Peretas Manfaatkan Router Milesight Sebar SMS Phishing di Eropa

Perkembangan teknologi komunikasi yang semakin pesat ternyata tidak selalu berarti peningkatan keamanan. Hal ini terbukti dari temuan terbaru perusahaan keamanan siber asal Prancis, SEKOIA, yang mengungkap adanya penyalahgunaan router seluler industri Milesight oleh peretas untuk mengirim SMS phishing (smishing) ke ribuan pengguna di Eropa.

Serangan ini telah berlangsung sejak Februari 2022 dan hingga kini masih menjadi perhatian besar di dunia keamanan siber. Dalam serangan ini, peretas memanfaatkan celah pada router Milesight untuk mengirimkan pesan berisi tautan berbahaya yang meniru situs resmi berbagai lembaga, seperti layanan pemerintah, bank, hingga penyedia telekomunikasi.

Bagaimana Serangan Ini Terjadi

Router Milesight, yang banyak digunakan oleh perusahaan industri untuk komunikasi jarak jauh, ternyata memiliki API (Application Programming Interface) yang memungkinkan perangkat berkomunikasi dan mengirim SMS. Celah inilah yang dimanfaatkan para peretas.

Dengan mengeksploitasi API tersebut, mereka dapat mengirim SMS secara otomatis ke banyak pengguna di berbagai negara. SMS tersebut berisi tautan phishing yang terlihat sangat meyakinkan karena menggunakan alamat web mirip situs asli (typosquatting), seperti meniru domain resmi milik platform pemerintah CSAM atau eBox, bahkan beberapa bank besar dan perusahaan pos di Eropa.

Menurut laporan SEKOIA, dari sekitar 18.000 router Milesight yang terhubung ke internet publik, sekitar 572 perangkat teridentifikasi memiliki potensi rentan. Separuhnya berada di Eropa, menjadikan kawasan ini target utama kampanye smishing berskala besar tersebut.

 
Eksploitasi Celah Keamanan Lama

SEKOIA menduga para peretas memanfaatkan celah kebocoran informasi yang sudah diketahui sejak tahun 2023, yaitu CVE-2023-43261, dengan skor kerentanan 7,5 (tinggi). Kerentanan ini pertama kali ditemukan oleh peneliti keamanan bernama Bipin Jitiya, dan pada saat itu telah diberi tambalan (patch) oleh Milesight.

Namun, tidak semua pengguna router memperbarui perangkat mereka. Akibatnya, masih banyak router yang menjalankan firmware lama dan tetap rentan terhadap serangan. Bahkan beberapa router yang menjalankan versi firmware lebih baru tetap membuka akses API ke publik karena kesalahan konfigurasi.

Yang lebih mengejutkan, beberapa router ditemukan tidak membutuhkan autentikasi sama sekali untuk mengakses fitur pengiriman SMS atau melihat riwayat pesan. Artinya, siapa pun yang tahu alamat IP router tersebut dapat mengirimkan SMS ke ribuan nomor tanpa batasan.

 
Modus Operandi Para Pelaku

Dalam tahap awal serangan, pelaku biasanya melakukan fase validasi, yaitu menguji apakah router yang ditargetkan dapat mengirim SMS. Mereka melakukan ini dengan mengirim pesan ke nomor telepon milik mereka sendiri untuk memastikan sistem bekerja. Setelah itu, barulah kampanye smishing dijalankan ke target sesungguhnya.

Pesan yang dikirim berisi tautan ke situs phishing yang dirancang dengan cermat. Situs tersebut memuat JavaScript yang mendeteksi apakah pengunjung membuka dari ponsel. Jika ya, halaman akan menampilkan pesan palsu, seperti “Perbarui informasi rekening Anda untuk menerima pengembalian dana.” Begitu pengguna memasukkan data pribadi, seperti nomor rekening atau sandi, informasi tersebut langsung dikirim ke server milik peretas.

Salah satu domain yang digunakan antara Januari hingga April 2025, yaitu jnsi[.]xyz, bahkan memiliki kode JavaScript tambahan untuk menonaktifkan klik kanan dan alat debugging browser, sehingga penyelidik keamanan sulit menganalisis situs tersebut. Beberapa situs juga mengirimkan data kunjungan ke bot Telegram bernama GroozaBot, yang dioperasikan oleh seseorang bernama “Gro_oza”, yang diduga berbahasa Arab dan Prancis.

Mengapa Router Menjadi Sasaran Menarik

Router Milesight digunakan secara luas dalam sektor industri karena kemampuannya menghubungkan jaringan internal dengan jaringan seluler publik. Bagi peretas, perangkat ini sangat menarik karena:

• Mudah diakses dari jarak jauh: Banyak router industri terhubung langsung ke internet tanpa perlindungan tambahan.
• Dapat mengirim SMS massal: Fitur bawaan ini bisa dimanfaatkan untuk menyebar kampanye smishing secara besar-besaran.
• Sulit dilacak: Karena pesan dikirim dari berbagai router di banyak negara, proses pelacakan dan pemblokiran menjadi lebih rumit.

Menurut SEKOIA, metode ini tidak terlalu canggih secara teknis, namun sangat efektif karena memanfaatkan infrastruktur legal (router sah) untuk melakukan tindakan ilegal.

 
Langkah Pencegahan dan Perlindungan

Meskipun kasus ini berfokus di Eropa, peringatan penting juga berlaku bagi perusahaan dan pengguna di seluruh dunia, termasuk Indonesia. Berikut beberapa langkah penting yang bisa dilakukan:

• Perbarui firmware router secara rutin. Patch keamanan biasanya dirilis untuk menutup celah seperti CVE-2023-43261.
• Batasi akses publik ke API router. Jika memungkinkan, nonaktifkan fungsi SMS atau batasi hanya untuk jaringan internal.
• Gunakan autentikasi kuat. Pastikan setiap fungsi administratif router memerlukan login dengan kata sandi kompleks.
• Pantau aktivitas pengiriman SMS. Jika router digunakan di lingkungan industri, log aktivitas harus diperiksa secara berkala.
• Waspadai pesan mencurigakan. Jangan pernah mengklik tautan dari SMS yang mengatasnamakan bank atau instansi resmi tanpa verifikasi langsung.

Kasus eksploitasi router Milesight ini menunjukkan bahwa perangkat IoT dan router industri bisa menjadi pintu masuk baru bagi serangan siber. Walau terlihat sederhana, serangan smishing yang dilakukan melalui infrastruktur sah seperti router industri dapat memiliki dampak luas karena menjangkau ribuan pengguna lintas negara.

Dengan meningkatkan kesadaran, memperkuat keamanan perangkat, dan selalu waspada terhadap pesan mencurigakan, baik pengguna individu maupun perusahaan dapat melindungi diri dari serangan serupa di masa depan.