • Secara keseluruhan tidak ada kebocoran data pengguna maupun pelanggan, tetapi terjadi kerusakan citra merek jangka pendek dan beban kerja tambahan bagi engineer yang menangani insiden
  • Penyerang menghapus sebagian riwayat Twitter Fly.io, tetapi dampak nyatanya tidak besar

Kesimpulan dan pelajaran

  • Pelajaran utama dari insiden ini adalah bahwa “bahkan CEO pun mudah mempercayai email, dan siapa pun bisa menjadi korban phishing
  • Ke depan, mereka akan mewajibkan MFA berbasis Passkeys pada semua akun penting, dan berencana menggunakan insiden ini sebagai contoh dalam kasus kepatuhan keamanan seperti SOC2
  • Dalam pengambilan keputusan keamanan organisasi, jika ada aset yang belum menerapkan “autentikasi tahan phishing dan SSO IdP”, maka hal itu harus dipandang sebagai faktor risiko
  • Mereka berharap insiden ini menjadi contoh yang membangunkan kewaspadaan bagi organisasi serupa

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-10
Opini Hacker News

  • Setiap kali perusahaan tempat saya dulu bekerja menjalani audit keamanan pentest tahunan, perusahaan auditor selalu mengusulkan agar mereka juga mencoba serangan phishing atau social engineering, tetapi mereka selalu tidak menyarankannya karena katanya selalu berhasil.
    Salah satu cerita yang paling saya ingat adalah, jika perusahaan pentest sengaja meninggalkan beberapa USB di area parkir, selalu ada seseorang yang memungutnya lalu mencoba mencolokkannya ke PC kantor, dan akhirnya perusahaan itu diretas.
    Sebenarnya phishing pun tidak jauh berbeda.
    Ini saat yang tepat untuk menyiapkan passkeys, lihat panduan Passkeys

    • Perusahaan kami juga rutin melakukan latihan phishing terhadap tim internal, dan tingkat orang yang tidak mengeklik mencapai 90% (saya tidak yakin angka pastinya).
      Tetap saja mengejutkan saat menyadari bahwa 10% itu berarti 1.500 orang.
      Belakangan mereka mengubah domain pengirim email phishing menjadi domain internal, jadi banner yang biasanya menandai email eksternal tidak muncul, dan saya pun tertipu.

    • Ada cerita tentang seseorang yang mencolokkan USB yang dipungut lalu diretas, dan ada kutipan favorit saya soal itu.
      Ini dari seorang pihak anonim yang terlibat dalam serangan ke fasilitas nuklir Iran pada 2012 (Stuxnet).
      Katanya, "Selalu ada orang bodoh yang tidak terlalu memikirkan USB yang ada di tangannya."

    • Tahun lalu saya menerima email phishing di email kantor, dan itu cukup meyakinkan.
      Saya tahu itu phishing, tetapi kalau saat itu saya sedang benar-benar sibuk, saya mungkin bisa tertipu.
      Jika melihat situs phishing secanggih ini, saya suka membukanya sengaja di lingkungan sandbox dan hanya memasukkan data dummy ke formulirnya untuk membuang waktu si penyerang.
      Ternyata email itu dikirim oleh perusahaan pentest yang disewa kantor kami, dan URL-nya memuat kode yang terhubung ke akun saya, jadi meski saya tidak memasukkan informasi apa pun, tetap dilaporkan bahwa saya terkena phishing.
      Kalau keberhasilan phishing dinilai dengan standar seperti ini, saya rasa pentest jadi tidak terlalu berarti.

    • Jika peretasan terjadi karena orang sembarangan menjalankan executable dari USB drive atau semacamnya, passkeys juga tidak akan membantu.
      Sama saja kalau lewat social engineering orang dibuat memasang executable acak.

    • Ada yang bilang Stuxnet memang disebarkan persis dengan cara seperti ini, lewat USB drive, tetapi sejujurnya saya tidak yakin cara seperti ini masih efektif di zaman sekarang.

  • Dulu saya pernah hampir kena phishing.
    Saya masuk tanpa sadar karena tidak melihat kalau nama domainnya sedikit dimodifikasi, dan saya bisa selamat karena menggunakan hardware wallet.
    Dari situ saya sadar bahwa siapa pun bisa kena phishing kalau sedang sibuk, lelah, atau lengah sesaat.
    Seperti kata Thomas, penting untuk memakai passkeys di semua layanan.

    • Jika sudah akrab dengan ekosistem Apple, ada tutorial yang saya susun sendiri tentang cara mengimplementasikan PassKey di aplikasi iOS.

    • Sebagai argumen sebaliknya, saya merasa passkeys masih membingungkan dan penuh keterbatasan, jadi dibandingkan password manager yang bagus dan kata sandi yang kuat, belum ada banyak kelebihannya.

    • Saya sangat setuju dengan pernyataan, "Tidak ada seorang pun yang 100% aman dari phishing."
      Beberapa tahun lalu saya bahkan pernah berhasil membuat kepala keamanan terkena phishing dalam sebuah pengujian.
      Itu benar-benar membuat saya merasa bahwa semua orang berisiko.

  • Dalam topik tentang phishing penipuan Fly.io, kalau serangannya benar-benar menyebabkan kerugian besar, saya rasa orang tidak akan menanggapinya seringan ini.
    Meski begitu, kalau benar ada seseorang yang kehilangan kripto lewat tautan itu, saya tetap khawatir apakah tanggung jawab Fly.io bisa menjadi isu.

  • Ada hasil penelitian yang menyatakan pelatihan phishing tidak terlalu efektif.
    Lihat "Understanding the Efficacy of Phishing Training in Practice"

    • Nasihat seperti "Jangan masukkan kata sandi ke situs web yang tidak seharusnya, masukkan hanya ke tempat yang memang harus" pada akhirnya terasa tautologis.
      Mirip seperti pada 2FA SMS yang berkata, "Jangan beri tahu kode ini kepada siapa pun!" padahal strukturnya justru membuat kita memasukkannya langsung ke situs saat login lalu meneruskannya.
      Pesan-pesan peringatan seperti ini selalu terasa sangat menjengkelkan.

    • Saya bekerja di industri yang regulasinya ketat, dan beberapa tahun lalu setelah seorang karyawan terkena phishing, regulator meminta catatan pengujian dan pelatihan phishing selama 5 tahun.
      Bagi orang seperti kami, latihan seperti ini juga merupakan kejahatan yang perlu.

    • Tautan ke makalah yang sama juga disebutkan di artikel aslinya.

    • Saya merasa relate dengan ucapan, "Anak Zoomer kami bilang orang dewasa seperti kami terlalu ketinggalan zaman untuk bisa dipercaya soal hal seperti ini."
      Meski begitu, saya rasa sikap menerimanya dengan humor itu bagus.

  • Email phishing bertema "konten yang diunggah ke X telah melanggar aturan" sangat sering datang, sampai saya menerima lebih dari 10 hampir setiap minggu.
    Karena itu saya harus beberapa kali mengubah filter email (tidak mudah sekadar menangkap huruf X, dan para penipu juga terus mengganti frasanya).
    Saya akhirnya mengganti layanan keamanan email yang biasa saya pakai, dan meski sudah mencoba beberapa vendor, hanya Check Point yang berhasil memblokir semua email phishing X (bukan iklan, hanya berbagi informasi).
    Dari sudut pandang perusahaan keamanan, sebenarnya cukup memalukan karena sering kali mereka tetap gagal menangkap tanda-tanda phishing yang jelas.

  • Saya juga mengalami jenis serangan phishing yang sama beberapa bulan lalu.
    Tingkat UI engineering-nya benar-benar luar biasa.
    Berbagi tangkapan layar halaman phishing

    • Ada kabar bahwa Chromium sedang mengembangkan penambahan fitur AI lokal di browser, dan saya jadi berpikir mungkin suatu hari ini bisa dipakai juga untuk pemeriksaan keamanan.
      Misalnya, untuk tautan yang terbuka dari luar di tab baru, AI bisa mendeteksi bahwa "halaman ini terlihat seperti situs terkenal tetapi URL-nya berbeda" lalu memberi peringatan.
      Bahkan kalau hanya diterapkan pada sekitar 1000 situs terkenal teratas, saya rasa itu bisa mencegah banyak insiden phishing.

    • URL seperti "imagecontent-x.com" menurut saya adalah petunjuk yang seharusnya membuat siapa pun waspada.

    • Saya penasaran apakah dalam kasus itu browser tidak otomatis mengisi informasi login.
      Saya juga ingin tahu apakah hal seperti ini sering terjadi bahkan pada traffic yang legit, dan apakah ikon gembok di samping address bar tetap muncul dengan benar.

  • Melihat betapa meyakinkannya penyerang membuat landing page palsu dan email phishing, saya rasa itu mengesankan.
    Karena saya biasanya tidak terlalu paham dunia kripto, saya penasaran atas dasar apa penyerang menyimpulkan bahwa "kemungkinan berhasil rendah dan tidak ada kerugian."
    Saya ingin tahu apakah wallet yang digunakan di landing page palsu itu bisa dilacak untuk memastikan memang tidak ada korban nyata.

  • Pengalaman ini kembali membuat saya merasakan pentingnya password manager yang bekerja dengan baik.
    Jika Anda mengelola situs web, Anda harus memastikan password manager tidak rusak saat digunakan.
    Jika situs tidak mendukung autofill kata sandi, itu langsung menjadi tanda bahaya yang sangat mencurigakan bagi saya.
    Saya rasa 2FA berbasis kode sama sekali tidak berguna untuk mencegah phishing.
    Kalau saya bisa login, penyerang juga bisa mengambil kode 2FA itu, jadi apa pun metodenya tetap tidak ada gunanya.

    • Orang yang membuat haveibeenpwned.com juga pernah mengalami phishing (meski menggunakan password manager).

    • Saya penasaran bagaimana orang menyelaraskan kasus orang yang teknisnya mahir tetapi tetap kena phishing saat memakai password manager.

    • Fitur autofill harus dimatikan.
      Serangan modern juga mencakup teknik seperti tapjacking, jadi itu berbahaya.

  • Saya sempat bertanya-tanya kenapa tulisan ini naik ke atas, lalu saya paham setelah melihat nama penulisnya di akhir (Kurt).
    Pelajarannya adalah, "Kalau Kurt saja bisa kena, siapa pun bisa kena."
    Kali ini kerugiannya sangat kecil, tetapi semua orang punya blind spot, terutama di sudut-sudut yang terabaikan tanpa sadar seperti ini tempat kerentanan bersembunyi.
    Jika penyerangnya bukan sekadar penipu biasa melainkan benar-benar jahat, saya rasa mereka bisa melanjutkan social engineering lebih jauh mulai dari akun resmi perusahaan.

    • Sepertinya memang yang dimaksud adalah orang bernama Kurt.

  • Tulisannya sendiri sangat bagus, tetapi teknik phishing-nya juga terasa benar-benar canggih.

    • Saya mendengar bahwa penipuan phishing ini sedang marak belakangan ini dan bukan hanya kami yang mengalaminya.
      Tapi sebelum hal seperti ini terjadi, saya tidak tahu soal itu.

    • Nuansa humor merendahkan diri sendiri itu terasa lucu.
      Saya juga punya ingatan pernah satu-dua kali hampir kena.
      Biasanya saya baru sadar "aduh" tepat setelah mengeklik sekali, lalu segera mengunci akun untuk mencegah kerugian.
      Gambar anekdot terkait