Kenali Cara Kerja Hacker!
Identity Theft (pencurian identitas) merupakan satu tindak kriminalitas yang dianggap seri-us. Informasi pribadi Anda di Friendster merupakan salah satu incaran hacker. Bagaimana cara kerja para hacker dalam mencuri data kita dan bagaimana menangkalnya?
Pencegahan
Beberapa tahun silam masyarakat Indonesia sempat mendapat guncangan dan ketakutan untuk melakukan transaksi online. Hal ini disebabkan oleh maraknya pencurian data kartu kredit dan pencurian identitas itu sendiri. Indonesia pun sempat dicap sebagai negara dengan tingkat fraudtertinggi.Bagaimana tidak, hingga saat ini pun apabila kita berkunjung ke website, mailing list, ataupun forum keamanan, kita akan menemukan rentetan tutorial, artikel, maupun pertanyaan mengenai carding.Tata caranya pun terpampang di sana.
Penulis tidak akan membahas carding pada tulisan ini. Penulis akan membahas Friendster. Mengapa Friendster? Karena Friendster merupakan jaringan pertemanan terpopuler di dunia, terutama di Indonesia, yang sangat mengundang minat para "pencuri" identitas.
Halaman profil Friendster
Seperti yang telah penulis bahas pada artikel CHIP edisi 01/2008, Friendster, sebagai penyedia jasa layanan jaringan sosial yang terbesar pun ternyata masih memiliki beberapa celah keamanan. Beberapa celah keamanan tersebut bahkan dapat dieksploitasi oleh para hacker melalui halaman profil milik korban mereka (serangan pasif), halaman profil milik si hacker (serangan aktif), sistem testimonial yang ada pada Friendster, feature video box, dan feature blog.
Mungkin sampai pada poin ini, sebagian dari pembaca akan mempertanyakan mengapa sebuah halaman profil korban bisa dijadikan sarana penyerangan dan mengapa dikatakan secara pasif?
Kembali kepada kasus publikasi data pribadi yang sudah kita bahas sebelumnya. Pada dasarnya, melakukan publikasi data pribadi ataupun data diri di Internet merupakan sebuah kesalahan yang cukup fatal bagi pengguna Internet. Hal ini karena mungkin saja seorang hacker akan memanfaatkan informasi pribadi tersebut (baik yang terkecil sekalipun) untuk mendapatkan akses ke dalam properti milik sang korbannya bisa berupa kartu kredit, email, maupun hal lainnya.
Walau terkadang informasi yang disajikan dalam halaman profil seseorang di Friendster tidak sangat penting, kerap kali gabungan informasiinformasi kecil tersebut bisa membuat seorang hacker melakukan pencurian akses ke dalam properti milik korban tersebut.
Information leaking
Langsung saja kepada contoh, Gambar 1 merupakan salah satu halaman profil Friendster yang terakhir penulis kunjungi.
Dari sana kita hanya bisa melihat beberapa informasi seperti kota tempat tinggal, nama sekolah, pekerjaan, siaran TV favorit, hobi, dan beberapa hal tak terlalu pentinglainnya.Namun,bukanberartihal tersebut sepenuhnya tidak penting. Percayakah Anda apabila informasiinformasi minim yang terdapat di dalam halaman profil Calvin Limuel tersebut bisa penulis manfaatkan untuk memasuki email yang ia miliki?
Sebelum memulai penyerangan, tentu kita harus mengetahui dulu segala sesuatu mengenai musuh kita, siapa dan mengapa Calvin Limuel ini. Tanpa menggunakan alat bantu atau website lain selain http://www.friendster.com, penulis menemukan bahwa http://gastrote.110mb.comadalah website pribadi milik Calvin Limuel informasi ini pun tertera pada halaman profil miliknya.
Gambar 1 Website korban yang terlalu lengkap informasinya justru menjadi senjata
bagi para hacker untuk menjadikannya sebagai senjata pamungkas.
bagi para hacker untuk menjadikannya sebagai senjata pamungkas.
kita bisa melihat bahwa CalvinLimuel yang merupakan pembuat sekaligus pe-milik website tersebut memperlihatkan berbagai informasi email yang ia miliki (lihat Gambar 2).
Gambar 2 Semua informasi alamat e-mail sang korban terlihat jelas di halaman
ini, termasuk statusnya di Yahoo Messenger.
ini, termasuk statusnya di Yahoo Messenger.
Dari potongan informasi kecil tersebut kitabisamelihatbahwaemailutamayang digunakan CalvinLimuel sebagai alat berkomunikasi dengan menggunakan email adalah calvinlimuel@gmail.com.Dilihat dari alamatnya, tentu ini merupakan email yang disediakan oleh Google, Gmail (www.gmail.com).
Penulis mencoba login dengan account Calvin di www.gmail.comᆳlakukan sedikit percobaan password yang mungkin ia gunakan. Namun, semuanya ternyata dinyatakan salah oleh Gmail. Setelah sedikit jenuh dengan melakukan pe-nebakanpenebakan password, perhatian penulis kemudian beralih pada sistem “Forgot Password” yang selalu ada di se-tiap provider email.
Penulis menekan hyperlink“I cannot access my account” yang kemudian link tersebut membawa penulis langsung ke-pada halaman seperti berikut:
Pada saat penulis memilih link “I forgot my password”, ditampilkan halaman Secret Question (pertanyaan rahasia) yang menanyakan angka favorit Calvin Limuel.
Hal pertama yang terbersit dalam pikiran penulis adalah beberapa hal yang berkaitan dengan angka dan kerapkali dijadikan password, PIN, maupun pertanyaan rahasia seperti tanggal lahir, bulan lahir, tanggal lahir orang tua, angka yang dianggap angka keberuntungan dan berbagai angka lainnya. Disebabkan oleh pertanyaan ini, penulis kembali disibukkan dengan usaha pencarian informasi di dalam tumpukan data pribadi Calvin Limuel pada halaman profil Friendster miliknya tersebut.
Dari beberapa angka yang mungkin saja dijadikan jawaban oleh Calvin Limuel, tentu tanggal bulan dan tahun lahirnyalah yang paling memungkinkan untuk dijadikan PIN, password, atau jawaban dari pertanyaan rahasia semacam ini. Oleh karena itu penulis berusaha mencari tahu informasi tanggal lahir Calvin Liᆳmuel sebelum mencari informasi angka lainnya. Usaha tersebut dihentikan saat penulis menemukan halaman yang dapat Anda lihat pada Gambar 3.
Gambar 3 Pesan "Selamat Ulang Tahun"
dari rekan korban dapat menjadi
informasi berharga bagi si hacker.
TEBAK : Dari data yang ada, hacker
dapat mencoba angka yang tepat untuk
pertanyaan dari provider e-mail.
dapat mencoba angka yang tepat untuk
pertanyaan dari provider e-mail.
Saat ini kita memiliki 2 buah pilihan tanggal ulang tahun, yakni 20 Desember dan 13 Desember. Untuk saat ini, tahun lahir belum kita ketahui. Namun, kita memiliki kisaran usia Calvin yakni 17 tahun, dan foto dengan wajah seorang anak kecil berusia 13 sampai 15 tahun. Dari sana kita bisa mempersempit tahun lahir CalvinLimuel dari 1991 1995.
Dari beberapa informasi yang telah kita kumpulkan, kita telah mendapatkan beberapa buah angka yang bisa dijadikan jawaban, hanya berdasarkan informasi minim dari Friendster miliknya tersebut:
- 13 Tanggal lahir CalvinLimuel
- 20 Tanggal lahir CalvinLimuel (alternatif)
- 12 Bulan lahir CalvinLimuel dalam bentuk angka
- 1991, 1992, 1993, 1994, 1995 Beberapa pilihan tahun lahir CalvinLimuel. Kalaupun ada beberapa angka lain
yang mungkin digunakan sebagai jawaban adalah 4, 6, 8, dan 9 (beserta segala kelipatan dan gabungannya seperti ‘666’) karena beberapa jenis angka tersebut sering dianggap sebagai angka keberunᆳtungan, angka sial, angka keren, dan lain sebagainya.
Penulis melakukan spekulasi pertama dengan mengisikan informasi tersebut dengan angka tanggal kelahiran Calvin-Limuel yang sekaligus sering dianggap angka sial, yakni 13.
Ternyata berhasil! Masih banyak lagi yang bisa seorang hacker lakukan dengan menggunakan informasi yang tertera secara pasif pada halaman profil Anda. Bayangkan saja apabila Calvin Limuel menggunakan pertanyaan “First company I worked for” untuk Secret Question emailnya di Hotmail, tentu kita memiliki serentetan jawaban untuk pertanyaan tersebut bukan?
JEBOL : Setelah berhasil menebak jawaban dari pertanyaan rahasia, si hacker dapat
dengan mudah mengganti password account e-mail Anda.
Pencegahandengan mudah mengganti password account e-mail Anda.
Memublikasikan informasi pribadi apapun dan dalam bentuk apapun di Internet merupakan sebuah tindakan yang tidak dapat dibenarkan. Namun, kita tidak bisa menyalahkan Friendster hanya karena mereka menyediakan tempat bagi para penggunanya untuk berkomunikasi dan berinteraksi dengan lebih nyaman. Kesadaran akan pentingnya arti keamanan in-formasi dan data pribadi sudah sewajibnya dimiliki setiap pengguna jasa Internet itu sendiri.
Untuk dapat menghindari diri dari jenis serangan seperti ini, kita bisa melakukan beberapa cara sebagai berikut: lUsahakan tidak menuliskan informasi
diri secara sangat terperinci di tempat umum atau yang bisa diakses publik seperti halaman profil Friendster.
• Kalaupun Anda harus menuliskan data tersebut, buatlah agar beberapa data (tidak perlu semuanya) palsu atau tidak tepat mungkin seperti usia atau pekerjaan. Namun, jangan mengisi asal untuk formulir pendaftaran yang serius.
• Hindari menuliskan nama orang tua terutama Ibu mengingat banyak perusahaan kartu kredit yang masih menggunakan nama Ibu sebagai Secret Question.
• Hindari penggunaan jawaban yang sangat tepat untuk setiap Secret Question Anda, misalnya pertanyaan “First company I worked for”, jawablah dengan nama peliharaan Anda. Namun demikian, ingatlah jawaban dari pertanyaan tersebut.
• Melakukan penghapusan atau maniᆳpulasi data ulang tahun atau ucapan selamat ulang tahun seperti yang ada pada contoh halaman Calvin Limuel.
ricky, Penulis@CHIP.co.id
_____________________________
Artikel diambil dari majalah Chip (milik sendiri dan bukan PINJAMAN), artikel ini dimaksudkan HANYA untuk berbagi, jika ada pihak yang merasa keberatan saya akan menghapusnya, buat Anda sebagai pembaca mohon untuk tinggalkan comment, terimakasih.
www.klik3x.blogspot.com
Kenali Cara Kerja Hacker!
Identity Theft (pencurian identitas) merupakan satu tindak kriminalitas yang dianggap seri-us. Informasi pribadi Anda di Friendster merupakan salah satu incaran hacker. Bagaimana cara kerja para hacker dalam mencuri data kita dan bagaimana menangkalnya?
Pencegahan
Beberapa tahun silam masyarakat Indonesia sempat mendapat guncangan dan ketakutan untuk melakukan transaksi online. Hal ini disebabkan oleh maraknya pencurian data kartu kredit dan pencurian identitas itu sendiri. Indonesia pun sempat dicap sebagai negara dengan tingkat fraudtertinggi.Bagaimana tidak, hingga saat ini pun apabila kita berkunjung ke website, mailing list, ataupun forum keamanan, kita akan menemukan rentetan tutorial, artikel, maupun pertanyaan mengenai carding.Tata caranya pun terpampang di sana.
Penulis tidak akan membahas carding pada tulisan ini. Penulis akan membahas Friendster. Mengapa Friendster? Karena Friendster merupakan jaringan pertemanan terpopuler di dunia, terutama di Indonesia, yang sangat mengundang minat para "pencuri" identitas.
Halaman profil Friendster
Seperti yang telah penulis bahas pada artikel CHIP edisi 01/2008, Friendster, sebagai penyedia jasa layanan jaringan sosial yang terbesar pun ternyata masih memiliki beberapa celah keamanan. Beberapa celah keamanan tersebut bahkan dapat dieksploitasi oleh para hacker melalui halaman profil milik korban mereka (serangan pasif), halaman profil milik si hacker (serangan aktif), sistem testimonial yang ada pada Friendster, feature video box, dan feature blog.
Mungkin sampai pada poin ini, sebagian dari pembaca akan mempertanyakan mengapa sebuah halaman profil korban bisa dijadikan sarana penyerangan dan mengapa dikatakan secara pasif?
Kembali kepada kasus publikasi data pribadi yang sudah kita bahas sebelumnya. Pada dasarnya, melakukan publikasi data pribadi ataupun data diri di Internet merupakan sebuah kesalahan yang cukup fatal bagi pengguna Internet. Hal ini karena mungkin saja seorang hacker akan memanfaatkan informasi pribadi tersebut (baik yang terkecil sekalipun) untuk mendapatkan akses ke dalam properti milik sang korbannya bisa berupa kartu kredit, email, maupun hal lainnya.
Walau terkadang informasi yang disajikan dalam halaman profil seseorang di Friendster tidak sangat penting, kerap kali gabungan informasiinformasi kecil tersebut bisa membuat seorang hacker melakukan pencurian akses ke dalam properti milik korban tersebut.
Information leaking
Langsung saja kepada contoh, Gambar 1 merupakan salah satu halaman profil Friendster yang terakhir penulis kunjungi.
Dari sana kita hanya bisa melihat beberapa informasi seperti kota tempat tinggal, nama sekolah, pekerjaan, siaran TV favorit, hobi, dan beberapa hal tak terlalu pentinglainnya.Namun,bukanberartihal tersebut sepenuhnya tidak penting. Percayakah Anda apabila informasiinformasi minim yang terdapat di dalam halaman profil Calvin Limuel tersebut bisa penulis manfaatkan untuk memasuki email yang ia miliki?
Sebelum memulai penyerangan, tentu kita harus mengetahui dulu segala sesuatu mengenai musuh kita, siapa dan mengapa Calvin Limuel ini. Tanpa menggunakan alat bantu atau website lain selain http://www.friendster.com, penulis menemukan bahwa http://gastrote.110mb.comadalah website pribadi milik Calvin Limuel informasi ini pun tertera pada halaman profil miliknya.
Gambar 1 Website korban yang terlalu lengkap informasinya justru menjadi senjata
bagi para hacker untuk menjadikannya sebagai senjata pamungkas.
bagi para hacker untuk menjadikannya sebagai senjata pamungkas.
kita bisa melihat bahwa CalvinLimuel yang merupakan pembuat sekaligus pe-milik website tersebut memperlihatkan berbagai informasi email yang ia miliki (lihat Gambar 2).
Gambar 2 Semua informasi alamat e-mail sang korban terlihat jelas di halaman
ini, termasuk statusnya di Yahoo Messenger.
ini, termasuk statusnya di Yahoo Messenger.
Dari potongan informasi kecil tersebut kitabisamelihatbahwaemailutamayang digunakan CalvinLimuel sebagai alat berkomunikasi dengan menggunakan email adalah calvinlimuel@gmail.com.Dilihat dari alamatnya, tentu ini merupakan email yang disediakan oleh Google, Gmail (www.gmail.com).
Penulis mencoba login dengan account Calvin di www.gmail.comᆳlakukan sedikit percobaan password yang mungkin ia gunakan. Namun, semuanya ternyata dinyatakan salah oleh Gmail. Setelah sedikit jenuh dengan melakukan pe-nebakanpenebakan password, perhatian penulis kemudian beralih pada sistem “Forgot Password” yang selalu ada di se-tiap provider email.
Penulis menekan hyperlink“I cannot access my account” yang kemudian link tersebut membawa penulis langsung ke-pada halaman seperti berikut:
Pada saat penulis memilih link “I forgot my password”, ditampilkan halaman Secret Question (pertanyaan rahasia) yang menanyakan angka favorit Calvin Limuel.
Hal pertama yang terbersit dalam pikiran penulis adalah beberapa hal yang berkaitan dengan angka dan kerapkali dijadikan password, PIN, maupun pertanyaan rahasia seperti tanggal lahir, bulan lahir, tanggal lahir orang tua, angka yang dianggap angka keberuntungan dan berbagai angka lainnya. Disebabkan oleh pertanyaan ini, penulis kembali disibukkan dengan usaha pencarian informasi di dalam tumpukan data pribadi Calvin Limuel pada halaman profil Friendster miliknya tersebut.
Dari beberapa angka yang mungkin saja dijadikan jawaban oleh Calvin Limuel, tentu tanggal bulan dan tahun lahirnyalah yang paling memungkinkan untuk dijadikan PIN, password, atau jawaban dari pertanyaan rahasia semacam ini. Oleh karena itu penulis berusaha mencari tahu informasi tanggal lahir Calvin Liᆳmuel sebelum mencari informasi angka lainnya. Usaha tersebut dihentikan saat penulis menemukan halaman yang dapat Anda lihat pada Gambar 3.
Gambar 3 Pesan "Selamat Ulang Tahun"
dari rekan korban dapat menjadi
informasi berharga bagi si hacker.
TEBAK : Dari data yang ada, hacker
dapat mencoba angka yang tepat untuk
pertanyaan dari provider e-mail.
dapat mencoba angka yang tepat untuk
pertanyaan dari provider e-mail.
Saat ini kita memiliki 2 buah pilihan tanggal ulang tahun, yakni 20 Desember dan 13 Desember. Untuk saat ini, tahun lahir belum kita ketahui. Namun, kita memiliki kisaran usia Calvin yakni 17 tahun, dan foto dengan wajah seorang anak kecil berusia 13 sampai 15 tahun. Dari sana kita bisa mempersempit tahun lahir CalvinLimuel dari 1991 1995.
Dari beberapa informasi yang telah kita kumpulkan, kita telah mendapatkan beberapa buah angka yang bisa dijadikan jawaban, hanya berdasarkan informasi minim dari Friendster miliknya tersebut:
- 13 Tanggal lahir CalvinLimuel
- 20 Tanggal lahir CalvinLimuel (alternatif)
- 12 Bulan lahir CalvinLimuel dalam bentuk angka
- 1991, 1992, 1993, 1994, 1995 Beberapa pilihan tahun lahir CalvinLimuel. Kalaupun ada beberapa angka lain
yang mungkin digunakan sebagai jawaban adalah 4, 6, 8, dan 9 (beserta segala kelipatan dan gabungannya seperti ‘666’) karena beberapa jenis angka tersebut sering dianggap sebagai angka keberunᆳtungan, angka sial, angka keren, dan lain sebagainya.
Penulis melakukan spekulasi pertama dengan mengisikan informasi tersebut dengan angka tanggal kelahiran Calvin-Limuel yang sekaligus sering dianggap angka sial, yakni 13.
Ternyata berhasil! Masih banyak lagi yang bisa seorang hacker lakukan dengan menggunakan informasi yang tertera secara pasif pada halaman profil Anda. Bayangkan saja apabila Calvin Limuel menggunakan pertanyaan “First company I worked for” untuk Secret Question emailnya di Hotmail, tentu kita memiliki serentetan jawaban untuk pertanyaan tersebut bukan?
JEBOL : Setelah berhasil menebak jawaban dari pertanyaan rahasia, si hacker dapat
dengan mudah mengganti password account e-mail Anda.
Pencegahandengan mudah mengganti password account e-mail Anda.
Memublikasikan informasi pribadi apapun dan dalam bentuk apapun di Internet merupakan sebuah tindakan yang tidak dapat dibenarkan. Namun, kita tidak bisa menyalahkan Friendster hanya karena mereka menyediakan tempat bagi para penggunanya untuk berkomunikasi dan berinteraksi dengan lebih nyaman. Kesadaran akan pentingnya arti keamanan in-formasi dan data pribadi sudah sewajibnya dimiliki setiap pengguna jasa Internet itu sendiri.
Untuk dapat menghindari diri dari jenis serangan seperti ini, kita bisa melakukan beberapa cara sebagai berikut: lUsahakan tidak menuliskan informasi
diri secara sangat terperinci di tempat umum atau yang bisa diakses publik seperti halaman profil Friendster.
• Kalaupun Anda harus menuliskan data tersebut, buatlah agar beberapa data (tidak perlu semuanya) palsu atau tidak tepat mungkin seperti usia atau pekerjaan. Namun, jangan mengisi asal untuk formulir pendaftaran yang serius.
• Hindari menuliskan nama orang tua terutama Ibu mengingat banyak perusahaan kartu kredit yang masih menggunakan nama Ibu sebagai Secret Question.
• Hindari penggunaan jawaban yang sangat tepat untuk setiap Secret Question Anda, misalnya pertanyaan “First company I worked for”, jawablah dengan nama peliharaan Anda. Namun demikian, ingatlah jawaban dari pertanyaan tersebut.
• Melakukan penghapusan atau maniᆳpulasi data ulang tahun atau ucapan selamat ulang tahun seperti yang ada pada contoh halaman Calvin Limuel.
ricky, Penulis@CHIP.co.id
_____________________________
Artikel diambil dari majalah Chip (milik sendiri dan bukan PINJAMAN), artikel ini dimaksudkan HANYA untuk berbagi, jika ada pihak yang merasa keberatan saya akan menghapusnya, buat Anda sebagai pembaca mohon untuk tinggalkan comment, terimakasih.
www.klik3x.blogspot.com
Posts
Leave A Reply