Menjadi korban peretasan itu sangat membuat stres. Rasanya bisa sangat pribadi, mendesak, dan membingungkan sekaligus. Anda bisa saja menerima peringatan login yang aneh, menemukan pesan yang tidak pernah Anda kirim, kehilangan akses ke akun, menemukan saldo uang berkurang, atau diberi tahu teman bahwa mereka menerima link mencurigakan dari Anda.
Hal terpenting adalah menghindari keputusan yang didorong oleh kepanikan. Penyerang sering mengandalkan kecepatan, kebingungan, dan tekanan. Tujuan Anda adalah memperlambat situasi, membatasi kerusakan, memulihkan kendali, lalu menutup kelemahan yang membuat kompromi bisa terjadi.
Panduan ini membahas langkah-langkah praktis yang harus dilakukan jika akun pribadi, akun bisnis, perangkat, atau layanan online Anda telah diretas.
Jika ada kemungkinan atasan, pelanggan, atau organisasi terkait terdampak, segera beri tahu tim IT atau tim keamanan yang sesuai. Jangan menunggu sampai Anda punya bukti lengkap. Ini termasuk kasus di mana perangkat yang diretas digunakan untuk bekerja, terdaftar sebagai perangkat pribadi di lingkungan kerja (BYOD), digunakan untuk mengakses email kantor, digunakan untuk single sign-on, atau login ke password manager, VPN, panel admin, repository source code, cloud console, maupun layanan berbagi file perusahaan.
Pemberitahuan ini harus dilakukan sebelum Anda mencoba menyelidiki semuanya sendiri. Organisasi mungkin perlu mencabut sesi, mengganti kredensial, mengecek log, mengisolasi sistem yang terdampak, atau menonaktifkan akses selama insiden masih berlangsung.
Menunda pemberitahuan bisa memperparah kerusakan dan dapat menempatkan Anda pada risiko tindakan disipliner atau tanggung jawab jika organisasi mengalami kerugian yang seharusnya bisa dibatasi dengan pelaporan segera. Jika tidak ada layanan, perangkat, akun, atau data bisnis yang mungkin terdampak, lanjutkan langkah pemulihan pribadi berikutnya.
Jika Anda curiga komputer atau ponsel Anda telah terinfeksi, jangan gunakan perangkat itu untuk mereset password atau login ke akun penting. Malware dapat merekam password baru, mencuri cookie sesi, mengambil tangkapan layar, atau memotong kode pemulihan.
Gunakan perangkat yang Anda percaya, misalnya:
Jika Anda tidak punya akses ke perangkat yang bersih, putuskan koneksi internet dari perangkat yang dicurigai dan minta bantuan sebelum memasukkan kredensial baru.
Akun email Anda biasanya adalah kunci ke semua akun lain. Jika penyerang menguasai email Anda, mereka bisa mereset sandi perbankan, belanja, penyimpanan cloud, media sosial, platform pengembang, dan alat bisnis.
Mulailah dengan email utama Anda dan periksa hal ini:
Perhatian khusus pada aturan/folder email. Penyerang kadang membuat filter yang menyembunyikan peringatan keamanan, meneruskan invoice, atau diam-diam menyalin pesan reset sandi ke alamat lain.
Setelah email aman, lanjutkan ke akun-akun yang paling berisiko. Jangan buang-buang waktu di akun bernilai rendah ketika penyerang masih punya akses ke akun bank, cloud storage, atau alat administrator.
Prioritaskan akun Anda ini urutannya:
Setiap sandi baru harus benar-benar unik. Jika Anda memakai sandi yang sama di beberapa akun, satu titik lemah saja bisa membuat Anda kembali retas.
Mengganti sandi memang penting, tetapi belum tentu mengeluarkan penyerang yang sudah login. Banyak layanan tetap menjaga sesi aktif walaupun sandi sudah diubah kecuali Anda secara eksplisit mencabutnya.
Cari pengaturan seperti:
Hapus apa pun yang mencurigakan. Untuk akun bisnis atau pengembang, rotasi API token, deployment key, SSH key, webhook, dan kredensial akun layanan yang mungkin terekspos.
Autentikasi multi-faktor (MFA, 2FA) dapat menggagalkan banyak upaya pengambilalihan akun meski sandi Anda sudah dicuri. Jika MFA belum aktif, aktifkan sekarang di akun-akun terpenting Anda.
Pilih opsi yang lebih kuat jika tersedia:
Kode berbasis SMS memang lebih baik daripada tanpa MFA, tetapi tetap lebih lemah dibanding perangkat atau aplikasi. Nomor ponsel dapat dipindah lewat serangan SIM swap, dicegat, atau disalahgunakan lewat proses pemulihan akun yang lemah.
Saat mengaktifkan MFA, buat kode cadangan dan simpan di tempat aman. Kalau tidak, kehilangan ponsel atau security key bisa jadi bencana baru.
Jika akun yang diretas terkait uang, dokumen identitas, invoice, data pelanggan, atau data pajak, asumsikan penyerang bisa saja sudah menyalin data penting meski Anda cepat mengambil kembali akses.
Periksa berikut ini:
Hubungi bank atau provider pembayaran segera jika melihat aktivitas mencurigakan. Dalam banyak kasus, melapor lebih cepat meningkatkan peluang transaksi penipuan bisa diblokir atau tanggung jawab Anda dibatasi.
Normal jika ingin langsung membersihkan, tapi menghapus pesan, log, atau file terlalu cepat bisa mempersulit investigasi. Sebelum menghapus item mencurigakan, simpan bukti dasar. Lakukan ini sebelum wipe atau instal ulang perangkat, apalagi jika duit, data perusahaan, data pelanggan, ransomware, atau kewajiban hukum terlibat.
Bukti yang berguna misalnya:
Informasi ini membantu tim support, bank, polisi, asuransi, IT internal, atau tim insiden memahami apa yang terjadi.
Jika laptop/PC memungkinkan, pertimbangkan mencabut harddisk asli dan memasang harddisk/SSD baru untuk instalasi OS baru. Dengan begitu Anda bekerja dari sistem "bersih" dan tetap menyimpan disk lama untuk bukti jika diperlukan penyelidikan. Jika ini insiden bisnis, tanya IT atau tim insiden sebelum ganti disk atau menyalakan perangkat kembali.
Jika peretasan berasal dari malware, lampiran berbahaya, ekstensi browser palsu, software bajakan, atau tools remote akses tak dikenal, pemulihan akun saja tidak cukup. Perangkat Anda mungkin tidak lagi bisa dipercaya. Penyerang bisa telah memasang persistence mekanisme, mengubah pengaturan sistem, mencatat cookie sesi, atau meninggalkan software pencuri sandi baru.
Dalam situasi ini, langkah teraman bukan "membersihkan" manual. Langkah yang lebih aman adalah simpan dulu bukti penting, backup data yang memang benar-benar Anda butuhkan, wipe perangkat, dan instal ulang OS dari awal.
Langkah penting:
Untuk insiden berisiko tinggi, terutama ransomware, BEC, admin takeover, atau dugaan pencurian data, sebaiknya konsultasi ke profesional insiden lebih dulu sebelum wipe sistem. Dalam kasus bisnis, bukti bisa diperlukan untuk penyidikan, asuransi, legal, atau notifikasi pelanggan.
Jika penyerang memakai akun Anda untuk mengirim pesan, invoice, tautan, atau file, beri tahu mereka yang mungkin menerima. Buat peringatan singkat dan jelas.
Misalnya:
Akun saya sempat diretas. Mohon jangan buka tautan, lampiran, permintaan pembayaran, atau file dari saya antara [waktu] dan [waktu]. Saya sudah mengambil kembali akses dan sedang investigasi.
Untuk bisnis, pemberitahuan juga bisa jadi kewajiban hukum atau kontrak. Jika data pelanggan, karyawan, pembayaran, data kesehatan, atau informasi rahasia klien mungkin terekspos, libatkan tim legal, compliance, dan keamanan sejak awal.
Tidak semua akun sosial media yang diretas perlu laporan polisi, tapi beberapa insiden harus dilaporkan. Apalagi untuk penipuan keuangan, pencurian identitas, ransomware, BEC, pencurian data pelanggan, atau ancaman keselamatan pribadi.
Saluran pelaporan yang berguna antara lain:
Pelaporan juga menciptakan rekam jejak. Ini bisa penting jika aktivitas penipuan berlanjut atau Anda perlu membuktikan telah bertindak cepat.
Bagi organisasi, akun diretas hampir tidak pernah masalah satu akun semata. Ini bisa jadi tanda awal insiden besar. Kotak masuk email bisnis bisa membuka pembicaraan pelanggan. Password admin yang dicuri bisa menyebabkan data bocor. Deployment key yang bocor bisa mengancam sistem produksi.
Respons bisnis harus meliputi:
Jika insiden melibatkan data regulasi, data pelanggan, ransomware, infrastruktur produksi, atau akses istimewa, minta bantuan profesional sedini mungkin. Terlambat membuat pembatasan dan pengumpulan bukti jadi lebih sulit.
Beberapa langkah penuh niat baik justru memperburuk pemulihan atau menambah risiko baru.
Hindari kesalahan ini:
Setelah situasi terkendali, luangkan waktu memperkuat sistem Anda. Kebanyakan peretasan akun bukan dari peretasan canggih. Sumbernya password daur ulang, phishing, opsi pemulihan lemah, malware, perangkat terekspos, atau akses lama yang tidak dihapus.
Checklist penguatan praktis:
Keamanan tidak harus sempurna agar jauh lebih baik. Sedikit kebiasaan konsisten bisa menutup jalan serangan termudah dan membatasi dampak jika insiden terulang.
Menjadi korban retas bukan selalu tanda Anda ceroboh. Penyerang menyerang individu dan bisnis terus-menerus, dan pengguna hati-hati sekalipun bisa tertipu halaman phishing meyakinkan, password lama yang bocor, atau perangkat yang dikompromi diam-diam.
Yang paling penting adalah respons: amankan email terlebih dulu, ganti sandi dari perangkat yang tepercaya, cabut sesi, aktifkan MFA kuat, cek risiko finansial, simpan bukti, dan peringatkan siapa pun yang bisa terdampak. Setelah itu, tingkatkan sistem dan kebiasaan untuk membuat serangan berikutnya jauh lebih sulit berhasil.