Beberapa hari ini media memberitakan tentang pencurian password akun
facebook user di beberapa tempat baik di Indonesia maupun luar negeri. Para
korban mengaku setelah log out terakhir kali dan keesokan harinya mencoba
log in ternyata gagal mengakses dengan beberapa alasan seperti “password
dan username tidak cocok” ataupun “akun tidak eksis”.
Di beberapa social networking lainnya, seperti twitter dan plurk sempat
dilaporkan kejadian yang sama pernah terjadi. Username dan password
tiba-tiba tidak cocok dikarenakan sesuatu hal, atau dapat kita ambil benang
merah, password mereka ada yang mengganti.
Apakah ada suatu teknik cracking untuk membobol akun facebook antar
individu? Jawabannya ada beberapa. Lalu pertanyaan selanjutnya adalah,
apakah ada teknik untuk melumpuhkan akun facebook atau social networking
lainnya?
Teknik yang terungkap untuk menyerang akun facebook beberapa waktu lalu
adalah dengan membanjiri data pada server facebook dengan teknik DDOS atau
biasa dikenal dengan Distributed Denial of Service sehingga server lumpuh
selama beberapa jam seperti yang terjadi pada facebook dan twitter tahun
2009 oleh cracker dari Rusia. Kemungkinan seperti ini perlu kita waspadai.
*Keylogger*
Cara pertama menggunakan keylogger adalah cara yang sangat efektif bagi
para
cracker untuk mencuri password dari akun facebook anda. Dengan menginstall
software dan atau hardware keylogger pada notebook maupun PC sasaran, maka
otomatis segala bentuk ketukan pada keyboard maupun aktivitas browsing anda
akan terekam dengan detail dan sistematis.
Sehingga jika anda mengetikan password dan username pada notebook atau PC
yang telah dipasangi keylogger, anda dengan penuh kerelaan hati telah
menyerahkan data pribadi sensitif tersebut pada orang yang memasangnya,
karena keylogger ibarat kertas karbon yang akan membuat salinan tentang
sesuatu yang ditulis diatasnya.
Keylogger biasanya dipasang oleh cracker pada terminal akses internet
publik
yang berbagi pakai seperti di warnet dan kampus. Maka berhati-hatilah
ketika
menggunakan akses seperti ini.
1. Pertama, jangan langsung menggunakan terminal melainkan lakukan restart.
2. Kedua, coba cek apakah ada aplikasi tersembunyi yang berjalan di memori
background, anda bisa gunakan tools event task manager (tekan tombol ctrl +
alt + del pada desktop windows anda) dan perhatikan apakah ada aplikasi
atau
proses yang tidak biasa? Memang anda perlu sedikit belajar dan membiasakan
hal ini demi keamanan anda sendiri.
3. Ketiga, cek setting keamanan pada browser yang anda gunakan apakah
secara
otomatis merekam username dan password? Sebaiknya matikan fitur ini dan
apabila ada fitur anti phising site bisa diaktifkan.
4. Keempat, bersihkan/hapus cache dan history secara otomatis setiap kali
menutup browser. Ini bisa anda lakukan pada setting browser.
5. Kelima, pastikan bahwa setiap selesai melakukan kegiatan anda selalu log
out dengan sempurna.
*Sniffing*
Teknik kedua adalah dengan menggunakan tools yang biasa digunakan sniffing
seperti Cain and Abel pada area yang terkoneksi WiFi jadi tools tersebut
memang “mencari aktifitas” pada laptop-laptop yang terkoneksi. Maka anda
harus berhati-hati juga apabila sedang mobile dan mengakses HotSpot.
Pada prinsipnya akses wireless sangat mudah untuk diintip. Jangan begitu
saja mempercayai SSID “Free WiFi atau Free HotSpot” saat anda scanning
wireless network. Yang paling aman adalah bertanya pada pengelola HotSpot
area tersebut apa SSID yang resmi? Kemudian setting akses wireless pada
notebook anda untuk tidak “auto connect” melainkan harus manual agar anda
bisa meneliti terlebih dahulu.
Ketika anda melakukan akses dari jaringan WiFi HotSpot sebaiknya hindarkan
transaksi pada situs yang kritis seperti e-banking, akses email, akun
jejaring sosial dlsb. Browsing hal yang umum saja kecuali anda yakin benar
bahwa tidak ada yang berusaha mengintip aktivitas anda dan jaringan
tersebut
bisa dipercaya.
Meskipun demikian, pastikan bahwa anda selalu akses dengan memilih mode
secure connection yaitu menggunakan HTTPS yang biasanya ditandai dengan
munculnya icon gembok terkunci pada browser anda. Dengan akses HTTPS ini
maka antara anda dengan server layanan yang diakses telah dilindungi dengan
enkripsi sehingga tidak mudah diintip oleh orang yang tidak berhak.
Pastikan
anda sudah masuk ke mode secure sebelum memasukkan username dan password
atau PIN.
*Phishing*
Cara ketiga adalah dengan mengklik url yang diberikan oleh aplikasi
maupun via email yang mengatasnamakan facebook. Atau menjebak Anda dengan
tawaran aplikasi asing pada facebook merupakan aplikasi yang lepas dari
maintenance facebook sendiri.
Aplikasi tersebut dapat dibuat oleh siapa saja dan kapan saja dan random
sifatnya. Untuk mencuri username dan password tersebut, biasanya korban
disuruh mengakses link tersebut dan diperintahkan memberikan password dan
usernamenya. Perhatikan contoh berikut:
Contoh 1:
Anda diminta untuk mengakses link tertentu:
http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.gir
lcam-facebook.com%2Fapps%2Ffacebook%2Fbookmark%2526a
mp%253bcode2432kn4khkh34&h=f2a5c924ad5de97a77f440ac31753781
Namun ketika Anda mengkliknya Anda harus log in dahulu di halaman tersebut,
padahal Anda sebelumnya sudah log ini terlebih dahulu. Jangan pernah Anda
masukan username ataupun password jika Anda menemui hal janggal seperti
ini,
karena dapat diindikasikan hal tersebut adalah phising dengan menggunakan
fake log in facebook, perhatikan screenshoot di bawah:
http://www.facebook.com/photo.php?pid=30756388&op=1&view=all&subj=386585932410&aid=-1&auser=0&oid=386585932410&id=1064919678
Ada sesuatu yang janggal, Anda sudah log in sebelumnya dan ketika Anda
mengakses link di atas Anda disuruh log in kedua kalinya. Jelas ini adalah
bentuk phishing di mana sang pencuri password menipu Anda dengan mendesain
halaman “orisinil” dari facebook. Perhatikan dengan baik-baik url pada
kolom
tempat Anda memasukan url, agar tidak menjadi korban. Dan perhatikan
apabila
Anda mendapatkan peringatan dari facebook semacam ini:
http://www.facebook.com/photo.php?pid=30756389&op=1&view=all&subj=386585932410&aid=-1&auser=0&oid=386585932410&id=1064919678
Munculnya halaman peringatan facebook ini menandakan bahwa Anda sebenarnya
sedang mengakses situs (url) lain di luar web site resmi facebook, sehingga
Anda perlu berhati-hati dan jangan pernah memberikan apabila diminta
memasukkan ulang username dan password atau jangan pernah melakukan bila
diminta mendownload suatu software, program, aplikasi atau dokumen tertentu
yang sekilas nampaknya berguna atau menarik (misalnya games, tools dlsb.)
karena bisa jadi itu sebenarnya adalah malware.
Masalahnya adalah, kebanyakan pengguna facebook kurang memperhatikan pesan
peringatan seperti ini, tidak membaca isinya atau karena kurang memahami
maksudnya dan kendala bahasa dan mengabaikannya. Perlu dibiasakan, apabila
menjumpai hal yang tidak biasa atau meragukan bahkan Anda tidak mengerti
apa
maksudnya, maka tindakan paling aman adalah selalu menolak dan memilih klik
tombol “cancel”. Atau langsung tutup halaman tersebut, sampai Anda
mendapatkan keterangan yang terpercaya.
Contoh 2:
Dahulu ada sebuah group di dalam facebook yang memberikan teknik untuk
mengambil password akun orang lain dengan alamat tersebut:
http://www.facebook.com/group.php?gid=202000763768
Kemudian kita lihat apa yang tertera pada halaman group “Cara Mengetahui
Password Teman Anda” tersebut:
*1. KLIK "Join this Group" ATAU "Gabung ke Grup Ini"
(hanya Anda yang telah bergabung yang bisa menggunakan fasilitas ini!)
2. KLIK "Invite People to Join" ATAU "Undang Orang untuk Bergabung"
3. CENTANG Semua teman Anda, minimal 100 orang agar bisa berjalan!
(hanya teman Anda yang telah di undang yang bisa Anda lihat segala
aktivitasnya di facebook Anda!)
4. KLIK Tombol "Send Invitations" ATAU "Kirim Undangan"
kirim pesan ke admin facebook dengan mengcopy link :
http://www.facebook.com/home.php?#/i....3256059163..1
KEMUDIAN kirim pesan dengan petunjuk berikut:
.gx=0&.tm=1259467892&.rand=fnvrjkff2bk4e|(ALAMAT EMAIL Anda
)/config/login?.src=fpctx&.intl=us&.done=http%3A%2F%2Fm(PAS SWORD EMAIL
Anda
)||202000763768&ref=nf##hl=id&source=hp&q=/7601524/id/f#id(ALAMAT EMAIL
YANG
AKAN Anda KETAHUI PASSWORDNYA)
klik send email
kemudian dengan menunggu konfirmasi balasan dari facebook admin dalam waktu
24jam, Anda akan mendapat email balasan dan mengetahui password facebook
teman Anda.*
Perhatikan kalimat yang cetak tebal tersebut, ada sesuatu yang ganjil
bukan?
Anda ingin mengetahui password orang lain tetapi Anda sebelumnya disuruh
memasukan password dan username Anda terlebih dahulu. Jelas ini merupakan
upaya jebakan terhadap akun Anda.
Harus selalu diingat bahwa username dan password adalah sesuatu yang vital,
sama seperti PIN ATM biarlah Anda, pihak bank dan Tuhan saja yang
mengetahuinya. Jangan pernah berikan kepada pihak lain, apapun alasannya
termasuk permintaan dari seseorang yang mengaku sebagai admin. Sebab kalau
benar dia adalah admin, tentu tidak memerlukan username serta password Anda
untuk melakukan maintenance atau tindakan apapun.
Terakhir, selalu ketikkan langsung alamat url situs pada jendela browser
Anda. Sebab ada juga malware yang menambahkan link bookmark sehingga Anda
mengira bahwa itu resmi padahal adalah penyesatan (phising).
Malware yang lebih canggih bahkan bisa merubah informasi di etc/host yang
memetakan alamat url secara statik pada komputer Anda tanpa menggunakan
mesin DNS. Sehingga ketika Anda mengetikkan alamat jejaring sosial ternyata
diarahkan ke phising site. Karena itu sangat penting untuk selalu waspada
dan memeriksa keabsahan suatu url dan mengetahui adanya ketidakwajaran
walaupun agak sulit.
*Social Engineering*
Sekarang ini mulai banyak korban berjatuhan akibat upaya pembajakan akun
facebook yang menggunakan teknik social engineering. Terutama memanfaatkan
kelemahan prosedur akun email gratisan seperti Yahoo! Mail.
Seseorang atau cracker bisa berpura-pura menjadi Anda dan mencoba
mendapatkan akses tidak sah dan membajak akun email Anda. Caranya dengan
mengikuti prosedur kehilangan password.
Biasanya layanan email gratisan akan menanyakan beberapa kata kunci untuk
konfirmasi seperti kombinasi “di mana tempat bulan madu Anda?” atau “siapa
nama hewan peliharaan Anda yang pertama” atau “siapa nama paman atau tante
yang jadi favorit Anda?”. Jawaban atau kata kunci dari pertanyaan
konfirmasi
seperti ini dulu pernah Anda isikan ketika pertama kali mendaftarkan akun
email tersebut.
Sekarang melalui facebook, seseorang atau cracker bisa dengan mudah
mengelabui Anda. Dia akan berpura-pura melamar sebagai teman Anda. Kemudian
mencari tahu alamat email Anda.
Ketika dia mengetahui bahwa Anda menggunakan alamat email gratisan, maka
mulailah dia mengajak Anda berkomunikasi. Dengan cara tertentu dia akan
mengkorek sejumlah informasi yang seharusnya Anda rahasiakan.
Begitu Anda memberikan informasi yang diperlukan untuk mengakses prosedur
kehilangan password di layanan akun email gratisan, maka si cracker akan
menguasai akun email Anda. Selanjutnya dia akan melakukan prosedur yang
sama
kepada akun facebook Anda, yaitu pura-pura lupa password dan mencoba
membajaknya.
Facebook biasanya akan mengirimkan email “password sementara” ke alamat
email utama Anda yang sialnya sudah dikuasai oleh si cracker. Sehingga
dengan mudah dia menguasai akun facebook Anda juga. Begitu dia mengganti
password akun facebook Anda, maka selanjutnya Anda akan ditolak untuk
mengakses aku facebook Anda sendiri.
Seorang cracker yang membajak akun facebook Anda biasanya akan
memanfaatkannya untuk beberapa tujuan jahat. Yang pertama adalah untuk
melakukan impersonating atau pemalsuan identitas dengan maksud untuk
memfitnah, menjelek-jelekkan dan menjatuhkan martabat Anda sebagai pemilik
akun yang sesungguhnya. Misalnya dia menyerang dan melakukan suatu tindakan
yang tidak disukai teman-teman Anda sehingga di dunia nyata, semua orang
menjadi memusuhi Anda tanpa Anda sadari.
Yang kedua adalah untuk menipu teman-teman Anda. Telah banyak laporan di
luar negeri maupun juga di Indonesia, bahwa sejumlah orang dimintai tolong
oleh teman lamanya di facebook untuk mengirimkan sejumlah uang karena
beberapa alasan, yang klasik adalah mengaku kecopetan atau kerampokan atau
di akhir pekan tidak bisa mengambil uang untuk pengobatan dsb. Atau
mengajak
bertransaksi sesuatu tapi sebenarnya akun facebook itu telah dibajak oleh
orang lain.
*Tips Pencegahan*
1. Jangan mudah menerima permintaan pertemanan dari orang yang sama
sekali belum Anda kenal, terutama yang tidak memiliki mutual friend.
2. Anda selalu memiliki kesempatan untuk melakukan konfirmasi kepada
teman yang ada di dalam mutual friend seseorang yang mencoba meminta
pertemanan pada Anda. Sebab memang itulah salah satu gunanya facebook
menampilkan informasi mutual friend yaitu agar Anda bisa melakukan
verifikasi terlebih dahulu. Apabila teman Anda mereferensikan dan
mengkonfirmasi keabsahan calon teman tersebut baru “lamaran” tersebut bisa
dipertimbangkan untuk diterima.
3. Cara lain untuk mengkonfirmasi suatu permintaan pertemanan adalah
mengirimkan message kepada yang bersangkutan. Dengan komunikasi ini Anda
dapat menanyakan siapakah dia sebenarnya (seringkali nama akun yang
ditampilkan adalah julukan atau nama alias yang tidak membantu Anda untuk
mengingat siapakah calon teman itu) dan melakukan konfirmasi lainnya yang
diperlukan. Misalnya, melakukan komunikasi off line (telepon) atau
pertemuan
on line web cam atau bahkan off line adalah cara lain untuk melakukan
konfirmasi keabsahan calon teman.
4. Jangan terburu-buru dan berhati-hati dalam menyampaikan sejumlah
informasi pribadi yang sekilas nampaknya tidak penting tetapi ternyata
merupakan kunci untuk membobol akun email Anda. Pertanyaan yang sepertinya
menunjukkan antusiasme pada satu hal yang sama (binatang kesayangan, tempat
wisata favorite, cerita tentang keluarga, memasang album foto event
tertentu
dlsb.) tanpa sengaja bisa memaparkan informasi pribadi yang seharusnya Anda
rahasiakan.
5. Anda mungkin tanpa sadar telah memaparkan informasi yang seharusnya
rahasia itu dalam profile Anda. Atau dalam words caption di album foto
Anda.
Misalnya menulis nama binatang kesayangan Anda persis di bawah fotonya
bahkan ada orang yang secara khusus membuatkan akun facebook untuk binatang
kesayangannya lengkap dengan semua profilenya. Atau memasang foto dan
menyebut lokasi bulan madu dan atau memberikan tagging pada foto keluarga
(termasuk paman yang menjadi favorite Anda) dlsb. Beragam ketidaksengajaan
semacam itu.
6. Berhati-hati dan pikirkanlah berkali-kali kemungkinan manfaat dan
kerugiannya bila Anda harus menampilkan informasi pribadi di halaman info
akun facebook Anda. Anda punya pilihan untuk tidak menuliskan informasi
itu,
misalnya binatang kesayangan, toh sebenarnya apabila ada yang ingin tahu,
bisa menanyakannya secara pribadi melalui fasilitas message langsung kepada
Anda. Anda juga bisa memilih setting untuk membatasi akses orang lain ke
informasi tertentu di akun facebook Anda. Misalnya Anda bisa menyembunyikan
alamat email. Manfaatkan fitur setting pengamanan akun facebook ini
semaksimal mungkin dan pikirkanlah.
7. Sebisa mungkin dan jikalau memungkinkan hindari menggunakan layanan
email tak berbayar untuk akun facebook Anda. Gunakanlah akun email lokal
misalnya yang diberikan oleh kantor Anda (kalau diijinkan untuk pribadi),
menyewa akun email ke ISP (sebenarnya harganya murah atau bahkan gratis
apabila Anda menjadi pelanggan ISP tersebut) atau Anda membuat domain
pribadi sendiri dan meminta tolong layanan jasa hosting untuk membuatkan,
apabila Anda tidak memiliki keterampilan teknis sendiri. Intinya, akun
lokal atau milik sendiri lebih aman dari teknik serangan social engineering
ini terutama karena prosedur untuk konfirmasi kehilangan password atau bila
terjadi compromise biasanya dilakukan secara manual dengan teknik
identifikasi off line bukan by system yang otomatis tapi menggunakan
algoritma pengamanan yang terlalu sederhana seperti layanan email gratisan.
8. Selalu tambahkan alamat email sekunder pada akun facebook Anda dan
juga pada akun email gratisan yang Anda gunakan apabila memang terpaksa
tidak ada pilihan selain harus menggunakan layanan tersebut. Sembunyikan
atau jangan pernah Anda tunjukkan kepada siapapun dengan alasan apapun
alamat email sekunder Anda itu. Dan secara periodik ubahlah semua password
Anda sesuai anjuran pengamanan seperti menggunakan kombinasi huruf, angka
dan karakter khusus serta panjang password minimal 6 atau 8 karakter yang
sulit ditebak orang lain dan bila sulit menghapalnya jangan simpan
catatannya di tempat yang mudah diketahui. Atau gunakan fasilitas aplikasi
password management untuk membantu Anda. Ada banyak yang gratis.
9. Meskipun tidak lazim, namun demi untuk keamanan, backuplah data friend
list Anda. Informasi penting seperti nama profile accountnya, url halaman
facebooknya, alamat email dan juga telepon (kalau ada). Sehingga apabila
terjadi sesuatu Anda bisa segera memberikan peringatan, misalnya melalui
email dan akan berguna apabila kelak Anda membuka akun facebook yang baru
dan terpaksa harus memasukkan satu per satu lagi friend list Anda tersebut.
Backup memang sedikit merepotkan namun penting.
10. Apabila Anda terlanjur menjadi korban pembajakan akun facebook maka
Anda dapat melakukan 4 hal.
1. Pertama, peringatkan semua orang bahwa akun Anda telah dibajak. Upaya
ini bisa Anda lakukan lewat berbagai saluran seperti email,
telepon, milis,
chat, blog dlsb. Demi untuk mencegah orang lain, teman, famili
Anda yang ada
di friend list menjadi korban misalnya penipuan.
2. Kedua, patut secepatnya (Anda berlomba dengan si pembajak sebelum
dia mengganti alamat email utama dan sekunder Anda) mencoba untuk
mendapatkan kembali akun Anda melalui prosedur lupa atau kehilangan
password. Apabila berhasil, segera ganti alamat email Anda dan
passwordnya
dan sembunyikan jangan ditampilkan dengan mengubah setting keamanan akun
Anda. Jangan buru-buru log out untuk mencegah si pembajak
mencoba mengambil
alih juga. Dan jangan log out sampai Anda berhasil mengganti alamat email
utama dan sekunder Anda serta mengisi password yang baru sekaligus
menerapkan setting pengamanan yang lebih tertutup
(melindungi/menyembunyikan
alamat email Anda).
3. Ketiga, melaporkan kepada tim keamanan facebook bahwa akun Anda
telah dibajak, alamatnya adalah:
http://www.facebook.com/help/?page=1023 atau apabila link tersebut
telah berubah Anda dapat mencarinya di halaman HELP. Anda akan diminta
mengisi form dan selanjutnya akan ada korespondensi dengan tim keamanan
facebook yang akan berusaha mengkonfirmasi kebenaran laporan Anda dan
apabila semua berjalan dengan baik, mungkin akun Anda dapat dikembalikan.
Namun pastikan bahwa sebelum melaporkan, Anda sudah memiliki alamat email
yang baru dan aman.
4. Yang keempat, apabila semua upaya mengembalikan akun Anda gagal,
maka segeralah membuka akun facebook baru, amankan informasinya
agar tidak
dibajak orang lagi dan add semua teman Anda (semoga Anda
melakukan back up).
Kemudian bersama-sama ajaklah mereka semuanya untuk melaporkan akun lama
Anda yang dibajak tsb. Sebagai akun yang melakukan abuse, fraud,
compromise
dan impersonating sehingga nanti akan ditutup atau diblokir oleh facebook.
11. Yang terakhir jangan gunakan alamat email, username dan password yang
sama untuk semua layanan online yang Anda ikuti. Selalu update pengetahuan
Anda mengenai isu keamanan layanan jejaring sosial dan senantiasa waspada
ketika aktif di dunia maya.
Penulis adalah:
- *M Salahuddien, Wakil Ketua ID-SIRTII (Indonesia Security Incident
Response Team on Internet Infrastructure)*
- *Sam Ardi, Pemerhati Cyber Law dan Cybercrime, ketua Bloggerngalam
(Komunitas Blogger Kota Malang)*
No comments:
Post a Comment