Social Engineering
Sekarang ini mulai banyak korban berjatuhan akibat upaya pembajakan akun facebook yang menggunakan teknik social engineering. Terutama memanfaatkan kelemahan prosedur akun email gratisan seperti Yahoo! Mail.
Seseorang atau cracker bisa berpura-pura menjadi Anda dan mencoba mendapatkan akses tidak sah dan membajak akun email Anda. Caranya dengan mengikuti prosedur kehilangan password.
Biasanya layanan email gratisan akan menanyakan beberapa kata kunci untuk konfirmasi seperti kombinasi “di mana tempat bulan madu Anda?” atau “siapa nama hewan peliharaan Anda yang pertama” atau “siapa nama paman atau tante yang jadi favorit Anda?”. Jawaban atau kata kunci dari pertanyaan konfirmasi seperti ini dulu pernah Anda isikan ketika pertama kali mendaftarkan akun email tersebut.
Sekarang melalui facebook, seseorang atau cracker bisa dengan mudah mengelabui Anda. Dia akan berpura-pura melamar sebagai teman Anda. Kemudian mencari tahu alamat email Anda.
Ketika dia mengetahui bahwa Anda menggunakan alamat email gratisan, maka mulailah dia mengajak Anda berkomunikasi. Dengan cara tertentu dia akan mengkorek sejumlah informasi yang seharusnya Anda rahasiakan.
Begitu Anda memberikan informasi yang diperlukan untuk mengakses prosedur kehilangan password di layanan akun email gratisan, maka si cracker akan menguasai akun email Anda. Selanjutnya dia akan melakukan prosedur yang sama kepada akun facebook Anda, yaitu pura-pura lupa password dan mencoba membajaknya.
Facebook biasanya akan mengirimkan email “password sementara” ke alamat email utama Anda yang sialnya sudah dikuasai oleh si cracker. Sehingga dengan mudah dia menguasai akun facebook Anda juga. Begitu dia mengganti password akun facebook Anda, maka selanjutnya Anda akan ditolak untuk mengakses aku facebook Anda sendiri.
Seorang cracker yang membajak akun facebook Anda biasanya akan memanfaatkannya untuk beberapa tujuan jahat. Yang pertama adalah untuk melakukan impersonating atau pemalsuan identitas dengan maksud untuk memfitnah, menjelek-jelekkan dan menjatuhkan martabat Anda sebagai pemilik akun yang sesungguhnya. Misalnya dia menyerang dan melakukan suatu tindakan yang tidak disukai teman-teman Anda sehingga di dunia nyata, semua orang menjadi memusuhi Anda tanpa Anda sadari.
Yang kedua adalah untuk menipu teman-teman Anda. Telah banyak laporan di luar negeri maupun juga di Indonesia, bahwa sejumlah orang dimintai tolong oleh teman lamanya di facebook untuk mengirimkan sejumlah uang karena beberapa alasan, yang klasik adalah mengaku kecopetan atau kerampokan atau di akhir pekan tidak bisa mengambil uang untuk pengobatan dsb. Atau mengajak bertransaksi sesuatu tapi sebenarnya akun facebook itu telah dibajak oleh orang lain.
Tips Pencegahan
- Jangan mudah menerima permintaan pertemanan dari orang yang sama sekali belum Anda kenal, terutama yang tidak memiliki mutual friend.
- Anda selalu memiliki kesempatan untuk melakukan konfirmasi kepada teman yang ada di dalam mutual friend seseorang yang mencoba meminta pertemanan pada Anda. Sebab memang itulah salah satu gunanya facebook menampilkan informasi mutual friend yaitu agar Anda bisa melakukan verifikasi terlebih dahulu. Apabila teman Anda mereferensikan dan mengkonfirmasi keabsahan calon teman tersebut baru “lamaran” tersebut bisa dipertimbangkan untuk diterima.
- Cara lain untuk mengkonfirmasi suatu permintaan pertemanan adalah mengirimkan message kepada yang bersangkutan. Dengan komunikasi ini Anda dapat menanyakan siapakah dia sebenarnya (seringkali nama akun yang ditampilkan adalah julukan atau nama alias yang tidak membantu Anda untuk mengingat siapakah calon teman itu) dan melakukan konfirmasi lainnya yang diperlukan. Misalnya, melakukan komunikasi off line (telepon) atau pertemuan on line web cam atau bahkan off line adalah cara lain untuk melakukan konfirmasi keabsahan calon teman.
- Jangan terburu-buru dan berhati-hati dalam menyampaikan sejumlah informasi pribadi yang sekilas nampaknya tidak penting tetapi ternyata merupakan kunci untuk membobol akun email Anda. Pertanyaan yang sepertinya menunjukkan antusiasme pada satu hal yang sama (binatang kesayangan, tempat wisata favorite, cerita tentang keluarga, memasang album foto event tertentu dlsb.) tanpa sengaja bisa memaparkan informasi pribadi yang seharusnya Anda rahasiakan.
- Anda mungkin tanpa sadar telah memaparkan informasi yang seharusnya rahasia itu dalam profile Anda. Atau dalam words caption di album foto Anda. Misalnya menulis nama binatang kesayangan Anda persis di bawah fotonya bahkan ada orang yang secara khusus membuatkan akun facebook untuk binatang kesayangannya lengkap dengan semua profilenya. Atau memasang foto dan menyebut lokasi bulan madu dan atau memberikan tagging pada foto keluarga (termasuk paman yang menjadi favorite Anda) dlsb. Beragam ketidaksengajaan semacam itu.
- Berhati-hati dan pikirkanlah berkali-kali kemungkinan manfaat dan kerugiannya bila Anda harus menampilkan informasi pribadi di halaman info akun facebook Anda. Anda punya pilihan untuk tidak menuliskan informasi itu, misalnya binatang kesayangan, toh sebenarnya apabila ada yang ingin tahu, bisa menanyakannya secara pribadi melalui fasilitas message langsung kepada Anda. Anda juga bisa memilih setting untuk membatasi akses orang lain ke informasi tertentu di akun facebook Anda. Misalnya Anda bisa menyembunyikan alamat email. Manfaatkan fitur setting pengamanan akun facebook ini semaksimal mungkin dan pikirkanlah.
- Sebisa mungkin dan jikalau memungkinkan hindari menggunakan layanan email tak berbayar untuk akun facebook Anda. Gunakanlah akun email lokal misalnya yang diberikan oleh kantor Anda (kalau diijinkan untuk pribadi), menyewa akun email ke ISP (sebenarnya harganya murah atau bahkan gratis apabila Anda menjadi pelanggan ISP tersebut) atau Anda membuat domain pribadi sendiri dan meminta tolong layanan jasa hosting untuk membuatkan, apabila Anda tidak memiliki keterampilan teknis sendiri. Intinya, akun email lokal atau milik sendiri lebih aman dari teknik serangan social engineering ini terutama karena prosedur untuk konfirmasi kehilangan password atau bila terjadi compromise biasanya dilakukan secara manual dengan teknik identifikasi off line bukan by system yang otomatis tapi menggunakan algoritma pengamanan yang terlalu sederhana seperti layanan email gratisan.
- Selalu tambahkan alamat email sekunder pada akun facebook Anda dan juga pada akun email gratisan yang Anda gunakan apabila memang terpaksa tidak ada pilihan selain harus menggunakan layanan tersebut. Sembunyikan atau jangan pernah Anda tunjukkan kepada siapapun dengan alasan apapun alamat email sekunder Anda itu. Dan secara periodik ubahlah semua password Anda sesuai anjuran pengamanan seperti menggunakan kombinasi huruf, angka dan karakter khusus serta panjang password minimal 6 atau 8 karakter yang sulit ditebak orang lain dan bila sulit menghapalnya jangan simpan catatannya di tempat yang mudah diketahui. Atau gunakan fasilitas aplikasi password management untuk membantu Anda. Ada banyak yang gratis.
- Meskipun tidak lazim, namun demi untuk keamanan, backuplah data friend list Anda. Informasi penting seperti nama profile accountnya, url halaman facebooknya, alamat email dan juga telepon (kalau ada). Sehingga apabila terjadi sesuatu Anda bisa segera memberikan peringatan, misalnya melalui email dan akan berguna apabila kelak Anda membuka akun facebook yang baru dan terpaksa harus memasukkan satu per satu lagi friend list Anda tersebut. Backup memang sedikit merepotkan namun penting.
- Apabila Anda terlanjur menjadi korban pembajakan akun facebook maka Anda dapat melakukan 4 hal.
- Pertama, peringatkan semua orang bahwa akun Anda telah dibajak. Upaya ini bisa Anda lakukan lewat berbagai saluran seperti email, telepon, milis, chat, blog dlsb. Demi untuk mencegah orang lain, teman, famili Anda yang ada di friend list menjadi korban misalnya penipuan.
- Kedua, patut secepatnya (Anda berlomba dengan si pembajak sebelum dia mengganti alamat email utama dan sekunder Anda) mencoba untuk mendapatkan kembali akun Anda melalui prosedur lupa atau kehilangan password. Apabila berhasil, segera ganti alamat email Anda dan passwordnya dan sembunyikan jangan ditampilkan dengan mengubah setting keamanan akun Anda. Jangan buru-buru log out untuk mencegah si pembajak mencoba mengambil alih juga. Dan jangan log out sampai Anda berhasil mengganti alamat email utama dan sekunder Anda serta mengisi password yang baru sekaligus menerapkan setting pengamanan yang lebih tertutup (melindungi/menyembunyikan alamat email Anda).
- Ketiga, melaporkan kepada tim keamanan facebook bahwa akun Anda telah dibajak, alamatnya adalah: http://www.facebook.com/help/?page=1023 atau apabila link tersebut telah berubah Anda dapat mencarinya di halaman HELP. Anda akan diminta mengisi form dan selanjutnya akan ada korespondensi dengan tim keamanan facebook yang akan berusaha mengkonfirmasi kebenaran laporan Anda dan apabila semua berjalan dengan baik, mungkin akun Anda dapat dikembalikan. Namun pastikan bahwa sebelum melaporkan, Anda sudah memiliki alamat email yang baru dan aman.
- Yang keempat, apabila semua upaya mengembalikan akun Anda gagal, maka segeralah membuka akun facebook baru, amankan informasinya agar tidak dibajak orang lagi dan add semua teman Anda (semoga Anda melakukan back up). Kemudian bersama-sama ajaklah mereka semuanya untuk melaporkan akun lama Anda yang dibajak tsb. Sebagai akun yang melakukan abuse, fraud, compromise dan impersonating sehingga nanti akan ditutup atau diblokir oleh facebook.
- Yang terakhir jangan gunakan alamat email, username dan password yang sama untuk semua layanan online yang Anda ikuti. Selalu update pengetahuan Anda mengenai isu keamanan layanan jejaring sosial dan senantiasa waspada ketika aktif di dunia maya.
Baca juga bagian pertama dan kedua
Penulis adalah:
- M Salahuddien, Wakil Ketua ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure)
- Sam Ardi, Pemerhati Cyber Law dan Cybercrime, ketua Bloggerngalam (Komunitas Blogger Kota Malang)
0 comments:
Posting Komentar