BEBERAPA METODE YANG
DAPAT DIGUNAKAN UNTUK MEMBAJAK (MENCURI, MENGAMBIL ALIH) AKUN FACEBOOK.
Forward dari artikel
M. Salahuddien : Indonesia Security Incident Response Team on
Internet Infrastructure
Sam Ardi : Pemerhati cyber Law dan Cybercrime.
Published by : EliTe
Beberapa hari
ini media memberitakan
tentang pencurian password
akun facebook user
di beberapa tempat baik di Indonesia maupun luar negeri. Para korban
mengaku setelah log out terakhir
kali dan keesokan
harinya mencoba log
in ternyata gagal
mengakses dengan beberapa alasan
seperti
“password dan username tidak cocok” ataupun “akun tidak eksis”. Di beberapa social
networking lainnya, seperti
twitter dan plurk sempat dilaporkan
kejadian yang sama pernah terjadi. Username dan password tiba-tiba tidak
cocok dikarenakan sesuatu hal, atau dapat kita ambil benang merah, password
mereka ada yang mengganti. Apakah
ada suatu teknik
cracking untuk membobol
akun facebook antar
indvidu?
Jawabannya ada beberapa.
Lalu pertanyaan selanjutnya
adalah, apakah ada
teknik untuk melumpuhkan akun
facebook atau social
networking lainnya. Teknik
yang terungkap untuk menyerang akun
facebook beberapa waktu
lalu adalah dengan
membanjiri data pada
server facebook dengan teknik
DDOS atau biasa
dikenal dengan Distributed Denial
of Service sehingga server lumpuh
selama beberapa jam seperti yang terjadi
pada facebook dan twitter tahun 2009 oleh cracker dari Rusia. Kemungkinan
seperti ini perlu kita waspadai.
KEYLOGGER
Cara pertama menggunakan
keylogger adalah cara
yang sangat efektif
bagi para cracker untuk
mencuri password dari
akun facebook anda.
Dengan menginstall software dan
atau hardware keylogger pada
notebook maupun PC
sasaran, maka otomatis
segala bentuk ketukan pada keyboard
maupun aktiftas browsing
anda akan terekam
dengan detail dan sistematis. Sehingga
jika anda mengetikan
password dan username
pada notebook atau
PC yang telah dipasangi
keylogger, anda dengan
penuh kerelaan hati
telah menyerahkan data pribadi
sensitif tersebut pada
orang yang memasangnya,
karena keylogger ibarat
kertas karbon yang akan membuat salinan tentang sesuatu yang ditulis
diatasnya.
Keylogger biasanya
dipasang oleh cracker
pada terminal akses
internet publik yang
berbagi pakai seperti di warnet dan kampus. Maka berhati-hatilah ketika
menggunakan akses seperti ini. Pertama,
jangan langsung menggunakan terminal melainkan lakukan restart. Kedua, coba cek apakah ada aplikasi
tersembunyi yang berjalan di memori background, anda bisa gunakan tools event
task manager (tekan
tombol ctrl +
alt + del pada desktop
windows anda) dan perhatikan apakah
ada aplikasi atau
proses yang tidak
biasa? Memang anda
perlu sedikit belajar dan
membiasakan hal ini demi keamanan anda sendiri. Ketiga, cek setting keamanan pada browser yang anda gunakan apakah
secara otomatis merekam username dan
password?
Sebaiknya matikan
fitur ini dan
apabila ada fitur
anti phising site
bisa diaktifkan. Keempat, bersihkan/hapus cache dan history
secara otomatis setiap kali menutup browser. Ini bisa anda lakukan
pada setting browser.
Kelima, pastikan bahwa
setiap selesai melakukan
kegiatan anda selalu log out dengan sempurna.
SNIFFING
Teknik kedua adalah dengan menggunakan tools yang biasa digunakan
sniffing seperti Cain and Abel pada area yang terkoneksi WiFi jadi tools
tersebut memang “mencari aktifitas” pada laptop-laptop yang terkoneksi. Maka
anda harus berhati-hati juga apabila sedang mobile dan mengakses HotSpot.
Pada prinsipnya akses
wireless sangat mudah
untuk diintip. Jangan begitu saja mempercayai SSID “Free
WiFi atau Free HotSpot” saat anda scanning wireless network. Yang paling aman
adalah bertanya pada pengelola HotSpot area tersebut apa SSID yang resmi?
Kemudian setting akses wireless pada notebook anda untuk tidak “auto connect” melainkan
harus manual agar anda bisa meneliti terlebih dahulu. Ketika anda melakukan
akses dari jaringan WiFi HotSpot sebaiknya hindarkan transaksi pada situs yang
kritis seperti e-banking, akses email, akun jejaring sosial dlsb. Browsing hal
yang umum saja kecuali anda yakin benar bahwa tidak ada yang berusaha mengintip
aktivitas anda dan jaringan tersebut bisa dipercaya. Meskipun demikian,
pastikan bahwa anda selalu akses dengan
memilih mode secure connection yaitu menggunakan HTTPS yang biasanya ditandai dengan
munculnya icon gembok terkunci pada browser anda. Dengan akses HTTPS ini maka antara anda
dengan server layanan
yang diakses telah
dilindungi dengan enkripsi
sehingga tidak mudah diintip
oleh orang yang
tidak berhak. Pastikan
anda sudah masuk
ke mode secure sebelum memasukkan
username dan password atau PIN.
PHISING
Cara ketiga
adalah dengan mengklik url
yang diberikan oleh
aplikasi facebook maupun
via email yang mengatasnamakan facebook. Atau menjebak anda
dengan tawaran aplikasi asing pada facebook
merupakan aplikasi yang
lepas dari maintenance
facebook sendiri. Aplikasi tersebut dapat
dibuat oleh siapa
saja dan kapan
saja dan random
sifatnya. Untuk mencuri username dan
password tersebut, biasanya
korban disuruh mengakses
link tersebut dan diperintahkan memberikan password dan
usernamenya. Perhatikan contoh berikut:
Contoh 1:
Anda diminta untuk mengakses link
tertentu:
http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.girlcam-facebook.com%2Fapps%2Ffacebook%2Fbookmark%2526amp%253bcode2432kn4khkh34&h=f2a5c
924ad5de97a77f440ac31753781
Namun ketika anda mengkliknya
anda harus log in dahulu di halaman tersebut, padahal anda sebelumnya sudah
log ini terlebih
dahulu. Jangan pernah
anda masukan username
ataupun password jika anda menemui hal janggal seperti ini, karena dapat diindikasikan hal tersebut adalah
phising dengan menggunakan fake log in facebook, perhatikan screenshoot di
bawah:
Ada sesuatu
yang janggal, anda
sudah log in
sebelumnya dan ketika
anda mengakses link diatas
anda disuruh log
in kedua kalinya.
Jelas ini adalah
bentuk phising di
mana sang pencuri password menipu anda
dengan mendesain halaman
“orisinil” dari facebook. Perhatikan dengan baik-baik url
pada kolom tempat anda memasukan url, agar tidak menjadi korban. Dan perhatikan
apabila anda mendapatkan peringatan dari facebook semacam ini:
munculnya halaman
peringatan facebook ini
menandakan bahwa anda
sebenarnya sedang mengakses situs
(url) lain di
luar web site
resmi facebook, sehingga
anda perlu berhati-hati dan jangan pernah memberikan
apabila diminta memasukkan ulang username dan password atau jangan
pernah melakukan bila
diminta mendownload suatu software,
program, aplikasi atau dokumen
tertentu yang sekilas nampaknya berguna atau menarik (misalnya games, tools dlsb.)
karena bisa jadi itu sebenarnya adalah malware.
Masalahnya adalah, kebanyakan
pengguna facebook kurang memperhatikan pesan peringatan seperti ini,
tidak membaca isinya
atau karena kurang
memahami maksudnya dan
kendala bahasa dan mengabaikannya. Perlu dibiasakan, apabila menjumpai
hal yang tidak biasa atau meragukan
bahkan anda tidak
mengerti apa maksudnya,
maka tindakan paling
aman adalah selalu menolak dan
memilih klik tombol “cancel”. Atau langsung tutup halaman tersebut, sampai anda
mendapatkan keterangan yang terpecaya.
Contoh 2:
Dahulu ada
sebuah group di
dalam facebook yang
memberikan teknik untuk mengambil password akun orang lain dengan
alamat tersebut:
http://www.facebook.com/group.php?gid=202000763768
Kemudian kita lihat apa yang
tertera pada halaman group “Cara Mengetahui Password Teman Anda” tersebut:
KLIK
"Join this Group" ATAU "Gabung ke Grup Ini"
(hanya anda yang
telah bergabung yang bisa menggunakan fasilitas ini!)
KLIK
"Invite People to Join" ATAU "Undang Orang untuk Bergabung"
CENTANG
Semua teman anda, minimal 100 orang agar bisa berjalan!
hanya teman anda
yang telah di undang yang bisa anda lihat segala aktivitasnya di facebook
anda!)
KLIK
Tombol "Send Invitations" ATAU "Kirim Undangan"
kirim pesan ke
admin facebook dengan mengcopy link :
http://www.facebook.com/home.php?#/i....3256059163..1
KEMUDIAN kirim pesan dengan petunjuk berikut:
.gx=0&.tm=1259467892&.rand=fnvrjkff2bk4e|(ALAMAT
EMAIL
ANDA)/config/login?.src=fpctx&.intl=us&.done=http%3A%2F%2Fm(PAS
SWORD EMAIL
ANDA)||202000763768&ref=nf##hl=id&source=hp&q=/7601524/id/f#id(ALAMAT
EMAIL YANG
AKAN ANDA KETAHUI PASSWORDNYA)
klik send email
kemudian dengan menunggu
konfirmasi balasan dari facebook admin dalam waktu 24jam, anda
akan mendapat email balasan dan
mengetahui password facebook teman anda.
==================================================
Perhatikan kalimat
yang cetak tebal tersebut, ada
sesuatu yang ganjil bukan?
Anda ingin mengetahui password
orang lain tetapi
anda sebelumnya disuruh
memasukan password dan username anda terlebih dahulu. Jelas ini
merupakan upaya jebakan terhadap akun anda. Harus selalu diingat
bahwa username dan
password adalah sesuatu
yang vital, sama
seperti PIN ATM biarlah
anda, pihak bank
dan Tuhan saja
yang mengetahuinya. Jangan
pernah berikan kepada pihak
lain, apapun alasannya
termasuk permintaan dari
seseorang yang mengaku sebagai admin. Sebab kalau benar dia
adalah admin, tentu tidak memerlukan username serta password anda untuk
melakukan maintenance atau tindakan apapun.
Terakhir, selalu ketikkan
langsung alamat url situs pada jendela browser anda. Sebab ada juga malware
yang menambahkan link bookmark sehingga anda mengira bahwa itu resmi padahal adalah
penyesatan (phising). Malware yang lebih canggih bahkan bisa merubah informasi
di etc/host yang memetakan
alamat url secara
statik pada komputer
anda tanpa menggunakan mesin DNS. Sehingga ketika anda
mengetikkan alamat jejaring sosial
ternyata diarahkan ke phising site. Karena itu sangat penting untuk selalu
waspada dan memeriksa keabsahan suatu url dan mengetahui adanya ketidakwajaran
walaupun agak sulit.
SOCIAL ENGINEERING
Sekarang ini mulai banyak korban
berjatuhan akibat upaya pembajakan akun facebook yang menggunakan teknik
social engineering. Terutama memanfaatkan
kelemahan prosedur akun email
gratisan seperti Yahoo! Mail. Seseorang
atau cracker bisa
berpura-pura menjadi anda dan mencoba mendapatkan akses tidak sah
dan membajak akun email anda. Caranya dengan mengikuti prosedur kehilangan
password. Biasanya layanan email gratisan akan menanyakan beberapa kata kunci
untuk konfirmasi seperti kombinasi “di mana tempat bulan madu anda?” atau
“siapa nama hewan peliharaan anda yang pertama” atau “siapa nama paman atau
tante yang jadi favorit anda?”. Jawaban atau kata kunci dari pertanyaan
konfirmasi seperti ini dulu pernah anda isikan ketika pertama kali mendaftarkan
akun email tersebut.
Sekarang melalui facebook,
seseorang atau cracker bisa dengan mudah mengelabui anda. Dia akan berpura-pura
melamar sebagai teman anda. Kemudian mencari tahu alamat email anda. Ketika dia
mengetahui bahwa anda
menggunakan alamat email gratisan, maka
mulailah dia mengajak anda
berkomunikasi. Dengan cara tertentu dia akan mengkorek sejumlah informasi yang
seharusnya anda rahasiakan. Begitu anda memberikan informasi yang diperlukan
untuk mengakses prosedur kehilangan
password di layanan
akun email gratisan,
maka si cracker akan
menguasai akun email
anda. Selanjutnya dia
akan melakukan prosedur
yang sama kepada akun
facebook anda, yaitu pura-pura lupa
password dan mencoba
membajaknya.
Facebook biasanya akan
mengirimkan email “password sementara” ke alamat email utama anda yang
sialnya sudah dikuasai
oleh si cracker.
Sehingga dengan mudah
dia menguasai akun facebook
anda juga. Begitu
dia mengganti password akun
facebook anda, maka selanjutnya anda akan ditolak untuk
mengakses aku facebook anda sendiri.
Seorang cracker yang membajak
akun facebook anda biasanya akan memanfaatkannya untuk beberapa tujuan jahat.
Yang pertama adalah untuk melakukan impersonating
atau pemalsuan identitas dengan maksud
untuk memfitnah, menjelek-jelekkan dan
menjatuhkan martabat anda sebagai pemilik
akun yang sesungguhnya.
Misalnya dia menyerang
dan melakukan suatu tindakan
yang tidak disukai
teman-teman anda sehingga
di dunia nyata,
semua orang menjadi memusuhi
anda tanpa anda
sadari. Yang kedua
adalah untuk menipu
teman-teman anda. Telah banyak laporan di luar negeri maupun juga di Indonesia,
bahwa sejumlah orang dimintai
tolong oleh teman
lamanya di facebook
untuk mengirimkan sejumlah
uang karena beberapa alasan, yang
klasik adalah mengaku kecopetan atau kerampokan atau di akhir pekan tidak bisa
mengambil uang untuk
pengobatan dsb. Atau mengajak
bertransaksi sesuatu tapi sebenarnya
akun facebook itu telah dibajak oleh orang lain.
1. Jangan mudah menerima permintaan pertemanan dari orang
yang sama sekali belum anda kenal, terutama yang tidak memiliki mutual
friend.
2. Anda
selalu memiliki kesempatan
untuk melakukan konfirmasi
kepada teman yang ada di dalam mutual friend seseorang
yang mencoba meminta pertemanan pada anda. Sebab memang
itulah salah satu
gunanya facebook menampilkan
informasi mutual friend yaitu
agar anda bisa melakukan verifikasi terlebih dahulu. Apabila teman anda mereferensikan
dan mengkonfirmasi keabsahan calon teman tersebut baru “lamaran” tersebut bisa
dipertimbangkan untuk diterima.
3. Cara lain untuk
mengkonfirmasi suatu permintaan
pertemanan adalah mengirimkan message kepada yang bersangkutan. Dengan komunikasi ini anda
dapat menanyakan siapakah dia sebenarnya (seringkali nama akun yang ditampilkan
adalah julukan atau nama alias yang tidak membantu anda untuk mengingat
siapakah calon teman itu) dan melakukan konfirmasi lainnya yang diperlukan.
Misalnya, melakukan komunikasi off line
(telepon) atau pertemuan
on line web
cam atau bahkan off
line adalah cara
lain untuk melakukan konfirmasi keabsahan calon teman.
4. Jangan terburu-buru
dan berhati-hati dalam
menyampaikan sejumlah informasi pribadi yang sekilas nampaknya
tidak penting tetapi ternyata merupakan kunci untuk membobol akun
email anda. Pertanyaan
yang sepertinya menunjukkan
antusiasme pada satu hal yang sama (binatang kesayangan, tempat wisata
favorite, cerita tentang keluarga, memasang album foto event tertentu dlsb.)
tanpa sengaja bisa memaparkan informasi pribadi yang seharusnya anda
rahasiakan.
5. Anda mungkin tanpa
sadar telah memaparkan
informasi yang seharusnya
rahasia itu dalam profile anda.
Atau dalam words caption di album foto anda. Misalnya menulis nama binatang
kesayangan anda persis
di bawah fotonya bahkan
ada orang yang secara
khusus membuatkan akun
facebook untuk binatang
kesayangannya lengkap dengan
semua profilenya. Atau memasang foto dan menyebut lokasi bulan madu dan atau
memberikan tagging pada foto keluarga (termasuk paman yang menjadi favorite anda)
dlsb. Beragam ketidaksengajaan semacam itu.
6. Berhati-hati dan pikirkanlah berkali-kali kemungkinan manfaat dan
kerugiannya bila anda harus menampilkan informasi pribadi di halaman info akun
facebook anda. Anda punya pilihan untuk
tidak menuliskan informasi
itu, misalnya binatang
kesayangan, toh sebenarnya apabila
ada yang ingin
tahu, bisa menanyakannya
secara pribadi melalui fasilitas
message langsung kepada anda. Anda juga bisa memilih setting untuk membatasi akses
orang lain ke
informasi tertentu di akun facebook
anda. Misalnya anda bisa
menyembunyikan alamat email. Manfaatkan fitur setting pengamanan akun facebook
ini semaksimal mungkin dan pikirkanlah.
7. Sebisa mungkin dan
jikalau memungkinkan hindari
menggunakan layanan email
tak berbayar untuk akun facebook
anda. Gunakanlah akun
email lokal misalnya
yang diberikan oleh kantor
anda (kalau diijinkan
untuk pribadi), menyewa
akun email ke ISP (sebenarnya harganya murah atau
bahkan gratis apabila anda menjadi
pelanggan ISP tersebut) atau anda membuat domain pribadi sendiri dan meminta
tolong layanan jasa hosting untuk
membuatkan, apabila anda
tidak memiliki keterampilan
teknis sendiri. Intinya, akun
email lokal atau
milik sendiri lebih
aman dari teknik
serangan social engineering ini
terutama karena prosedur
untuk konfirmasi kehilangan password atau
bila terjadi compromise
biasanya dilakukan secara
manual dengan teknik identifikasi
off line bukan
by system yang
otomatis tapi menggunakan algoritma pengamanan yang terlalu
sederhana seperti layanan email gratisan.
8. Selalu tambahkan alamat
email sekunder pada
akun facebook anda
dan juga pada akun
email gratisan yang
anda gunakan apabila
memang terpaksa tidak
ada pilihan selain harus
menggunakan layanan tersebut.
Sembunyikan atau jangan
pernah anda tunjukkan kepada
siapapun dengan alasan
apapun alamat email
sekunder anda itu. Dan secara periodik ubahlah semua
password anda sesuai anjuran pengamanan seperti menggunakan kombinasi
huruf, angka dan
karakter khusus serta
panjang password minimal 6
atau 8 karakter
yang sulit ditebak
orang lain dan
bila sulit menghapalnya jangan simpan
catatannya di tempat
yang mudah diketahui.
Atau gunakan fasilitas aplikasi password management untuk
membantu anda. Ada banyak yang gratis.
9. Meskipun tidak lazim, namun demi untuk keamanan, backuplah data
friend list anda. Informasi penting seperti nama profile accountnya, url
halaman facebooknya, alamat email dan juga telepon (kalau ada). Sehingga
apabila terjadi sesuatu anda bisa segera memberikan peringatan, misalnya
melalui email dan akan berguna apabila kelak anda membuka akun facebook yang
baru dan terpaksa harus memasukkan satu per satu lagi friend list anda
tersebut. Backup memang sedikit merepotkan namun penting.
10. Apabila anda terlanjur
menjadi korban pembajakan
akun facebook maka
anda dapat melakukan 4 hal.
Pertama, peringatkan semua orang bahwa akun anda telah dibajak. Upaya ini bisa
anda lakukan lewat berbagai saluran seperti email, telepon, milis, chat, blog
dlsb. Demi untuk mencegah orang lain, teman, famili anda yang ada di friend
list menjadi korban misalnya penipuan.
11. Kedua, patut secepatnya (anda berlomba dengan si pembajak sebelum
dia mengganti alamat email utama
dan sekunder anda)
mencoba untuk mendapatkan
kembali akun anda melalui
prosedur lupa atau kehilangan password. Apabila berhasil, segera ganti alamat
email anda dan
passwordnya dan sembunyikan
jangan ditampilkan dengan mengubah setting keamanan akun anda.
Jangan buru-buru log out untuk mencegah si pembajak mencoba
mengambil alih juga.
Dan jangan log
out sampai anda berhasil mengganti alamat email utama dan
sekunder anda serta mengisi password yang baru sekaligus menerapkan
setting pengamanan yang
lebih tertutup (melindungi/menyembunyikan
alamat email anda).
12. Ketiga, melaporkan kepada
tim keamanan facebook
bahwa akun anda telah
dibajak, alamatnya adalah:
http://www.facebook.com/help/?page=1023 atau
apabila link tersebut telah berubah
anda dapat mencarinya
di halaman HELP. Anda
akan diminta mengisi form
dan selanjutnya akan
ada korespondensi dengan tim
keamanan facebook yang akan
berusaha mengkonfirmasi kebenaran
laporan anda dan
apabila semua berjalan dengan baik,
mungkin akun anda
dapat dikembalikan. Namun
pastikan bahwa sebelum
melaporkan, anda sudah memiliki alamat email yang baru dan aman.
13. Yang keempat, apabila semua upaya mengembalikan akun anda gagal,
maka segeralah membuka akun facebook
baru, amankan informasinya
agar tidak dibajak
orang lagi dan add
semua teman anda
(semoga anda melakukan
back up). Kemudian
bersama-sama ajaklah mereka semuanya untuk melaporkan akun lama
anda yang dibajak tsb,sebagai akun yang
melakukan abuse, fraud, compromise dan impersonating sehingga nanti akan
ditutup atau diblokir oleh facebook.
Yang terakhir jangan gunakan alamat email, username dan password yang
sama untuk semua layanan online yang
anda ikuti. Selalu
update pengetahuan anda
mengenai isu keamanan layanan jejaring sosial dan
senantiasa waspada ketika aktif di dunia maya.
No comments:
Post a Comment