barisan sponsor

Senin, 17 Mei 2010

Pembajakan Account Facebook dan Cara Mencegahnya

Di beberapa social networking lainnya, seperti twitter dan plurk sempat dilaporkan kejadian yang sama pernah terjadi. Username dan password tiba-tiba tidak cocok dikarenakan sesuatu hal, atau dapat kita ambil benang merah, password mereka ada yang mengganti.
Apakah ada suatu teknik kracking untuk membobol akun facebook antar individu? Jawabannya ada beberapa. Lalu pertanyaan selanjutnya adalah, apakah ada teknik untuk melumpuhkan akun facebook atau social networking lainnya?
Teknik yang terungkap untuk menyerang akun facebook adalah dengan membanjiri data pada server facebook dengan teknik biasa dikenal dengan Distributed Denial of Service sehingga server lumpuh selama beberapa jam seperti yang terjadi pada facebook dan twitter tahun 2009 oleh kracker dari Rusia. Kemungkinan seperti ini perlu kita waspadai.
Cara pertama menggunakan keylogger adalah cara efektif bagi para kracker untuk mencuri password dari akun facebook anda. Dengan menginstall software keylogger pada notebook maupun PC sasaran, maka otomatis segala bentuk ketukan pada keyboard maupun aktivitas browsing anda akan terekam dengan detail dan sistematis.

Sehingga jika anda mengetikan password dan username pada notebook atau PC yang telah dipasangi keylogger, anda dengan penuh kerelaan hati telah menyerahkan data pribadi sensitif tersebut pada orang yang memasangnya, karena keylogger ibarat kertas karbon yang akan membuat salinan tentang sesuatu yang ditulis diatasnya.

Keylogger biasanya dipasang oleh kracker pada terminal akses internet publik yang berbagi pakai seperti di warnet dan kampus. Maka berhati-hatilah ketika menggunakan akses seperti ini.

Pertama, jangan langsung menggunakan terminal melainkan lakukan restart.
Kedua, coba cek apakah ada aplikasi tersembunyi yang berjalan di memori background, anda bisa gunakan tools event task manager (tekan tombol ctrl + alt + del pada desktop windows anda) dan perhatikan apakah ada aplikasi atau proses yang tidak biasa? Memang anda perlu sedikit belajar dan membiasakan hal ini demi keamanan anda sendir
Ketiga, cek setting keamanan pada browser yang anda gunakan apakah secara otomatis merekam username dan password? Sebaiknya matikan fitur ini dan apabila ada fitur anti phising site bisa diaktifkan.
Keempat, bersihkan/hapus cache dan history secara otomatis setiap kali menutup browser. Ini bisa anda lakukan pada setting browser
Kelima, pastikan bahwa setiap selesai melakukan kegiatan anda selalu log out dengan sempurna.


Teknik kedua adalah dengan menggunakan tools yang biasa digunakan sniffing seperti Cain and Abel pada area yang terkoneksi WiFi jadi tools tersebut memang “mencari aktifitas” pada laptop-laptop yang terkoneksi. Maka anda harus berhati-hati juga apabila sedang mobile dan mengakses HotSpot.

Pada prinsipnya akses wireless sangat mudah untuk diintip. Jangan begitu saja mempercayai SSID “Free WiFi atau Free HotSpot” saat anda scanning wireless network. Yang paling aman adalah bertanya pada pengelola HotSpot area tersebut apa SSID yang resmi? Kemudian setting akses wireless pada
notebook anda untuk tidak “auto connect” melainkan harus manual agar anda bisa meneliti terlebih dahulu.

Ketika anda melakukan akses dari jaringan WiFi HotSpot sebaiknya hindarkan transaksi pada situs yang kritis seperti e-banking, akses email, akun jejaring sosial dlsb. Browsing hal yang umum saja kecuali anda yakin benar bahwa tidak ada yang berusaha mengintip aktivitas anda dan jaringan tersebut bisa dipercaya.

Meskipun demikian, pastikan bahwa anda selalu akses dengan memilih mode secure connection yaitu menggunakan HTTPS yang biasanya ditandai dengan munculnya icon gembok terkunci pada browser anda. Dengan akses HTTPS ini maka antara anda dengan server layanan yang diakses telah dilindungi dengan enkripsi sehingga tidak mudah diintip oleh orang yang tidak berhak. Pastikan anda sudah masuk ke mode secure sebelum memasukkan username dan password atau PIN.

Cara ketiga adalah dengan mengklik url yang diberikan oleh aplikasi facebook maupun via email yang mengatasnamakan facebook. Atau menjebak Anda dengan tawaran aplikasi asing pada facebook merupakan aplikasi yang lepas dari maintenance facebook sendiri.

Aplikasi tersebut dapat dibuat oleh siapa saja dan kapan saja dan random sifatnya. Untuk mencuri username dan password tersebut, biasanya korban disuruh mengakses link tersebut dan diperintahkan memberikan password dan usernamenya.

Perhatikan contoh berikut:
Anda diminta untuk mengakses link tertentu: 

Namun ketika Anda mengkliknya Anda harus log in dahulu di halaman tersebut, padahal Anda sebelumnya sudah log ini terlebih dahulu. Jangan pernah Anda masukan username ataupun password jika Anda menemui hal janggal seperti ini, karena dapat diindikasikan hal tersebut adalah phising dengan menggunakan fake log in facebook 

perhatikan screenshoot di bawah:
<http://www.facebook.com/photo.php?pi...&subj=38658593 2410&aid=-1&auser=0&oid=386585932410&id=1064919678>

Ada sesuatu yang janggal, Anda sudah log in sebelumnya dan ketika Anda mengakses link di atas Anda disuruh log in kedua kalinya. Jelas ini adalah bentuk phishing di mana sang pencuri password menipu Anda dengan mendesain halaman “orisinil” dari facebook. Perhatikan dengan baik-baik url pada kolom tempat Anda memasukan url, agar tidak menjadi korban. Dan perhatikan apabila Anda mendapatkan peringatan dari facebook semacam ini:
<http://www.facebook.com/photo.php?pi...&subj=38658593 2410&aid=-1&auser=0&oid=386585932410&id=1064919678>

Munculnya halaman peringatan facebook ini menandakan bahwa Anda sebenarnya sedang mengakses situs (url) lain di luar web site resmi facebook, sehingga Anda perlu berhati-hati dan jangan pernah memberikan apabila diminta memasukkan ulang username dan password atau jangan pernah melakukan bila diminta mendownload suatu software, program, aplikasi atau dokumen tertentu yang sekilas nampaknya berguna atau menarik (misalnya games, tools dlsb.) karena bisa jadi itu sebenarnya adalah malware.

Masalahnya adalah, kebanyakan pengguna facebook kurang memperhatikan pesan peringatan seperti ini, tidak membaca isinya atau karena kurang memahami maksudnya dan kendala bahasa dan mengabaikannya. Perlu dibiasakan, apabila menjumpai hal yang tidak biasa atau meragukan bahkan Anda tidak mengerti apa maksudnya, maka tindakan paling aman adalah selalu menolak dan memilih klik tombol “cancel”. Atau langsung tutup halaman tersebut, sampai Anda mendapatkan keterangan yang terpercaya.

 Contoh 2:
Dahulu ada sebuah group di dalam facebook yang memberikan teknik untuk mengambil password akun orang lain dengan alamat tersebut:

Kemudian kita lihat apa yang tertera pada halaman group “Cara Mengetahui Password Teman Anda” tersebut:
1. KLIK "Join this Group" ATAU "Gabung ke Grup Ini" (hanya Anda yang telah bergabung yang bisa menggunakan fasilitas ini!)
2. KLIK "Invite People to Join" ATAU "Undang Orang untuk Bergabung"
3. CENTANG Semua teman Anda, minimal 100 orang agar bisa berjalan! (hanya teman Anda yang telah di undang yang bisa Anda lihat segala
aktivitasnya di facebook Anda!)
4. KLIK Tombol "Send Invitations" ATAU "Kirim Undangan"

kirim pesan ke admin facebook dengan mengcopy link :
http://www.facebook.com/home.php?#/i....3256059163..1

KEMUDIAN kirim pesan dengan petunjuk berikut:

.gx=0&.tm=1259467892&.rand=fnvrjkff2bk4e|(ALAMAT EMAIL Anda)/config/login?.src=fpctx&.intl=us&.done=http%3A%2F%2Fm(PAS SWORD EMAIL Anda)||202000763768&ref=nf##hl=id&source=hp&q=/7601524/id/f#id(ALAMAT EMAIL YANG AKAN Anda KETAHUI PASSWORDNYA)

klik send email

kemudian dengan menunggu konfirmasi balasan dari facebook admin dalam waktu 24jam, Anda akan mendapat email balasan dan mengetahui password facebook teman Anda.*

Perhatikan kalimat yang cetak tebal tersebut, ada sesuatu yang ganjil bukan? Anda ingin mengetahui password orang lain tetapi Anda sebelumnya disuruh memasukan password dan username Anda terlebih dahulu. Jelas ini merupakan upaya jebakan terhadap akun Anda.

Harus selalu diingat bahwa username dan password adalah sesuatu yang vital, sama seperti PIN ATM biarlah Anda, pihak bank dan Tuhan saja yang mengetahuinya. Jangan pernah berikan kepada pihak lain, apapun alasannya termasuk permintaan dari seseorang yang mengaku sebagai admin. Sebab kalau benar dia adalah admin, tentu tidak memerlukan username serta password Anda untuk melakukan maintenance atau tindakan apapun.

Terakhir, selalu ketikkan langsung alamat url situs pada jendela browser Anda. Sebab ada juga malware yang menambahkan link bookmark sehingga Anda mengira bahwa itu resmi padahal adalah penyesatan (phising).

Malware yang lebih canggih bahkan bisa merubah informasi di etc/host yang memetakan alamat url secara statik pada komputer Anda tanpa menggunakan mesin DNS. Sehingga ketika Anda mengetikkan alamat jejaring sosial ternyata diarahkan ke phising site. Karena itu sangat penting untuk selalu waspada dan memeriksa keabsahan suatu url dan mengetahui adanya ketidakwajaran walaupun agak sulit.


- *M Salahuddien, Wakil Ketua ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure)*
- *Sam Ardi, Pemerhati Cyber Law dan Cybercrime, ketua Bloggerngalam (Komunitas Blogger Kota Malang)*

0 komentar:

Posting Komentar

kasih komentar anda

jam

Jumlah pengunjung

Laskar X-Pan City

Foto saya
Purwokerto, Jawa Tengah, Indonesia
Dunia telah memberikan arti bagi hidupku. Saya hanyalah anak kampung yang tidak ingin ketinggalan dengan kemajuan teknologi. Bukan saatny orang kampung termarjinalkan. Sekarang adalah saatnya untuk maju. membuka bakat terpendam yang dimiliki oleh orang kampung seperti saya ini.

translate

English French German Spain Italian Dutch Russian Portuguese Japanese Korean Arabic Chinese Simplified

Perjalananku

benerin komputer

tentang skripsi