Akhir-akhir ini banyak teman-teman saya melapor kepada saya bahwa akun facebook-nya telah dibajak. Mereka mengeluhkan bahwa akun facebooknya tidak bisa dibuka lagi, begitu juga dengan akun emailnya yang didaftarkan pada saat mendaftar di facebook. Sebagian dari mereka juga mengeluhkan bahwa akun facebooknya telah digunakan untuk hal-hal yang tidak senonoh (Misalnya mengeluarkan kata-kata kotor, meng-upload gambar-gambar porno, dan sebagainya). Sebagian dari mereka juga mengeluhkan bahwa chip poker yang mereka gunakan untuk bermain Texas HoldEm Poker juga dicuri oleh si Pembajak.
Sebenarnya, motif para pelaku pembajakan ini tidak jauh-jauh dari pencurian chip poker yang dapat diperdagangkan secara ilegal. Kabarnya, 1M (1.000.000.000) poker dapat dijual seharga 3.000 s/d 6.000. Oleh karena itu, dapat dibayangkan berapa uang yang didapatkan jika si Pembajak berhasil mendapatkan 1T (1000M) chip poker dari salah satu akun facebook yang dibajaknya (yaitu sebesar 3 juta rupiah).
Para pembajak bisa mencari targetnya pada daftar pemain pada aplikasi permainan Poker tsb. Dari daftar tersebut, pembajak lalu mencari orang yang dijadikan target dengan menggunakan Fitur Pencarian Orang pada Facebook. Setelah menemukan orang yang dimaksud, si pembajak lalu mengumpulkan informasi pribadi sebagai modal melanjutkan pekerjaannya.
Beberapa informasi yang biasanya dikumpulkan oleh para pembajak biasanya adalah: alamat email, tanggal lahir, alamat, blog, musik favorit, film favorit, dan yang favorit lainnya. Informasi ini digunakan untuk menebak password facebook maupun password email sang target.
Cara pertama biasanya sang pembajak akan menggunakan informasi tanggal lahir untuk login ke akun facebook sang target. Jika gagal, si pembajak tidak akan kehilangan akal, ia juga akan menggunakan tanggal lahir tersebut untuk membuka email sang target. Setelah berhasil membuka email, ia akan me-reset password sang target.
Cara kedua, sang pembajak menggunakan fasilitas “Forgot Password” yang disediakan oleh penyedia layanan email. Agar dapat mereset password email sang target, saat menggunakan fasilitas ini, sang pembajak akan ditanyai dengan pertanyaan pengaman (security question). Untuk menebak jawaban dari pertanyaan pengaman ini, pembajak juga memanfaatkan informasi pribadi tadi. Sebagai contoh, jika pertanyaan pengaman adalah “Siapa nama belakang musisi favorit anda?” maka pembajak dapat menebaknya dengan informasi musik favorit yang didapatkan sebelumnya. Jika pertanyaan pengaman adalah “Siapa inisial cinta pertama anda?” maka pembajak dapat mencari tahu dari curhat-curhatan sang target yang dipublikasi pada blog pribadinya.
Cara pertama dan kedua ini merupakan cara yang dapat dilakukan oleh siapa saja yakni orang awam sekalipun. Berbeda dengan cara pertama dan kedua, cara selanjutnya yang akan dijelaskan cenderung lebih memanfaatkan daya tipu muslihat, yang sering disebut dengan Social Engineering. Cara ketigalebih mengandalkan sang target agar secara tidak sadar memberitahu password akun facebooknya sendiri. Banyak teknik yang dapat dilakukan, dua diantaranya adalah:
Cara keempat, sang pembajak melakukan sniffing pada jaringan. Jaringan yang dimaksud dapat berupa jaringan Warnet, Kontrakan, Kantor, atau Kampus. Sang pembajak biasanya menggunakansniffing tools (Misalnya Cain & Abel - http://www.oxid.it/cain.html) untuk mengendus paket-paket yang lalu lalang pada jaringan tertentu (http://computer.howstuffworks.com/carnivore2.htm).
Setelah mengetahui beberapa modus yang telah dijelaskan tersebut, sebenarnya ada beberapa tips agar kita dapat terhindar dari serangan tersebut:
Continue reading →
Sebenarnya, motif para pelaku pembajakan ini tidak jauh-jauh dari pencurian chip poker yang dapat diperdagangkan secara ilegal. Kabarnya, 1M (1.000.000.000) poker dapat dijual seharga 3.000 s/d 6.000. Oleh karena itu, dapat dibayangkan berapa uang yang didapatkan jika si Pembajak berhasil mendapatkan 1T (1000M) chip poker dari salah satu akun facebook yang dibajaknya (yaitu sebesar 3 juta rupiah).
Para pembajak bisa mencari targetnya pada daftar pemain pada aplikasi permainan Poker tsb. Dari daftar tersebut, pembajak lalu mencari orang yang dijadikan target dengan menggunakan Fitur Pencarian Orang pada Facebook. Setelah menemukan orang yang dimaksud, si pembajak lalu mengumpulkan informasi pribadi sebagai modal melanjutkan pekerjaannya.
Beberapa informasi yang biasanya dikumpulkan oleh para pembajak biasanya adalah: alamat email, tanggal lahir, alamat, blog, musik favorit, film favorit, dan yang favorit lainnya. Informasi ini digunakan untuk menebak password facebook maupun password email sang target.
Cara pertama biasanya sang pembajak akan menggunakan informasi tanggal lahir untuk login ke akun facebook sang target. Jika gagal, si pembajak tidak akan kehilangan akal, ia juga akan menggunakan tanggal lahir tersebut untuk membuka email sang target. Setelah berhasil membuka email, ia akan me-reset password sang target.
Cara kedua, sang pembajak menggunakan fasilitas “Forgot Password” yang disediakan oleh penyedia layanan email. Agar dapat mereset password email sang target, saat menggunakan fasilitas ini, sang pembajak akan ditanyai dengan pertanyaan pengaman (security question). Untuk menebak jawaban dari pertanyaan pengaman ini, pembajak juga memanfaatkan informasi pribadi tadi. Sebagai contoh, jika pertanyaan pengaman adalah “Siapa nama belakang musisi favorit anda?” maka pembajak dapat menebaknya dengan informasi musik favorit yang didapatkan sebelumnya. Jika pertanyaan pengaman adalah “Siapa inisial cinta pertama anda?” maka pembajak dapat mencari tahu dari curhat-curhatan sang target yang dipublikasi pada blog pribadinya.
Cara pertama dan kedua ini merupakan cara yang dapat dilakukan oleh siapa saja yakni orang awam sekalipun. Berbeda dengan cara pertama dan kedua, cara selanjutnya yang akan dijelaskan cenderung lebih memanfaatkan daya tipu muslihat, yang sering disebut dengan Social Engineering. Cara ketigalebih mengandalkan sang target agar secara tidak sadar memberitahu password akun facebooknya sendiri. Banyak teknik yang dapat dilakukan, dua diantaranya adalah:
- Mengirimkan pemberitahuan palsu, yang mengatasnamakan pihak facebook, bahwa telah terjadi kesalahan sistem dan sebagainya sehingga mengharuskan sang target mengirimkan password-nya. Biasanya pemberitahuan ini dikirimkan melalui private messages.
- Selain mengirimkan pemberitahuan palsu, sang pembajak juga akan menyertakan link menuju halaman fake login (atau phising site) yang merayu sang target login ulang pada halaman fake login tersebut, sehingga informasi loginnya akan tercatat di phising site tersebut.
Cara keempat, sang pembajak melakukan sniffing pada jaringan. Jaringan yang dimaksud dapat berupa jaringan Warnet, Kontrakan, Kantor, atau Kampus. Sang pembajak biasanya menggunakansniffing tools (Misalnya Cain & Abel - http://www.oxid.it/cain.html) untuk mengendus paket-paket yang lalu lalang pada jaringan tertentu (http://computer.howstuffworks.com/carnivore2.htm).
Setelah mengetahui beberapa modus yang telah dijelaskan tersebut, sebenarnya ada beberapa tips agar kita dapat terhindar dari serangan tersebut:
- Jangan menggunakan password yang gampang ditebak.
- Aturlah privasi akun facebook anda agar orang-orang yang tidak dikenal tidak dapat melihat informasi pribadi pada profil facebook anda.
- Untuk menghindari serangan network sniffing, anda dapat menggunakan https (hypertext transfer protocol secure) pada saat login di tempat publik (misalnya, warnet, mall, kantor, dsb.)
