.Ada banyak cara untuk mendapatkan suatu password.
Beberapa diantaranya tidak membutuhkan keahlian khusus.
Berikut adalah cara-cara yang paling umum dan paling sering digunakan :
[1]. Social Engineering [2]. KeyLogger [3]. Web Spoofing [4]. Menghadang Email [5]. Password Cracking [6]. Session Hijacking [7]. Menjadi Proxy Server [8]. Memanfaatkan Kelalaian User
Dalam Penggunaan FiturBrowser [9]. Googling
[1]. Social Engineering Social Engineering adalah nama suatu tehnik pengumpulan
informasi dengan memanfaatkan celah psikologi korban. Atau
mungkin boleh juga dikatakan sebagai 'penipuan' Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar sang korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran seperti sang korban. Social Engineering merupakan seni 'memaksa' orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja 'pemaksaan'
yang dilakukan tidak secara terang-terangan atau diluar
tingkah laku normal yang biasa dilakukan sang korban. Manusia
cenderung untuk percaya atau mudah terpengaruh terhadap
orang yang memiliki nama besar, pernah (atau sedang berusaha) memberikan pertolongan, dan
memiliki kata-kata atau penampilan yang meyakinkan. Hal ini sering dimanfaatkan
pelaku social engineering untuk
menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan
kepadanya.Ya, tanpa kita sadari dia mengkondisikan kita dalam suatu masalah dan membuat ( seolah – olah hanya ) dialah
yang bisa mengatasi masalah itu. Dengan demikian,tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa
merasa curiga.
Sosial Engineering adakalanya menjadi ancaman serius. Memang sepertinya tidak ada
kaitan dengan teknologi, namun
sosial engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem anda.
Why?? Karena bagaimanapun
juga suatu komputer tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini
yang bisa lepas dari campur tangan manusia. sehebat apapun pertahanan anda, jika anda
sudah dikuasai oleh attacker melalui social engineering, maka
bisa jadi anda sendirilah yang membukakan jalan masuk bagi sang attacker.
[2]. KeyLogger
KeyLogger adalah software yang dapat merekam aktivitas user. Hasil rekaman itu biasa disimpan
berupa teks atau gambar. KeyLogger bekerja berdasarkan
ketukan keyboard user. Aplikasi ini mampu mengenali form-form sensitif seperti form password misalnya. Ada cara aman untuk
menghindari keyloger:
1. Gunakan password dengan karakter special seperti !@#$
%^&*(){}[]. Kebanyakan keyloger
akan mengabaikan karakter ini sehingga sang pelaku (pemasang keyloger) tidak akan mendapatkan password anda yang sebenarnya. 2. Persiapkan password dari rumah, simpan dalam bentuk teks. Saat ingin memasukkan password, tingal copy-paste ajah. Keyloger akan membaca password anda berdasarkan
ketukan keyboard. Namun cara ini agak beresiko. Mengapa? karena saat anda melakukan copy, data anda akan tersimpan
di clipboard. Saat ini banyak dijumpai software-software
gratis yang bisa menampilkan data dalam clipboard.
[3]. Web Spoofing
Masih ingat kasus pecurian Account sejumlah nasabah Bank BCA? Ya, itulah salah satu contoh nyata dari Web spoofing. Inti dari tehnik ini ialah dengan memanfaatkan kesalahan user
saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web Spoofing adalah usaha untuk menipu korban agar mengira dia sedang mengakses suatu situs tertentu, padahal
bukan.
Pada kasus bank BCA, pelaku
membuat situs yang sangat mirip dan identik dengan situs aslinya sehingga sang korban yang terkecoh tidak akan merasa ragu mengisikan informasi sensitif
seperti user name dan
Passwordnya. Padahal, karena situs tersebut adalah situs
tipuan, maka semua informasi berharga tadi terekam oleh
webserver palsu, yaitu milik sang
pelaku.
[4]. Menghadang Email
Menghadang email? Salah satu cara adalah
dengan menggunakan mailsnarf yang terdapat pada utility dsniff. Cara kerja Mailsnarf adalah
dengan menghadang paket data yang lewat di Internet dan menyusunnya menjadi suatu email utuh. Dsniff dan mailsnift merupakan
software bekerja atas dasar WinPcap (setara dengan libcap
pada Linux) yaitu suatu library yang menangkap paket-paket data. Paket-paket yang ditangkap
ini akan disimpan dalam bentuk
file oleh Windump, sedangkan Dsniff dan MailSnarf bertindak
lebih jauh lagi yaitu menganalisa paket-paket data ini dan
menampilkan password (dsniff)
atau isi email (mailsnarf).
[5]. Password Cracking
'Hacking while sleeping.' itulah
ungkapan yang biasa dipakai oleh orang-orang yang melakukan password cracking. Mengapa? Karena pada umumnya dibuthkan waktu yang lama untuk melakukan pasword cracking. Bisa berjam-jam,
bahkan berhari – hari! Semua itu tergantung dari target, apakah
sang target menggunakan password yang umum, password
memiliki panjang karakter yang tidak biasa, atau password
memiliki kombinasi dengan karakter-karakter special.
Salah satu software yang biasa digunakan untuk melakukan hal
ini ialah dengan mengunakan Brutus, salah satu jenis software remote password cracker yang cukup terkenal. Brutus bekerja
dengan teknik dictionary attack
atau bruce-force attack terhadap
port-port http, POP3,ftp, telnet,
dan NetBIOS.
Dictionary Attack bekerja dengan
mencobakan kata-kata yang ada
dalam kamus password. Sedangkan brute – force attack
bekerja dengan mencobakan semua kombinasi huruf, angka,
atau karakter. Brute Force Atack bekerja sangat lambat dan membutuhkan waktu
yang lama tergantung dari jenis spesifikasi komputernya dan
panjang karakter passwordnya.
Saat ini telah banyak situs yang menutup akses terhadap akses
terhadap usaha login yang secara terus-menerus tidak berhasil.
[6]. Session Hjacking
Session hijacking dewasa ini semakin marak dikalangan para attacker. Session Hijacking biasa dilakukan dengan melakukan
peniruan cookies. Jadi pada intinya, kita harus bisa meniru
cookies sang korban untuk mendapatkan sesi loginnya.
Lalu bagaimana cara
mendapatkan cookies sang korban? 1. Dengan analisa Cookies. Cara ini relatif sulit dilakukan. 2. Mencuri Cokies. Misalnya Sang Attacker ingin mendapatkan account si A. Sang Attacker bisa dengan mudah
membuat semacam script Java Script yang disisipkan dalam
email untuk dikirim ke korban.Saat korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam ke suatu webserver dengan memanfaatkan suatu script PHP. Belakangan ini yang paling sering menjadi incaran adalah
account Friendster. Ada yang menyisipkan suatu scipt lewat
testimonial, ada yang
menyisipkannya di profilnya sendiri untuk mencuri cookies sang korban dan lain sebagainya. Saya memiliki tips untuk ini: 1. Jangan menggunakan
browser Internet Explorer Saat ingin membuka profil orang
lain, jangan menggunakan
Internet Explorer. Catat alamat profil yang ingi anda lihat,logout
terlebih dahulu dari account
anda dan bersihkan semua
cookies, baru kemudian bukalah
profil Friendster tujuan. 2. Periksa Source CODEnya
Ketika menerima testimonial,
periksa terlebih dahulu source
codenya. Apakah disana terdapat
script asing atau kata-kata yang
identik dengan pembajakan
seperti :
'HACKED', 'DEFACED', 'OWNED'.. dll..
Jika ragu-ragu ……. reject ajah.. 3. LogOUT tiba-tiba.
Waspada ketika tanpa suatu
alasan yang jelas tiba-tiba anda
logout dengan sendirinya dari
account anda. Saat anda diminta
memasukkan username dan
password, lihat dulu addressbar
anda! apakan anda sedang
berada di situs yang semestinya
atau tidak. Periksa source code
halaman tersebut.Lihat pada
form action, kemana informasi
anda nantinya akan dikirim.
Sebenarnya session hijacking
bisa dicegah jika saja sang
penyedia layanan Dan perhatikan hal-hal berikut:
1. Menetapkan session identifier
yang unik 2. Menetapkan sistem identifier
berpola acak 3. Session identifier yang
independen 4. Session identifier yang bisa
dipetakan dengan koneksi
client side.
Fenomena lain adalah, hingga
saat artikel ini diterbitkan,
ternyata masih banyak dijumpai
para user yang tidak melakukan
sign out setelah membuka
accountnya. Dengan demikian,
orang lain yang mengunakan
komputer itu dan membuka
website yang sama dengan yang
telah dibuka oleh orang pertama
akan otomatis login ke account
sang korban.
[7]. Menjadi Proxy Server
Kita bisa mengumpulkan
informasi dengan menjadi proxy
server bagi korban untuk dapat
berselancar. Dengan menjadi
proxy server, seluruh identitas
sang peselancar bisa menjadi
milik kita. Biasanya proxy server ini sangat di cari2 untuk setting internet gratis , jadi berhati hati lah dalam mencari dan memilih proxy server
[8]. Memanfaatkan Kelalaian user
dalam penggunaan fiturbrowser Setiap browser tentunya memiliki
fitur yang ditujukan untuk
kemudahan dan kenyamanan
penggunanya dalam berselancar.
Diantaranya ialah dengan adanya
cache dan Password Manager.
Di Internet tentunya banyak
suatu website yang isinya tidak
berubah dalam beberapa hari untuk situs yang
seperti ini cache menjadi hal
yang sangat berguna. Cache akan
menyimpan file-file hasil
browsing sehinga nantinya jika
anda berkunjung lagi ke situs
tersebut browser tidak perlu lagi
melakukan download untuk
kedua kalinya dari server
sehingga setiap halaman situs
yang telah anda buka
sebelumnya akan terbuka
dengan lebih cepat. Semua itu
biasanya diatur oleh header time
to live.
Lho, bagaimana dengan situs-
situs penyedia berita yang selalu
up to date? Untuk site yang
seperti itu, time to live-nya akan
di set=0 sehinga nantinya anda
akan terus melakukan download
setiap kali berkunjung.
Cukup nyaman bukan? Ya, tapi
ancaman mulai timbul. Cobalah
kini anda jelajahi opsi-opsi yang
berkaitan dengan cache pada
browser anda. Tentu anda bisa
menemui bahwa ada fasilitas
untuk menentukan berapa
besarnya file temporary yang
bisa disimpan di harddisk. Cari
juga lokasi dimana file-file
tersebut akan disimpan.
Coba anda buka folder tersebut,
anda akan menemui file-file html
& file-file gambar dari site-site
yang sudah anda kunjungi. Pada
Browser IE, anda bisa melihat
lokasi file cache dengan
menjelajahi menu Tools —
Internet options — Settings
Lalu apa yang bisa didapatkan??
toh cuma file-file 'sampah'??
Hmm … sekarang coba anda copy
semua file yang ada di sana ke
suatu folder. Lalu bukalah salah-
satu file htmlnya. Jika itu
komputer publik,anda bisa
mengetahui situs apa saja yang
telah diakses oleh oleh orang
sebelum anda.
Hmm.. hanya dengan melihat file
temporary anda bahkan bisa
melihat password dan dll. Banyak
saya temui situs yang
menyimpan password dan menampilkannya pada url.
Tentunya anda juga pasti sering
membacanya di berbagai tutorial.
Kebanyakan browser pada saat
ini memiliki fasilitas untuk
menyimpan password. Misalnya
saat meggunakan Mozilla Firefox,
anda pasti sering menerima
kotak dialog konfirmasi yang
menanyakan apakah anda ingin
password anda disimpan atau
tidak oleh PasswordManager.
Kebanyakan user cenderung
untuk memilih opsi YES, entah itu
dengan penuh kesadaran atau
memang mereka tidak tau ( baca:
tidak mau tau) apa maksud dari
kotak dialog itu.
Orang lain yang kemudian
mengunakan browser itu bisa
dengan sangat mudah
mendapatkan password korban
dengan memasuki menu Tools
— Options — Security – Saved
password.
Contoh lain adalah fasilitas wand
password yang dimiliki oleh
browser Opera. Saat anda
memasukkan user name dan
password pada suatu form dan
menekan tombol submit, opera
secara default akan meminta
konfirmasi kepada anda apakah
anda ingin browser menyimpan
id dan password anda atau tidak.
Lagi dan lagi … kebanyakan netter
ceroboh, mereka cenderung
untuk memilih opsi 'YES'.
Lalu?? Orang lain yang kemudian
menggunakan browser itu bisa
melihat situs apa saja yang telah
diakses oleh user, arahkan
browser ke situs tersebut,
letakkan cursor pada form isian
user name, tekan [ALT]+[ENTER]
dan BOOOMM!!!! Kenapa??
Jangan kaget dulu!! Hehehe..
form login akan otomatis terisi
dengan user name korban
lengkap dengan passwordnya
(It's fun enough..
Ini hanya sebagian kecil contoh,
jelajahi fitur-firtur browser lain!
[9]. Googling
Google.com. Banyak sudah situs
yang runtuh, password dan
nomor – nomor kartu kredit
yang dicuri akibat dari ulah
orang yang menyalahgunaan
kesaktiannya Dahulu, hal ini
mudah dilakukan.Hanya dengan
mengetikkan kata kunci tertentu
yang berkaitan dengan user
name dan password, anda bisa
memanen ratusan password
user melalui google. Tapi
sekarang tampaknya anda harus
gigit jari jika menggunakan cara
diatas
Jangan sedih dulu karena Google
baru saja menelurkan produk
barunya, yaitu Google Code
Search. Ancaman baru mulai
timbul, 'si pintar' ini kini dapat
meng-crawl hingga kepada
archive file yang berada di public
directory web server. Hati-hati
yang punya kebiasaan untuk
menyimpan informasi penting di
dalamnya (password, dan info
berharga lainnya) Sebaiknya
mulai sekarang kebiasaan itu
dihilangkan. Selalu proteksi
folder-folder yang sensitif agar
situs anda bisa hidup lebih lama.
Kalo nggak … yach.. tunggu ajah
ada orang yang memanfaatkan
produk baru google ini untuk
mengeruk informasi sensitif dari
web server anda. dan jika itu
sudah terjadi … maka bersiaplah..
'taman bermain' anda akan
diambil alih olehnya.. Semoga Dengan adanya bacaan ini , bisa membantu dan berguna untk anda agar lebih berhati hati dalam melakukan sesuatu , jika tidak ingin kecewa nantinya http://raflywap.mobie.in/facebook/cara_hacker_dan_pencegahanya.php"> Beranda · Profil · Teman · 1 Kotak Masuk
