thx banget bro. numpang copas yah... :) 2010/4/29 Sam Ardi <[email protected]>
> *Penulis: M Salahuddien dan Sam Ardi - detikinet* > > Beberapa hari ini media memberitakan tentang pencurian password akun > facebook user di beberapa tempat baik di Indonesia maupun luar negeri. Para > korban mengaku setelah log out terakhir kali dan keesokan harinya mencoba > log in ternyata gagal mengakses dengan beberapa alasan seperti “password dan > username tidak cocok” ataupun “akun tidak eksis”. > > Di beberapa social networking lainnya, seperti twitter dan plurk sempat > dilaporkan kejadian yang sama pernah terjadi. Username dan password > tiba-tiba tidak cocok dikarenakan sesuatu hal, atau dapat kita ambil benang > merah, password mereka ada yang mengganti. > > Apakah ada suatu teknik cracking untuk membobol akun facebook antar > individu? Jawabannya ada beberapa. Lalu pertanyaan selanjutnya adalah, > apakah ada teknik untuk melumpuhkan akun facebook atau social networking > lainnya? > > Teknik yang terungkap untuk menyerang akun facebook beberapa waktu lalu > adalah dengan membanjiri data pada server facebook dengan teknik DDOS atau > biasa dikenal dengan Distributed Denial of Service sehingga server lumpuh > selama beberapa jam seperti yang terjadi pada facebook dan twitter tahun > 2009 oleh cracker dari Rusia. Kemungkinan seperti ini perlu kita waspadai. > > *Keylogger* > > Cara pertama menggunakan keylogger adalah cara yang sangat efektif bagi > para cracker untuk mencuri password dari akun facebook anda. Dengan > menginstall software dan atau hardware keylogger pada notebook maupun PC > sasaran, maka otomatis segala bentuk ketukan pada keyboard maupun aktivitas > browsing anda akan terekam dengan detail dan sistematis. > > Sehingga jika anda mengetikan password dan username pada notebook atau PC > yang telah dipasangi keylogger, anda dengan penuh kerelaan hati telah > menyerahkan data pribadi sensitif tersebut pada orang yang memasangnya, > karena keylogger ibarat kertas karbon yang akan membuat salinan tentang > sesuatu yang ditulis diatasnya. > > Keylogger biasanya dipasang oleh cracker pada terminal akses internet > publik yang berbagi pakai seperti di warnet dan kampus. Maka berhati-hatilah > ketika menggunakan akses seperti ini. > > 1. Pertama, jangan langsung menggunakan terminal melainkan lakukan restart. > 2. Kedua, coba cek apakah ada aplikasi tersembunyi yang berjalan di memori > background, anda bisa gunakan tools event task manager (tekan tombol ctrl + > alt + del pada desktop windows anda) dan perhatikan apakah ada aplikasi atau > proses yang tidak biasa? Memang anda perlu sedikit belajar dan membiasakan > hal ini demi keamanan anda sendiri. > 3. Ketiga, cek setting keamanan pada browser yang anda gunakan apakah > secara otomatis merekam username dan password? Sebaiknya matikan fitur ini > dan apabila ada fitur anti phising site bisa diaktifkan. > 4. Keempat, bersihkan/hapus cache dan history secara otomatis setiap kali > menutup browser. Ini bisa anda lakukan pada setting browser. > 5. Kelima, pastikan bahwa setiap selesai melakukan kegiatan anda selalu log > out dengan sempurna. > > *Sniffing* > > Teknik kedua adalah dengan menggunakan tools yang biasa digunakan sniffing > seperti Cain and Abel pada area yang terkoneksi WiFi jadi tools tersebut > memang “mencari aktifitas” pada laptop-laptop yang terkoneksi. Maka anda > harus berhati-hati juga apabila sedang mobile dan mengakses HotSpot. > > Pada prinsipnya akses wireless sangat mudah untuk diintip. Jangan begitu > saja mempercayai SSID “Free WiFi atau Free HotSpot” saat anda scanning > wireless network. Yang paling aman adalah bertanya pada pengelola HotSpot > area tersebut apa SSID yang resmi? Kemudian setting akses wireless pada > notebook anda untuk tidak “auto connect” melainkan harus manual agar anda > bisa meneliti terlebih dahulu. > > Ketika anda melakukan akses dari jaringan WiFi HotSpot sebaiknya hindarkan > transaksi pada situs yang kritis seperti e-banking, akses email, akun > jejaring sosial dlsb. Browsing hal yang umum saja kecuali anda yakin benar > bahwa tidak ada yang berusaha mengintip aktivitas anda dan jaringan tersebut > bisa dipercaya. > > Meskipun demikian, pastikan bahwa anda selalu akses dengan memilih mode > secure connection yaitu menggunakan HTTPS yang biasanya ditandai dengan > munculnya icon gembok terkunci pada browser anda. Dengan akses HTTPS ini > maka antara anda dengan server layanan yang diakses telah dilindungi dengan > enkripsi sehingga tidak mudah diintip oleh orang yang tidak berhak. Pastikan > anda sudah masuk ke mode secure sebelum memasukkan username dan password > atau PIN. > > *Phishing* > > Cara ketiga adalah dengan mengklik url yang diberikan oleh aplikasi > facebook maupun via email yang mengatasnamakan facebook. Atau menjebak Anda > dengan tawaran aplikasi asing pada facebook merupakan aplikasi yang lepas > dari maintenance facebook sendiri. > > Aplikasi tersebut dapat dibuat oleh siapa saja dan kapan saja dan random > sifatnya. Untuk mencuri username dan password tersebut, biasanya korban > disuruh mengakses link tersebut dan diperintahkan memberikan password dan > usernamenya. Perhatikan contoh berikut: > > Contoh 1: > > Anda diminta untuk mengakses link tertentu: > > http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.gir > lcam-facebook.com%2Fapps%2Ffacebook%2Fbookmark%2526a > mp%253bcode2432kn4khkh34&h=f2a5c924ad5de97a77f440ac31753781 > > Namun ketika Anda mengkliknya Anda harus log in dahulu di halaman tersebut, > padahal Anda sebelumnya sudah log ini terlebih dahulu. Jangan pernah Anda > masukan username ataupun password jika Anda menemui hal janggal seperti ini, > karena dapat diindikasikan hal tersebut adalah phising dengan menggunakan > fake log in facebook, perhatikan screenshoot di bawah: > > <http://www.facebook.com/photo.php?pid=30756388&op=1&view=all&subj=386585932410&aid=-1&auser=0&oid=386585932410&id=1064919678> > > > Ada sesuatu yang janggal, Anda sudah log in sebelumnya dan ketika Anda > mengakses link di atas Anda disuruh log in kedua kalinya. Jelas ini adalah > bentuk phishing di mana sang pencuri password menipu Anda dengan mendesain > halaman “orisinil” dari facebook. Perhatikan dengan baik-baik url pada kolom > tempat Anda memasukan url, agar tidak menjadi korban. Dan perhatikan apabila > Anda mendapatkan peringatan dari facebook semacam ini: > > <http://www.facebook.com/photo.php?pid=30756389&op=1&view=all&subj=386585932410&aid=-1&auser=0&oid=386585932410&id=1064919678> > > > Munculnya halaman peringatan facebook ini menandakan bahwa Anda sebenarnya > sedang mengakses situs (url) lain di luar web site resmi facebook, sehingga > Anda perlu berhati-hati dan jangan pernah memberikan apabila diminta > memasukkan ulang username dan password atau jangan pernah melakukan bila > diminta mendownload suatu software, program, aplikasi atau dokumen tertentu > yang sekilas nampaknya berguna atau menarik (misalnya games, tools dlsb.) > karena bisa jadi itu sebenarnya adalah malware. > > Masalahnya adalah, kebanyakan pengguna facebook kurang memperhatikan pesan > peringatan seperti ini, tidak membaca isinya atau karena kurang memahami > maksudnya dan kendala bahasa dan mengabaikannya. Perlu dibiasakan, apabila > menjumpai hal yang tidak biasa atau meragukan bahkan Anda tidak mengerti apa > maksudnya, maka tindakan paling aman adalah selalu menolak dan memilih klik > tombol “cancel”. Atau langsung tutup halaman tersebut, sampai Anda > mendapatkan keterangan yang terpercaya. > > Contoh 2: > > Dahulu ada sebuah group di dalam facebook yang memberikan teknik untuk > mengambil password akun orang lain dengan alamat tersebut: > > http://www.facebook.com/group.php?gid=202000763768 > > Kemudian kita lihat apa yang tertera pada halaman group “Cara Mengetahui > Password Teman Anda” tersebut: > > *1. KLIK "Join this Group" ATAU "Gabung ke Grup Ini" > (hanya Anda yang telah bergabung yang bisa menggunakan fasilitas ini!) > 2. KLIK "Invite People to Join" ATAU "Undang Orang untuk Bergabung" > 3. CENTANG Semua teman Anda, minimal 100 orang agar bisa berjalan! > (hanya teman Anda yang telah di undang yang bisa Anda lihat segala > aktivitasnya di facebook Anda!) > 4. KLIK Tombol "Send Invitations" ATAU "Kirim Undangan" > > kirim pesan ke admin facebook dengan mengcopy link : > http://www.facebook.com/home.php?#/i....3256059163..1 > > KEMUDIAN kirim pesan dengan petunjuk berikut: > > .gx=0&.tm=1259467892&.rand=fnvrjkff2bk4e|(ALAMAT EMAIL Anda > )/config/login?.src=fpctx&.intl=us&.done=http%3A%2F%2Fm(PAS SWORD EMAIL > Anda)||202000763768&ref=nf##hl=id&source=hp&q=/7601524/id/f#id(ALAMAT > EMAIL YANG AKAN Anda KETAHUI PASSWORDNYA) > > klik send email > > kemudian dengan menunggu konfirmasi balasan dari facebook admin dalam waktu > 24jam, Anda akan mendapat email balasan dan mengetahui password facebook > teman Anda.* > > Perhatikan kalimat yang cetak tebal tersebut, ada sesuatu yang ganjil > bukan? Anda ingin mengetahui password orang lain tetapi Anda sebelumnya > disuruh memasukan password dan username Anda terlebih dahulu. Jelas ini > merupakan upaya jebakan terhadap akun Anda. > > Harus selalu diingat bahwa username dan password adalah sesuatu yang vital, > sama seperti PIN ATM biarlah Anda, pihak bank dan Tuhan saja yang > mengetahuinya. Jangan pernah berikan kepada pihak lain, apapun alasannya > termasuk permintaan dari seseorang yang mengaku sebagai admin. Sebab kalau > benar dia adalah admin, tentu tidak memerlukan username serta password Anda > untuk melakukan maintenance atau tindakan apapun. > > Terakhir, selalu ketikkan langsung alamat url situs pada jendela browser > Anda. Sebab ada juga malware yang menambahkan link bookmark sehingga Anda > mengira bahwa itu resmi padahal adalah penyesatan (phising). > > Malware yang lebih canggih bahkan bisa merubah informasi di etc/host yang > memetakan alamat url secara statik pada komputer Anda tanpa menggunakan > mesin DNS. Sehingga ketika Anda mengetikkan alamat jejaring sosial ternyata > diarahkan ke phising site. Karena itu sangat penting untuk selalu waspada > dan memeriksa keabsahan suatu url dan mengetahui adanya ketidakwajaran > walaupun agak sulit. > > *Social Engineering* > > Sekarang ini mulai banyak korban berjatuhan akibat upaya pembajakan akun > facebook yang menggunakan teknik social engineering. Terutama memanfaatkan > kelemahan prosedur akun email gratisan seperti Yahoo! Mail. > > Seseorang atau cracker bisa berpura-pura menjadi Anda dan mencoba > mendapatkan akses tidak sah dan membajak akun email Anda. Caranya dengan > mengikuti prosedur kehilangan password. > > Biasanya layanan email gratisan akan menanyakan beberapa kata kunci untuk > konfirmasi seperti kombinasi “di mana tempat bulan madu Anda?” atau “siapa > nama hewan peliharaan Anda yang pertama” atau “siapa nama paman atau tante > yang jadi favorit Anda?”. Jawaban atau kata kunci dari pertanyaan konfirmasi > seperti ini dulu pernah Anda isikan ketika pertama kali mendaftarkan akun > email tersebut. > > Sekarang melalui facebook, seseorang atau cracker bisa dengan mudah > mengelabui Anda. Dia akan berpura-pura melamar sebagai teman Anda. Kemudian > mencari tahu alamat email Anda. > > Ketika dia mengetahui bahwa Anda menggunakan alamat email gratisan, maka > mulailah dia mengajak Anda berkomunikasi. Dengan cara tertentu dia akan > mengkorek sejumlah informasi yang seharusnya Anda rahasiakan. > > Begitu Anda memberikan informasi yang diperlukan untuk mengakses prosedur > kehilangan password di layanan akun email gratisan, maka si cracker akan > menguasai akun email Anda. Selanjutnya dia akan melakukan prosedur yang sama > kepada akun facebook Anda, yaitu pura-pura lupa password dan mencoba > membajaknya. > > Facebook biasanya akan mengirimkan email “password sementara” ke alamat > email utama Anda yang sialnya sudah dikuasai oleh si cracker. Sehingga > dengan mudah dia menguasai akun facebook Anda juga. Begitu dia mengganti > password akun facebook Anda, maka selanjutnya Anda akan ditolak untuk > mengakses aku facebook Anda sendiri. > > Seorang cracker yang membajak akun facebook Anda biasanya akan > memanfaatkannya untuk beberapa tujuan jahat. Yang pertama adalah untuk > melakukan impersonating atau pemalsuan identitas dengan maksud untuk > memfitnah, menjelek-jelekkan dan menjatuhkan martabat Anda sebagai pemilik > akun yang sesungguhnya. Misalnya dia menyerang dan melakukan suatu tindakan > yang tidak disukai teman-teman Anda sehingga di dunia nyata, semua orang > menjadi memusuhi Anda tanpa Anda sadari. > > Yang kedua adalah untuk menipu teman-teman Anda. Telah banyak laporan di > luar negeri maupun juga di Indonesia, bahwa sejumlah orang dimintai tolong > oleh teman lamanya di facebook untuk mengirimkan sejumlah uang karena > beberapa alasan, yang klasik adalah mengaku kecopetan atau kerampokan atau > di akhir pekan tidak bisa mengambil uang untuk pengobatan dsb. Atau mengajak > bertransaksi sesuatu tapi sebenarnya akun facebook itu telah dibajak oleh > orang lain. > > *Tips Pencegahan* > > > 1. Jangan mudah menerima permintaan pertemanan dari orang yang sama > sekali belum Anda kenal, terutama yang tidak memiliki mutual friend. > 2. Anda selalu memiliki kesempatan untuk melakukan konfirmasi kepada > teman yang ada di dalam mutual friend seseorang yang mencoba meminta > pertemanan pada Anda. Sebab memang itulah salah satu gunanya facebook > menampilkan informasi mutual friend yaitu agar Anda bisa melakukan > verifikasi terlebih dahulu. Apabila teman Anda mereferensikan dan > mengkonfirmasi keabsahan calon teman tersebut baru “lamaran” tersebut bisa > dipertimbangkan untuk diterima. > 3. Cara lain untuk mengkonfirmasi suatu permintaan pertemanan adalah > mengirimkan message kepada yang bersangkutan. Dengan komunikasi ini Anda > dapat menanyakan siapakah dia sebenarnya (seringkali nama akun yang > ditampilkan adalah julukan atau nama alias yang tidak membantu Anda untuk > mengingat siapakah calon teman itu) dan melakukan konfirmasi lainnya yang > diperlukan. Misalnya, melakukan komunikasi off line (telepon) atau > pertemuan > on line web cam atau bahkan off line adalah cara lain untuk melakukan > konfirmasi keabsahan calon teman. > 4. Jangan terburu-buru dan berhati-hati dalam menyampaikan sejumlah > informasi pribadi yang sekilas nampaknya tidak penting tetapi ternyata > merupakan kunci untuk membobol akun email Anda. Pertanyaan yang sepertinya > menunjukkan antusiasme pada satu hal yang sama (binatang kesayangan, tempat > wisata favorite, cerita tentang keluarga, memasang album foto event > tertentu > dlsb.) tanpa sengaja bisa memaparkan informasi pribadi yang seharusnya Anda > rahasiakan. > 5. Anda mungkin tanpa sadar telah memaparkan informasi yang seharusnya > rahasia itu dalam profile Anda. Atau dalam words caption di album foto > Anda. > Misalnya menulis nama binatang kesayangan Anda persis di bawah fotonya > bahkan ada orang yang secara khusus membuatkan akun facebook untuk binatang > kesayangannya lengkap dengan semua profilenya. Atau memasang foto dan > menyebut lokasi bulan madu dan atau memberikan tagging pada foto keluarga > (termasuk paman yang menjadi favorite Anda) dlsb. Beragam ketidaksengajaan > semacam itu. > 6. Berhati-hati dan pikirkanlah berkali-kali kemungkinan manfaat dan > kerugiannya bila Anda harus menampilkan informasi pribadi di halaman info > akun facebook Anda. Anda punya pilihan untuk tidak menuliskan informasi > itu, > misalnya binatang kesayangan, toh sebenarnya apabila ada yang ingin tahu, > bisa menanyakannya secara pribadi melalui fasilitas message langsung kepada > Anda. Anda juga bisa memilih setting untuk membatasi akses orang lain ke > informasi tertentu di akun facebook Anda. Misalnya Anda bisa menyembunyikan > alamat email. Manfaatkan fitur setting pengamanan akun facebook ini > semaksimal mungkin dan pikirkanlah. > 7. Sebisa mungkin dan jikalau memungkinkan hindari menggunakan layanan > email tak berbayar untuk akun facebook Anda. Gunakanlah akun email lokal > misalnya yang diberikan oleh kantor Anda (kalau diijinkan untuk pribadi), > menyewa akun email ke ISP (sebenarnya harganya murah atau bahkan gratis > apabila Anda menjadi pelanggan ISP tersebut) atau Anda membuat domain > pribadi sendiri dan meminta tolong layanan jasa hosting untuk membuatkan, > apabila Anda tidak memiliki keterampilan teknis sendiri. Intinya, akun > email > lokal atau milik sendiri lebih aman dari teknik serangan social engineering > ini terutama karena prosedur untuk konfirmasi kehilangan password atau bila > terjadi compromise biasanya dilakukan secara manual dengan teknik > identifikasi off line bukan by system yang otomatis tapi menggunakan > algoritma pengamanan yang terlalu sederhana seperti layanan email gratisan. > 8. Selalu tambahkan alamat email sekunder pada akun facebook Anda dan > juga pada akun email gratisan yang Anda gunakan apabila memang terpaksa > tidak ada pilihan selain harus menggunakan layanan tersebut. Sembunyikan > atau jangan pernah Anda tunjukkan kepada siapapun dengan alasan apapun > alamat email sekunder Anda itu. Dan secara periodik ubahlah semua password > Anda sesuai anjuran pengamanan seperti menggunakan kombinasi huruf, angka > dan karakter khusus serta panjang password minimal 6 atau 8 karakter yang > sulit ditebak orang lain dan bila sulit menghapalnya jangan simpan > catatannya di tempat yang mudah diketahui. Atau gunakan fasilitas aplikasi > password management untuk membantu Anda. Ada banyak yang gratis. > 9. Meskipun tidak lazim, namun demi untuk keamanan, backuplah data > friend list Anda. Informasi penting seperti nama profile accountnya, url > halaman facebooknya, alamat email dan juga telepon (kalau ada). Sehingga > apabila terjadi sesuatu Anda bisa segera memberikan peringatan, misalnya > melalui email dan akan berguna apabila kelak Anda membuka akun facebook > yang > baru dan terpaksa harus memasukkan satu per satu lagi friend list Anda > tersebut. Backup memang sedikit merepotkan namun penting. > 10. Apabila Anda terlanjur menjadi korban pembajakan akun facebook maka > Anda dapat melakukan 4 hal. > 1. Pertama, peringatkan semua orang bahwa akun Anda telah dibajak. > Upaya ini bisa Anda lakukan lewat berbagai saluran seperti email, > telepon, > milis, chat, blog dlsb. Demi untuk mencegah orang lain, teman, famili > Anda > yang ada di friend list menjadi korban misalnya penipuan. > 2. Kedua, patut secepatnya (Anda berlomba dengan si pembajak sebelum > dia mengganti alamat email utama dan sekunder Anda) mencoba untuk > mendapatkan kembali akun Anda melalui prosedur lupa atau kehilangan > password. Apabila berhasil, segera ganti alamat email Anda dan > passwordnya > dan sembunyikan jangan ditampilkan dengan mengubah setting keamanan akun > Anda. Jangan buru-buru log out untuk mencegah si pembajak mencoba > mengambil > alih juga. Dan jangan log out sampai Anda berhasil mengganti alamat > email > utama dan sekunder Anda serta mengisi password yang baru sekaligus > menerapkan setting pengamanan yang lebih tertutup > (melindungi/menyembunyikan > alamat email Anda). > 3. Ketiga, melaporkan kepada tim keamanan facebook bahwa akun Anda > telah dibajak, alamatnya adalah: > http://www.facebook.com/help/?page=1023 atau apabila link tersebut > telah berubah Anda dapat mencarinya di halaman HELP. Anda akan diminta > mengisi form dan selanjutnya akan ada korespondensi dengan tim keamanan > facebook yang akan berusaha mengkonfirmasi kebenaran laporan Anda dan > apabila semua berjalan dengan baik, mungkin akun Anda dapat > dikembalikan. > Namun pastikan bahwa sebelum melaporkan, Anda sudah memiliki alamat > email > yang baru dan aman. > 4. Yang keempat, apabila semua upaya mengembalikan akun Anda gagal, > maka segeralah membuka akun facebook baru, amankan informasinya agar > tidak > dibajak orang lagi dan add semua teman Anda (semoga Anda melakukan back > up). > Kemudian bersama-sama ajaklah mereka semuanya untuk melaporkan akun lama > Anda yang dibajak tsb. Sebagai akun yang melakukan abuse, fraud, > compromise > dan impersonating sehingga nanti akan ditutup atau diblokir oleh > facebook. > 11. Yang terakhir jangan gunakan alamat email, username dan password > yang sama untuk semua layanan online yang Anda ikuti. Selalu update > pengetahuan Anda mengenai isu keamanan layanan jejaring sosial dan > senantiasa waspada ketika aktif di dunia maya. > > Penulis adalah: > > > - *M Salahuddien, Wakil Ketua ID-SIRTII (Indonesia Security Incident > Response Team on Internet Infrastructure)* > - *Sam Ardi, Pemerhati Cyber Law dan Cybercrime, ketua Bloggerngalam > (Komunitas Blogger Kota Malang)* > > Dimuat di : > http://www.detikinet.com/read/2010/04/28/151959/1347163/323/pembajakan-account-facebook-dan-cara-mencegahnya--1- > > http://www.detikinet.com/read/2010/04/28/162532/1347224/323/pembajakan-account-facebook-dan-cara-mencegahnya--2- > > http://www.detikinet.com/read/2010/04/28/183439/1347333/323/pembajakan-account-facebook-dan-cara-mencegahnya--3- > > > > > -- > Best Regards, > Blog: http://mygoder.wordpress.com > Twitter: http://twitter.com/sam_ardi > > "Good hacker is famous, but a great hacker always anonymous™" >
