Pencurian password, pengambilalihan
account, merupakan hal yang sering terjadi di dunia cyber. Bukan hal yang sulit
untuk melakukannya, namun banyak para newbie yang terus saja bertanya-tanya..
"Bagaimana cara mendapatkan password email orang
lain?" atau pertanyaan yang paling sering saya
terima ialah.. "Bagaimana cara anda mendapatkan password saya?"
Untuk pertanyaan-pertanya an itulah artikel ini
ditulis, semoga bisa menambah wawasan anda dan membuka pikiran anda tentang
betapa pentingnya menjaga account saat berada di tempat-tempat rawan.
Bagaimana Mendapatkannya?
[1]. Social Engineering
[2]. KeyLogger
[3]. Web Spoofing
[4]. Menghadang Email
[5]. Password Cracking
[6]. Session Hijacking
[7]. Menjadi Proxy Server
[8]. Memanfaatkan Kelalaian User Dalam Penggunaan Fitur Browser
[9]. Googling
[2]. KeyLogger
[3]. Web Spoofing
[4]. Menghadang Email
[5]. Password Cracking
[6]. Session Hijacking
[7]. Menjadi Proxy Server
[8]. Memanfaatkan Kelalaian User Dalam Penggunaan Fitur Browser
[9]. Googling
[1]. Social Engineering
Social Engineering adalah nama suatu tehnik
pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin
boleh juga dikatakan sebagai "penipuan" Sosial Engineering
membutuhkan kesabaran dan kehati-hatian agar sang korban tidak curiga. Kita
dituntut untuk kreatif dan mampu berpikiran seperti sang korban. Social
Engineering merupakan seni "memaksa" orang lain
untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja
"pemaksaan" yang dilakukan tidak secara terang-terangan atau diluar
tingkah laku normal yang biasa dilakukan sang korban. Manusia cenderung untuk
percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, pernah
(atau sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau
penampilan yang meyakinkan. Hal ini sering dimanfaatkan pelaku social
engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu
kondisi agar kita memiliki semacam ketergantungan kepadanya.Ya, tanpa kita
sadari dia mengkondisikan kita dalam suatu masalah dan membuat ( seolah - olah
hanya ) dialah yang bisa mengatasi masalah itu. Dengan demikian,tentu kita akan
cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga.
Sosial Engineering adakalanya menjadi ancaman
serius. Memang sepertinya tidak ada kaitan dengan teknologi, namun sosial
engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem
anda. Why?? Karena bagaimanapun juga suatu komputer tetap saja tidak bisa lepas
dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini yang bisa
lepas dari campur tangan manusia. sehebat apapun pertahanan anda, jika anda
sudah dikuasai oleh attacker melalui social engineering, maka bisa jadi anda
sendirilah yang membukakan jalan masuk bagi sang attacker.
[2]. KeyLogger
KeyLogger adalah software yang dapat merekam
aktivitas user. Hasil rekaman itu biasa disimpan berupa teks atau gambar.
KeyLogger bekerja berdasarkan ketukan keyboard user..
Aplikasi ini mampu mengenali form-form sensitif seperti form password misalnya.
1. Gunakan password dengan karakter special seperti
!@#$%^&*(){} []. Kebanyakan keyloger akan mengabaikan karakter ini sehingga
sang pelaku (pemasang keyloger) tidak akan mendapatkan
password anda yang sebenarnya.
2. Persiapkan password dari rumah, simpan dalam
bentuk teks. Saat ingin memasukkan password, tingal copy-paste ajah. Keyloger
akan membaca password anda berdasarkan ketukan keyboard. Namun cara ini agak beresiko. Mengapa? karena saat anda melakukan
copy, data anda akan tersimpan di clipboard. Saat ini banyak dijumpai
software-software gratis yang bisa menampilkan data dalam clipboard.
[3]. Web Spoofing
Masih ingat kasus pecurian Account sejumlah nasabah
Bank BCA? Ya, itulah salah satu contoh nyata dari Web spoofing. Inti dari
tehnik ini ialah dengan memanfaatkan kesalahan user
saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web Spoofing
adalah usaha untuk menipu korban agar mengira dia sedang mengakses suatu situs
tertentu, padahal bukan.
Pada kasus bank BCA, pelaku membuat situs yang
sangat mirip dan identik dengan situs aslinya sehingga sang korban yang
terkecoh tidak akan merasa ragu mengisikan informasi sensitif seperti user name dan Passwordnya. Padahal, karena situs tersebut
adalah situs tipuan, maka semua informasi berharga tadi terekam oleh webserver
palsu, yaitu milik sang pelaku.
[4]. Menghadang Email
Menghadang email? Ya, dan sangat mudah untuk
melakukan hal ini. Salah satu cara adalah dengan menggunakan mailsnarf yang
terdapat pada utility dsniff. Cara kerja Mailsnarf
adalah dengan menghadang paket data yang lewat di Internet dan menyusunnya
menjadi suatu email utuh.
Dsniff dan mailsnift merupakan software bekerja
atas dasar WinPcap (setara dengan libcap pada Linux) yaitu suatu library yang
menangkap paket-paket data. Paket-paket yang ditangkap ini akan disimpan dalam
bentuk file oleh Windump, sedangkan Dsniff dan MailSnarf bertindak lebih jauh
lagi yaitu menganalisa paket-paket data ini dan menampilkan password (dsniff)
atau isi email (mailsnarf).
[5]. Password Cracking
"Hacking while sleeping." itulah ungkapan
yang biasa dipakai oleh orang-orang yang melakukan password cracking. Mengapa?
Karena pada umumnya dibuthkan waktu yang lama untuk melakukan pasword cracking.
Bisa berjam-jam, bahkan berhari - hari! Semua itu tergantung dari target,
apakah sang target menggunakan password yang umum, password memiliki panjang
karakter yang tidak biasa, atau password memiliki kombinasi dengan
karakter-karakter special.
Salah satu software yang biasa digunakan untuk
melakukan hal ini ialah dengan mengunakan Brutus, salah satu jenis software
remote password cracker yang cukup terkenal. Brutus bekerja dengan teknik
dictionary attack atau bruce-force attack terhadap port-port http, POP3,ftp,
telnet, dan NetBIOS.
Dictionary Attack bekerja dengan mencobakan
kata-kata yang ada dalam kamus password. Sedangkan brute - force attack bekerja
dengan mencobakan semua kombinasi huruf, angka, atau karakter.
Brute Force Atack bekerja sangat lambat dan
membutuhkan waktu yang lama tergantung dari jenis spesifikasi komputernya dan
panjang karakter passwordnya. Saat ini telah banyak situs yang menutup akses
terhadap akses terhadap usaha login yang secara terus-menerus tidak berhasil.
[6]. Session Hjacking
Session hijacking dewasa ini semakin marak
dikalangan para attacker. Session Hijacking biasa dilakukan dengan melakukan
peniruan cookies. Jadi pada intinya, kita harus bisa meniru cookies sang korban
untuk mendapatkan sesi loginnya.
Lalu bagaimana cara
mendapatkan cookies sang
korban?
1. Dengan analisa Cookies.
Cara ini relatif sulit
dilakukan.
2. Mencuri Cokies.
Misalnya Sang Attacker ingin mendapatkan account si A. Sang Attacker bisa dengan mudah membuat semacam script Java Script yang disisipkan dalam email untuk dikirim ke korban.Saat korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam ke suatu webserver dengan memanfaatkan suatu script PHP.
Misalnya Sang Attacker ingin mendapatkan account si A. Sang Attacker bisa dengan mudah membuat semacam script Java Script yang disisipkan dalam email untuk dikirim ke korban.Saat korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam ke suatu webserver dengan memanfaatkan suatu script PHP.
Belakangan ini yang paling sering menjadi incaran
adalah account Friendster. Ada
yang menyisipkan suatu scipt lewat testimonial, ada yang menyisipkannya di
profilnya sendiri untuk mencuri cookies sang korban dan lain
sebagainya. Saya memiliki tips untuk ini:
1. Jangan menggunakan browser Internet
Explorer
Saat ingin membuka profil orang lain,
jangan menggunakan Internet Explorer. Catat alamat profil yang ingi anda
lihat,logout terlebih dahulu dari account anda dan bersihkan semua cookies,
baru kemudian bukalah profil Friendster tujuan.
2. Periksa Source CODEnya
Ketika menerima testimonial, periksa terlebih
dahulu source codenya. Apakah disana terdapat script asing atau kata-kata yang
identik dengan pembajakan seperti :
"HACKED", "DEFACED",
"OWNED".. dll..
Jika ragu-ragu……. reject ajah..
3. LogOUT tiba-tiba.
Waspada ketika tanpa suatu alasan yang jelas
tiba-tiba anda logout dengan sendirinya dari account anda. Saat anda diminta
memasukkan username dan password, lihat dulu addressbar anda! apakan anda
sedang berada di situs yang semestinya atau tidak. Periksa source code halaman
tersebut.Lihat pada form action, kemana informasi anda nantinya akan dikirim.
Sebenarnya session hijacking bisa dicegah jika saja
sang penyedia layanan memperhatikan hal-hal berikut:
1. Menetapkan session identifier yang unik
2. Menetapkan sistem identifier berpola acak
3. Session identifier yang independen
4. Session identifier yang bisa dipetakan dengan koneksi client side.
2. Menetapkan sistem identifier berpola acak
3. Session identifier yang independen
4. Session identifier yang bisa dipetakan dengan koneksi client side.
Fenomena lain adalah,
hingga saat artikel ini diterbitkan, ternyata masih banyak dijumpai para user yang tidak melakukan sign out setelah membuka
accountnya. Dengan demikian, orang lain yang
mengunakan komputer itu dan membuka website yang sama dengan yang telah dibuka
oleh orang pertama akan otomatis login ke account sang korban.
[7]. Menjadi Proxy Server
Kita bisa mengumpulkan informasi dengan menjadi
proxy server bagi korban untuk dapat berselancar. Dengan menjadi proxy server,
seluruh identitas sang peselancar bisa menjadi milik kita.
[8]. Memanfaatkan Kelalaian user dalam penggunaan fitur browser
Setiap browser tentunya memiliki fitur yang
ditujukan untuk kemudahan dan kenyamanan penggunanya dalam berselancar.
Diantaranya ialah dengan adanya cache dan Password Manager.
Di Internet tentunya banyak suatu website yang
isinya tidak berubah dalam beberapa hari (Contohnya spyrozone.tk nich.. hehehe
Nah, untuk situs yang seperti ini cache menjadi hal yang sangat berguna. Cache
akan menyimpan file-file hasil browsing sehinga nantinya jika anda berkunjung
lagi ke situs tersebut browser tidak perlu lagi melakukan download untuk kedua
kalinya dari server sehingga setiap halaman situs yang telah anda buka
sebelumnya akan terbuka dengan lebih cepat. Semua itu biasanya diatur oleh
header time to live.
Lho, bagaimana dengan situs-situs penyedia berita
yang selalu up to date? Untuk site yang seperti itu, time to live-nya akan di
set=0 sehinga nantinya anda akan terus melakukan download setiap kali
berkunjung.
Cukup nyaman bukan? Ya, tapi ancaman mulai timbul.
Cobalah kini anda jelajahi opsi-opsi yang berkaitan dengan cache pada browser
anda. Tentu anda bisa menemui bahwa ada fasilitas untuk menentukan berapa
besarnya file temporary yang bisa disimpan di harddisk. Cari juga lokasi dimana
file-file tersebut akan disimpan.
Coba anda buka folder tersebut, anda akan menemui
file-file html & file-file gambar dari site-site yang sudah anda kunjungi.
Pada Browser IE, anda bisa melihat lokasi file cache dengan menjelajahi menu
Tools —> Internet options —> Settings
Lalu apa yang bisa didapatkan?? toh cuma file-file
"sampah"?? Hmm… sekarang coba anda copy semua file yang ada di sana ke suatu folder.
Lalu bukalah salah-satu file htmlnya. Jika itu komputer publik,anda bisa
mengetahui situs apa saja yang telah diakses oleh oleh orang sebelum anda..
Hmm.. hanya dengan melihat file temporary anda
bahkan bisa melihat password dan dll. Banyak saya temui situs yang menyimpan
password dan menampilkannya pada url. Tentunya anda juga pasti sering
membacanya di berbagai tutorial.
Kebanyakan browser pada saat ini memiliki fasilitas
untuk menyimpan password. Misalnya saat meggunakan Mozilla Firefox, anda pasti
sering menerima kotak dialog konfirmasi yang menanyakan apakah anda ingin
password anda disimpan atau tidak oleh PasswordManager. Kebanyakan user cenderung untuk memilih opsi YES, entah itu dengan
penuh kesadaran atau memang mereka tidak tau ( baca: tidak mau tau) apa maksud
dari kotak dialog itu.
Orang lain yang kemudian
mengunakan browser itu bisa dengan sangat mudah mendapatkan
password korban dengan memasuki menu Tools —> Options —> Security –>
Saved password.
Contoh lain adalah
fasilitas wand password yang dimiliki oleh browser Opera. Saat anda memasukkan user name dan password pada suatu form dan menekan tombol
submit, opera secara default akan meminta konfirmasi kepada anda apakah anda
ingin browser menyimpan id dan password anda atau tidak. Lagi dan lagi…
kebanyakan netter ceroboh, mereka cenderung untuk memilih opsi "YES".
Lalu?? Orang lain yang
kemudian menggunakan browser itu bisa melihat situs apa saja yang telah diakses
oleh user, arahkan browser ke situs tersebut, letakkan cursor pada form isian
user name, tekan [ALT]+[ENTER] dan BOOOMM!!!! Kenapa?? Jangan kaget dulu!!
Hehehe.. form login akan otomatis terisi dengan user
name korban lengkap dengan passwordnya ;D (It’s fun enough..
Ini hanya sebagian kecil contoh, jelajahi
fitur-firtur browser lain!
[9]. Googling
Google.com. Banyak sudah situs yang runtuh,
password dan nomor - nomor kartu kredit yang dicuri akibat dari ulah orang yang
menyalahgunaan kesaktiannya Dahulu, hal ini mudah dilakukan.Hanya dengan
mengetikkan kata kunci tertentu yang berkaitan dengan user name dan password,
anda bisa memanen ratusan password user melalui
google. Tapi sekarang tampaknya anda harus gigit jari jika menggunakan cara diatas ;D
Jangan sedih dulu karena Google baru saja
menelurkan produk barunya, yaitu Google Code Search. Ancaman baru mulai timbul,
"si pintar" ini kini dapat meng-crawl hingga kepada archive file yang
berada di public directory web server. Hati-hati yang punya kebiasaan untuk
menyimpan informasi penting di dalamnya (password, dan info berharga lainnya)
Sebaiknya mulai sekarang kebiasaan itu dihilangkan. Selalu proteksi
folder-folder yang sensitif agar situs anda bisa hidup lebih lama. Kalo nggak…
yach.. tunggu ajah ada orang yang memanfaatkan produk baru google ini untuk
mengeruk informasi sensitif dari web server anda.. dan jika itu sudah terjadi…
maka bersiaplah.. "taman bermain" anda akan diambil alih olehnya..
WKWKWKWK
BalasHapus