Modus Phising pada Situs Jejaringan Sosial (friendster/facebook)

Sudah tidak asing lagi di dunia internet sebuah layanan yang terkenal dijadikan sarana untuk melakukan tindakan kejahatan, salah satunya adalah phising. Dari dulu sampai sekarang sudah banyak kegiatan itu yang menggunakan layanan seperti facebook, friendster, tagged, myspace dll. Phising adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti posnel atau pesan instan. Istilah phishing dalam bahasa Inggris berasal dari kata fishing (’memancing’), dalam hal ini berarti memancing informasi keuangan dan kata sandi pengguna, Phising juga didefinisikan sebagai sebuah kegiatan memancing pemakai komputer di internet (user) agar mau memberikan informasi data diri pemakai (username) dan kata sandinya (password) pada suatu website yang sudah di-deface. Phising biasanya diarahkan kepada pengguna online banking. Isian data pemakai dan password yang vital yang telah dikirim akhirnya akan menjadi milik penjahat tersebut dan digunakan untuk belanja dengan kartu kredit atau uang rekening milik korbannya.

Pada phising facebook ini, si pelaku hanya berusaha untuk mengambil username dan password saja karena saat mencoba login user dihantarkan pada halaman Address Not Found. Tampilan scam page untuk phising facebook ini beralamat di fessesbooks.com. Untuk membedakan scam page facebook ini dengan halaman face book asli silahkan lihat gambar dibawah:

Berikut ini adalah contoh kasus phising (Mendy, 2009) pada situs jejaringan sosial (facebook/friendster):

Situs jejaringan sosial seperti Friendster dan Facebook sepertinya menjadi ladang sekaligus ajang untuk para hacker unjuk gigi pada kebolehan mereka dalam melakukan teknik hacking dengan berbagai cara. Salah satu teknik hacking yang paling umum adalah phising. Pengertian phising sendiri adalah upaya atau tindakan untuk memancing seseorang ke web yang telah telah dibuat, umumnya web phising ini dibuat menyerupai web-web yang sering dikunjungin orang seperti Friendster. Dengan teknik phising, seseorang telah diperdaya untuk memberikan informasi yang krusial seperti password secara tidak sadar.

Pertama kali istilah “phising” dipublikasikan oleh American Online Usernet Newgroup pada tanggal 2 Januari 1996 dan mulai menjamur pada tahun 2004. Pada tahun tersebut, perkembangan phising di dunia maya berkembang dengan pesat. Total kerugian akibat phising ditahun 2004 mencapai US$929 juta dengan melibatkan lebih dari 15.000 situs yang menjadi korbannya.

Kebanyakan dari teknik phising adalah melakukan manipulasi sebuah link di dalam email yang akan dikirimkan ke korbannya. Dengan adanya email, praktek phising terbilang mudah hanya dengan melakukan spam pada email dan kemudian menunggu korbannya untuk masuk kedalam tipuannya. Untuk meyakinkan bahwa link yang diberikan asli, biasanya si hacker ini akan membuat sebuah web yang sama persis dengan yang aslinya, perbedaannya URL yang dituju berbeda dengan link yang diberikan. Untuk orang awam yang kurang mengerti tentang web mungkin akan cenderung mudah ditipu, hal ini lah yang harus menjadi waspada untuk Anda agar tidak terkena korban penipuan. Antara link yang diberikan dengan address yang dituju tidak sesuai. Anda hanya tau dan akan menyangka bahwa link tersebut adalah benar karena dikirim melalui email.

Man in the middle

Satu teknik pada Web Phising yang sulit dilacak kebenarannya dengan “mata telanjang” adalah Man In The Middle. Pasalnya Man In The MIddle dapat merubah segala informasi yang benar menjadi tidak benar. Untuk pengertiannya Man in the middle adalah sebuah perantara yang dapat mengubah informasi ditengah proses dua arah. Contohnya ketika kita membuka situs XYZ terdapat informasi A. Dengan adanya Man In The Middle, informasi A disitu XYZ yang akan diakses oleh user dapat dimanipulasi dan berubah menjadi informasi B. Sehingga orang tidak akan sadar bahwa ia sedang di tipu.

Phone Phising

Cara ini jarang dilakukan, karena persentase keberhasilannya sangat kecil, kecuali orang yang menjadi otak dibalik layar ini dapat benar-benar meyakinkan si korban agar mengikuti apa yang ia perintahkan. Teknik phone phising dilakukan dengan cara menelpon si korban dan mengaku sebagai pegawai dari bank atau perusahaan, dengan berbagai alasan ia akan meminta account dan password bank atau informasi penting lainnya. Jika Anda tertipu dengan apa yang ia sampaikan, maka secara otomatis account dan password Anda telah berpindah tangan. Di Indonesia, Phone phising pernah diterapkan. Jika kasus diatas menggunakan telepon, di Indonesia lebih marak menggunakan SMS ( Short Message Service ) sebagai bentuk penipuan. Penipuan biasanya dikirim menggunakan SMS ke berbagai nomor dan didalam SMS tersebut berisi iming-imingi sejumlah uang agar si korban tertarik dan dapat ditipu.

Pencegahan Phising
Untuk menghindari Phising, ada beberapa hal yang harus dilakukan user ketika akan mengakses jejaringan sosial seperti facebook/friendster, yaitu:

1. Jangan terlalu lengkap memasang profil atau data diri di Facebook. Tentunya semakin lengkap profil/data diri terpasang, semakin mudah mendapatkan teman. Tetapi di sisi lain, semakin beresiko pula data diri kita disalah-gunakan (abused).
2. Jangan memasang foto-foto diri Anda yang sekiranya Anda sendiri tidak akan merasa nyaman apabila foto tersebut tersebarluaskan secara bebas. Ingatlah, walau foto tersebut “hanya” diposting di akun Facebook Anda, sebenarnya itu sama saja dengan menyebarlukaskan foto tersebut ke publik. Sekali terposting dan tersebar, maka sangat sulit (dan nyaris mustahil) Anda bisa mencabut foto Anda dari Internet. Maka, selektiflah dalam berpose dan memposting foto Anda.
3. Jangan sembarangan ‘add friend‘ atau melakukan approval atas permintaan seseorang untuk menjadi teman Anda. Cara memilah dan memilihnya mudah, yaitu lihat saja berapa jumlah “mutual friends” antara Anda dengan seseorang tersebut. Semakin sedikit “mutual friends“-nya, berarti semakin sedikit teman-teman Anda yang kenal dengan dirinya, yang berarti semakin beresiko tinggi. Pastikan Anda hanya menerima “pertemanan” yang “mutual friends“-nya cukup banyak.
4. Jangan sembarangan menerima tag photo. Bolehlah kita “banci tagging“, tetapi berupayalah lebih selektif. Artinya, sekali Anda terjun ke Facebook, rajin-rajinlah memeriksa “keadaan sekeliling”. Karena kita kadang menemukan foto diri kita yang di-upload dan di-tag oleh orang lain, padahal kita tidak suka foto tersebut disebarluaskan. Segera saja kita “untag” diri kita dari foto tersebut dan kalau perlu minta teman kita yang melakukan upload foto tersebut untuk mencabutnya.
5. Jangan tunda-tunda, ketika Anda menemukan data atau profil Anda digunakan oleh pihak lain untuk hal-hal di luar kontrol Anda, segeralah bertindak. Membiarkannya, justru akan membuatnya makin berlarut dan berdampak destruktif, setidaknya untuk kenyamanan diri sendiri. Laporkan langsung ke pengelola layanan tempat kejadian ‘impersonation‘, untuk segera mencabut informasi aspal (asli tapi palsu) tersebut. Atau, mintalah bantuan pada orang atau pihak yang sekiranya bisa atau paham bagaimana mengatasi hal di atas.

Secara lebih detail pencegahan kejahatan dunia maya bisa dicegah dengancara sebagai berikut:

Web Phising :

1. Ceklah dengan teliti URL atau address yang sedang Anda tuju, pastikan bahwa alamat yang tertera di Address bar adalah benar bahwa alamat tersebut adalah alamat yang Anda tuju.
2. Biasakan mengetik URL atau alamat situs yang Anda tuju, hindari link dari Web yang Anda rasa mencurigakan.
3. Gantilah password Anda secara berkala, baik 1 minggu, 2 minggu, 1 bulan atau pada periode tertentu, hal ini bermanfaat agar password Anda sulit dilacak.

Gambar 2.6. Link URL yang dipalsukan.
Pada gambar dijelaskan bawah link yang dikirim telah dipalsukan, dan URL yang dituju hampir mirip dengan aslinya. Sehingga dapat membuat kita tidak sadar bahwa link tersebut ternyata bukan link asli.
Man In The Middle :
Informasi yang Anda terima jangan langsung di “telan mentah-mentah” carilah beberapa sumber lagi untuk meyakinkan bahwa informasi tersebut memang benar.
c. Phone Phising :

1. Jangan cepat percaya terhadap informasi yang belum tentu benar apalagi menjanjikan sejumlah uang.
2. Jika Anda mendapatkan hadiah sejumlah uang dari perusahaan atau provider, ada baiknya Anda menghubungi nomor telepon resmi ( bukan nomor yang diberikan melalui SMS ) untuk mengetahui kebenarannya. Biasanya perusahaan yang sudah cukup besar biasanya memberikan nomor Call Center yang dihubungi. Anda dapat memanfaatkan Call Center tersebut untuk mengetahui kebenaran dari hadiah tersebut.
3. Jika Anda mengetahui sesuatu hal yang aneh, beritahulah orang-orang disekitar Anda agar mereka juga tidak menjadi korban penipuan jika memang benar bahwa hal yang Anda curigai adalah penipuan.

Tips aman penggunaan facebook
Semakin banyak pengguna dan fitur yang ada dalam situs jejaring sosial tersebut maka tidak akan lepas adanya masalah privasi dan sekuritas data-data pribadi. Tulisan ini tidak akan membahas penggunaan Facebook karena sudah pasti pembaca sekalian sudah familiar, namun ada tips buat mengamankan penggunaan Facebook itu sendiri.

• Internet adalah fasilitas publik, Anda harus dapat memisahkan mana data yang dapat dipublikasi di internet dan mana yang tidak. Ingat, dengan “menelanjangi” data pribadi Anda maka secara tidak langsung data pribadi Anda tersebut dapat terancam. Jangan sembarangan memberikan data pribadi seperti nomer telpon, password, tanggal lahir, email, dan alamat. Bila kita mudah memberikan alamat email misalnya, maka ancaman spam akan datang bertubi-tubi.
• Waspada dan tetap berpegang pada etika berinternet, Dalam berinternet kita harus waspada terhadap orang yang tidak kita ketahui secara jelas. Profil yang terpasang dalam Facebook harus terbaca dengan jeli dan jelas. Jangan sampai Anda tertipu dengan profil yang tidak jelas dan menipu. Selain itu bila Anda mendapat relasi baru dengan adanya pengguna yang ingin bergabung di Facebook Anda, maka Anda tetap berpegang dengan etika berinternet. Misalnya Anda dapat memberikan penjelasan baik melalui telpon atau messenger.
• Awas, Virus dapat masuk ke Facebook, Anda harus berhati-hati terhadap link video atau aplikasi yang diberikan relasi Anda di Facebook. Anda jangan mudah percaya dengan mengklik link tersebut bila Anda tidak tahu betul / ragu karena bisa jadi link tersebut berisi virus atau spyware atau malware, dsb.
• Perhatikan anak-anak dalam berinternet, Banyak pula saat ini anak-anak mencoba untuk membuat suatu Facebook atau social networking yang lain. Tidak disadari bahwa anak-anak tersebut mudah menjadi target kejahatan di internet. Anda harus berhati-hati dan menjaga anak-anak dalam beronline ria di internet.
• Anda batasi hak akses bagi relasi Anda dalam Facebook, Hak akses yang ada dapat kita batasi dan bahkan bisa kita tutup untuk kemudian kita buka seperlunya sesuai kebutuhan kita.
• Pastikan konfigurasi setting privacy dan security Facebook Anda, Anda dapat mengubah setting yang menyangkut privacy Anda dan profilnya di menu Settings dan kemudian pilih Privacy Settings.

KESIMPULAN
Adapun kesimpulan yang diperoleh dari pembahasan

1. Facebook adalah website jaringan sosial dimana para pengguna dapat bergabung dalam komunitas seperti kota, kerja, sekolah, dan daerah untuk melakukan koneksi dan berinteraksi dengan orang lain. Orang juga dapat menambahkan teman-teman mereka, mengirim pesan, dan memperbarui profil pribadi agar orang lain dapat melihat tentang dirinya.
2. Phising juga didefinisikan sebagai sebuah kegiatan memancing pemakai komputer di internet (user) agar mau memberikan informasi data diri pemakai (username) dan kata sandinya (password) pada suatu website yang sudah di-deface.
3. Pada phising facebook pelaku hanya berusaha untuk mengambil username dan password saja karena saat mencoba login user dihantarkan pada halaman Address Not Found.
4. Teknik yang ada pada modus phising terdiri dari manipulasi link, man in the middle dan phone phising.
5. Untuk menghindari kejahatan dunia maya maka seorang user perlu mengtahui beberapa cara untuk menghindari modus phising, karena kebanyakan kasus kejahatan dunia maya disebabkan oleh kelalaian user.