Thursday, February 14, 2008

Hati-hati Pencurian Data "Login"


Kamis, 14 Februari 2008 | 02:16 WIB

Kami saat ini sedang me-review akun Anda, dan kami mencurigai ada transaksi ilegal menggunakan akun Anda. Proteksi akun Anda adalah prioritas kami.... Untuk memastikan akun Anda tidak dibajak, mudah saja tekan tombol ’Resolution Center’ untuk mengonfirmasi identitas Anda sebagai anggota Paypal...”.

Oleh: Amir Sodikin

E-mail di atas begitu meyakinkan. Dilengkapi kepala surat (header) yang ada logo Paypal-nya dan juga catatan kaki (footer) yang memuat trademark Paypal yang sudah dikenal kredibilitasnya untuk transaksi online realtime itu.

Siapa pun sepintas tak curiga menerima e-mail itu. Pengguna Paypal aktif pasti menyangka e-mail itu tak salah alamat dan benar-benar dari Paypal. Padahal, e-mail itu dikirim acak ke jutaan pengguna lain dengan sistem massal, tanpa mempertimbangkan apakah e-mail tersebut menjadi anggota Paypal atau tidak. Begitu yang menerima pengguna Paypal, kesempatan menjadi korban makin besar.

Begitu menekan link ”Resolution Center”, akan keluar www.paypalupdate.com yang tampilannya sama dengan situs asli www.paypal.com. Di tampilan web itu ada permintaan memasukkan username e-mail dan password. Begitu memasukkan informasi itu, dalam sekejap data login bisa berpindah tangan.

Dalam sekejap, hitungan menit, bisa jadi pemilik situs Paypal palsu telah mengeruk dana untuk ditransfer ke rekening Paypal lainnya. Jika sudah demikian, jangan berharap uang kita bisa kembali.

Memilukan memang. E-mail phising yang berisi tipu-tipu itu kini banyak beredar. Tak hanya dari paypalupdate.com seperti contoh di atas, tetapi sudah ada puluhan situs pengacau. Hebatnya, Gmail dan Yahoo sebagai penyelenggara e-mail gratis terbesar yang dikenal jagoan dalam menyaring e-mail sampah tak bisa mendeteksi e-mail jahat itu.

Sistem antivirus juga tidak memiliki metode valid memverifikasi apakah situs tersebut jahat atau tidak. Tetapi, masih ada harapan karena browser modern Mozilla Firefox bisa dengan cepat mengidentifikasi web jahat semacam itu. Untuk kasus di atas, Internet Explorer keluaran Microsoft tak memiliki warning.

Paypal adalah sistem transaksi online terbesar yang menggunakan e-mail sebagai ”rekening” seseorang. Dengan e-mail yang sudah didaftarkan dan sudah memasukkan data kartu kredit di dalamnya, kita bisa menjadikan Paypal sebagai alat transaksi realtime terpercaya.

Karena itu, pencurian data login pada alat pembayaran online adalah sama dengan pencurian dompet di dunia nyata. Pencurian data login ini akan terus merajai kasus-kasus kejahatan internet tahun 2008 ini.

Kompas sempat mengirim contoh e-mail yang dicurigai sebagai e-mail phising ke tim pendukung Paypal. Biasanya, setelah menerima laporan seperti itu, Paypal akan melakukan aksi menghentikan situs tersebut.

Korban ”chatting”

Beberapa hari lalu, di mailing list juga beredar cerita dari korban kejahatan pencurian data login. Kali ini yang menjadi sasaran adalah pengguna akun e-mail Yahoo dan Yahoo Messenger (YM) yang biasa digunakan untuk percakapan online atau chatting.

Cara ini sebenarnya lebih ”kasar” karena kebanyakan ”aktivis” YM sudah banyak yang mafhum bahwa ajang chat lewat YM bisa dimanfaatkan orang iseng untuk penyebaran virus dan kejahatan konvensional lainnya. Tetapi, hingga kini para programmer jahat (cracker) terus menemukan lubang keamanan sehingga masih banyak orang yang tertipu.

Salah satu cara adalah mengirim alamat link yang berisi situs tertentu yang langsung mengunduh file. Pengiriman pesan yang berisi link itu tentu saja dilakukan secara massal dan korban pun berjatuhan.

”Awalnya seorang teman chatting via YM bilang dia mau kirim file dan dia minta calon korban download file gambar. Setelah download file selesai, korban tak bisa lagi mengaktifkan YM, Yahoo Mail, dan Friendster,” begitu seorang teman bercerita.

Tanpa disadari, korban tadi telah mengunduh file berisi virus trojan atau kemungkinan spyware. Trojan inilah yang mengirimkan informasi spesifik ke remote komputer mengenai data login. Tidak hanya Yahoo, bisa data login apa pun yang ada. Sistem antivirus yang ter-update sebenarnya bisa mendeteksi spyware ini, namun spyware terbaru selalu bisa mengamuflase dirinya.

Dengan keahlian memanipulasi skrip pemrograman, yang semua tutorialnya tersedia di internet, seorang pembuat trojan dan malware bisa mendapatkan data yang diinginkan. Jika data login sudah didapatkan, sang cracker pun bisa login ”menyamar” dan berkomunikasi dengan teman-teman korban.

”Cracker tersebut chatting dengan teman-teman korban, bilang kalau dia perlu uang. Salah seorang teman percaya dan langsung mentransfer dana tanpa mengecek apa benar orang yang diajak chatting adalah teman dia,” begitu kisahnya.

Dalam kisah yang ekstrem, dengan menguasai e-mail berarti bisa menemukan pula data keuangan korban jika si korban juga menggunakan transaksi online. Karena itu, pencurian data login bukan persoalan sepele.

Tahun 2008 ini akan menjadi ujian bagi generasi Web 2.0 yang menjadikan sistem keanggotaan dengan data login sebagai andalan. Diperkirakan, akun di situs ternama seperti Yahoo, Friendster, MySpace, dan situs-situs jaringan pertemanan lainnya akan terus menghadapi gangguan.

No comments: