Sabtu, 06 Juni 2009

Tips Menghindari Serangan Account Facebook


Di tengah-tengah maraknya situs jejaring sosial seperti Facebook baru-baru ini, terutama di Indonesia, maka semakin banyak kemungkinan hacker-hacker jahat untuk melakukan hal-hal yang tidak diinginkan pengguna situs tersebut. Meskipun kejahatan sering ditemui di dunia nyata, tetapi di dunia maya pun tidak kalah hebatnya. Kini dengan perkembangan dunia teknologi informasi, banyak tools-tools yang digunakan para penjahat maya untuk melakukan kejahatan. Sebagian dilakukan untuk mencari popularitas, sebagian dilakukan untuk melakukan 'balas dendam' kepada orang-orang yang tidak disukai, dan sebagian lagi hanya untuk sekedar iseng-iseng dengan mencari target yang tak dikenali. Bagaimana pun juga, tindakan tersebut akan merugikan banyak orang, terutama untuk alasan-alasan yang tidak jelas. Akan tetapi, tentu setiap bentuk sistem keamanan sebuah web yang baik akan selalu melakukan update atas celah-celah tersebut untuk menghindari keluhan-keluhan penggunanya di masa mendatang.
Nah, untuk meminimalisir berbagai kemungkinan-kemungkinan tersebut, salah satunya yaitu harus ada upaya aktif dari pengguna itu sendiri untuk tetap waspada. Dalam hal ini, saya akan terlebih dahulu beberapa bentuk kejahatan yang biasa dan populer digunakan hacker jahat Facebook, yaitu :
1. Pencurian User Account dan Password
Teknik ini merupakan teknik yang sering dan umum digunakan para attacker untuk membobol keanggotaan pengguna yang terdaftar dalam sebuah komunitas. Cara yang digunakan yaitu dengan melakukan "defacing" atau membuat halaman kloning yang mirip dengan alamat situs terkait. Hal ini dilakukan untuk mengelabui penggunanya agar login atau masuk dengan mengetikkan user account dan password-nya di situs hasil kloningan tersebut. Padahal si korban secara tidak langsung sedang dicuri accountnya oleh situs tersebut. Sialnya, banyak orang yang sering terkecoh dengan hal ini, terutama untuk kebanyakan orang awam. Selanjutnya, user account dan password korban sesungguhnya telah tersimpan di dalam file log penyimpan secara otomatis, yang biasanya berupa file notepad (.txt). Jika sudah begini, attacker dapat dengan leluasa menyalahgunakan user account si korban tersebut. Betapa bahayanya sebuah privasi orang jika disalahgunakan orang lain.
Bagaimana penyebarannya?
Penyebaran yang dimaksudkan di sini yaitu tentang bagaimana cara attacker menyebarkan alamat situs hasil kloningan yang sudah dibuat. Cara yang sering dilakukan yaitu dengan menggunakan fake mail atau secara awamnya diartikan sebagai email yang isinya membujuk orang lain untuk melakukan/meng-klik link situs jahat tersebut, (sering disebut dengan phising) dimana tampilannya sangat mirip dengan yang aslinya hingga tidak dapat dibedakan antara yang asli dan yang palsu. Selain itu cara penyebaran lainnya yaitu melalui media instant messages, ponsel (email), chat rooms, banner/iklan, milis, lowongan kerja palsu, dll. Contoh halaman Facebook palsu sebagai berikut (klik untuk memperbesar):

Bagaimana mengatasinya?
Jika Anda teliti, hal di atas dapat dilakukan dengan melihat alamat yang tampak di address bar browser Anda. Karena pastinya alamat situs yang asli dengan yang palsu berbeda. Hal itu disebabkan bahwa semua alamat yang website yang ada di dunia maya tidak akan mempunyai alamat yang sama, seperti halnya di dunia nyata (setiap rumah mempunyai alamat yang unik). Untuk itulah, pastikan ketika Anda ingin masuk menuju sebuah website (misalnya Facebook), alamat yang tertera selalu facebook.com.
Akan tetapi, masih banyak juga orang yang terkecoh dengan attacker yang cerdas, yaitu dengan menggunakan alamat yang mirip seperti misalnya untuk facebook.com, mereka menggunakan nama-nama untuk mengelabui penggunanya seperti facebook.net, facebook.co.cc, faceboook.com, fasebook.com, faceebook.com, atau nama-nama yang lain, yang sekilas mirip dengan alamat aslinya, padahal berbeda. Untuk itu, sekali lagi pastikan Anda menuju ke alamat situs yang benar, dan jangan lupa, jangan mudah percaya dengan fake email yang sering membujuk Anda dengan hal-hal yang luar biasa, misalnya dalam sebuah fake email, Anda tertulis telah memenangkan undian berhadiah yang jumlahnya menggiurkan dan kemudian Anda disuruh untuk melakukan konfirmasi kepada link yang diberikan.
Menurut pengamatan yang pernah dilakukan penulis, saat ini Facebook sudah mampu mendeteksi suatu halaman facebook yang palsu, artinya ketika seorang korban melakukan login ke halaman palsu tersebut, maka selanjutnya akan tampak sebuah pesan yang menyatakan bahwa si pengguna telah masuk di halaman yang tidak sah/tidak diijinkan dan meminta si korban untuk segera mengganti passwordnya. Oleh karena itu, janganlah takut dalam menghadapi hal semacam ini, karena semua ada jalan keluarnya berkat perkembangan dunia teknologi informasi. Satu hal yang harus dijaga untuk mengatasi serangan ini yaitu tetap waspada dan selalu waspada.

2. Facebook Freeze
Facebook Freeze merupakan sebuah aplikasi sederhana yang mampu menggenerate password si korban. Teknik ini merupakan teknik yang sangat ekstrim. Bagaimana tidak, ketika seseorang yang tidak bertanggung jawab mempunyai alamat email si korban, maka hanya dengan menggunakan satu klik saja, password account si korban akan direset secara random. Alhasil, ketika si korban akan melakukan login ke facebook.com akan muncul konfirmasi yang menyatakan bahwa password Anda tidak sesuai dan Anda diminta untuk melakukan pembuatan kata sandi baru. Berikut contoh tampilan aplikasi Facebook Freeze :


Tampak dalam screenshoot di atas terdapat terdapat tombol Freeze yang berarti jika di-klik (muncul progress freezing ketika memproses) akan mereset password si korban sesuai dengan alamat email yang dimasukkan. Password si korban masih akan ter-freeze sebelum seseorang menekan tombol Stop Freezing dengan alamat email yang sama. Apabila tombol Stop Freezing di-klik dengan email yang sebelumnya ter-freeze maka password akan segera dikembalikan ke semula.
Akan tetapi, Facebook tampaknya sudah mengerti akan celah-celah semacam ini. Jadi, apabila Anda menjadi korban semacam ini, jangan keburu panik, pihak facebook akan memunculkan pesan untuk segera melakukan reset password Anda kembali dengan cara sbb :
a. Ketika Anda memasukkan alamat email dan password akun Facebook Anda yang sedang di-freeze seseorang, maka kemudian akan muncul pesan sbb (klik untuk memperbesar):

b. Selanjutnya segeralah Anda klik tulisan yang berwarna merah, dan muncul pesan sbb (klik untuk memperbesar):

Pesan di atas memberitahukan Anda bahwa untuk mengganti password Anda, Anda diminta untuk melakukan klik "Atur Ulang Kata Sandi", agar sebuah alamat email konfirmasi dari pihak facebook terkirim ke email Anda.

c. Buka email Anda kemudian baca petunjuknya kemudian klik link yang diberikan, seperti berikut (klik untuk memperbesar):


d. Setelah Anda menuju link yang diberikan, masukkan kata sandi Anda yang baru. Jreeennggg!!! akhirnya Anda dapat masuk kembali di halaman akun facebook Anda bersama teman-teman jaringan Anda.
Penulis hanya berpesan, berhati-hatilah dalam mempublikasikan alamat email Anda. Meskipun semua ada jalan keluarnya, mungkin ada gunanya Anda untuk selalu waspada.

Itulah sedikit tips yang dapat penulis sampaikan melalui postingan kali ini. Penulis tidak ada maksud untuk memberitahu bagaimana cara untuk melakukan kejahatan di dunia maya, tetapi hanya ingin sedikit bertukar pengalaman kepada semua yang mungkin masih awam dalam menyikapi hal-hal semacam ini. Banyak yang terlanjur panik dan putus asa dalam menyelesaikan segala masalah. Semua pasti ada jalan keluarnya.
Mungkin masih banyak lagi cara-cara yang lebih expert dibanding kedua teknik di atas untuk melakukan kejahatan serupa. Akan tetapi kedua cara di atas adalah cara yang paling sering digunakan dan mudah untuk dilakukan siapa saja, bahkan oleh orang yang tidak tahu sama sekali tentang bahasa pemrograman/scripting hacking website. Penulis juga sudah membuktikan kedua jenis teknik di atas, dan ternyata memang benar adanya.
Untuk itulah, penulis menghimbau bagi Anda yang membaca tulisan ini, bagi yang sudah mengerti caranya, jangan disalahgunakan untuk hal-hal yang merugikan orang lain dengan alasan apapun. Jika Anda ingin mencoba untuk keperluan "iseng-iseng", silakan gunakan account Anda sendiri untuk melakukan uji coba.

0 comments: