Pentingnya Kesadaran Tentang ‘Safe Internet’
Oleh
chmood
Saya baru mendapatkan email dari Paypal tentang profile update yang (katanya) telah dilakukan oleh paypal, agar saya bisa mengakses kembali akun paypal saya. Email apaan ini, perasaan saya ga punya paypal hahaha. Singkat cerita yang ingin saya sampaikan dalam posting ini adalah, bagaimana kita bersikap terhadap segala macam ancaman yang ada di internet. Don’t trust anyone in internet. Di internet pada situs sosial dewasa bahkan anda bisa saja malah bermesra-mesraan dengan robot (bukan wanita sebenarnya) hahaha.
Kembali ke cerita awal. Saya sudah mulai curiga email ini adalah teknik scamming ya karena itu tadi yang sudah saya sampaikan. Saya tidak punya paypal, kok saya dapat email ini? Ini point pertama kecurigaan saya. Oke, jadi jangan langsung percaya email dari siapapun. Langkah kedua yang dilakukan adalah: check informasi pengirim dari detail header email. Seperti yang saya lakukan di bawah ini. Ternyata source nya dari paypa1.com (plesetan ‘paypal’), NOT from legitimate paypal.com:
Full Mail HeaderFull Mail Header
Dari email tersebut, saya mendapatkan email berformat HTML. Tetapi karena saya buka dari mail client yang tidak support HTML, email tersebut menjadi sebuat attachment. Iseng-iseng saya ingin melihat attachment dari “paypa1.com” ini. Siapa tau bisa saya pelajari dan trace proses scamming yang diinginkan oleh si scammer ini. Ternyata sudah di encoded:
Encoded HTML FormatEncoded HTML Format
Hahaha, liat HTML di encoding gitu entah kenapa saya udah males duluan.. Padahal bisa kita decode dengan menggunakan banyak tool. Salah satunya tool ‘on the fly’ ini: http://meyerweb.com/eric/tools/dencoder/. Saya urungkan saja niat untuk melihat source code attachment, dan mencoba langkah selanjutnya: memastikan apakah attachment ini benar-benar malicious script atau bukan. Saya coba scan menggunakan antivirus bawaan laptop saya (Microsoft Security Essential). Ternyata: clean (gak kedetect). Bah, saya ga percaya begitu aja dengan antivirus saya, dan mencoba scan attachment mencurigakan ini dengan bantuan virustotal.com, sebuah situs penyedia informasi file yang diupload pengunjungnya apakah termasuk virus atau tidak terhadap beberapa brand antivirus terkenal. Berikut ini hasil scan script attachment email di atas itu. Ada beberapa yang mendeteksi itu adalah sejenis trojan. Oh gitu ternyata..
Hasil Scan di Website VirusTotal.com Hasil Scan di Website VirusTotal.com
Apa Efek Jika Saya Lalai Terhadap Attachment Ini?
Karena ini trojan javascript, tiba-tiba saja saya teringat akan ancaman sekitar 2011 silam, sebuah celah keamanan pada mekanisme SSL 3.0/TLS v1.0 antara web browser (client) dan web server. Seorang dengan tool bernama “BEAST” bisa dengan mudah menyadap dan mendekripsi komunikasi client-server yang menggunakan model enkripsi CBC (cipher block chaining). Informasi berharga yang bisa didapatkan ketika penyadapan dan dekripsi dengan BEAST tak lain adalah mencuri session cookie user yang sedang login ke server paypal.com (sebenarnya ga hanya paypal, tetapi seluruh server yang berkomunikasi dengan clientnya menggunakan model CBC!!). Salah satu Proof of Concept video nya yang membajak session user paypal.com masih saya temukan di YouTube. Untuk mengenal lebih jauh tentang celah keamanan ini, bisa dibaca disini.
Nah, bayangkan jika saat anda menerima email spoof ‘atas nama’ paypal.com tersebut, anda juga kebetulan lagi login di paypal. Kemudian membuka email yang berisi script ini dan mengeksekusinya, yang membuat trojan tersebut aktif. Session-ID cookie anda untuk paypal.com itu kini dimiliki pula oleh seseorang pembuat trojan di ujung sana. Sekarang tinggal masalah waktu, kapan pencuri cookie mau mengunjungi paypal.com dengan cookie anda ini (bergantung dengan sesi login anda juga, apakah masih aktif atau sudah logout/re-login sehingga ID cookie yang dicuri sudah tidak valid).
Hati-hati berselancar di dunia maya. Semoga bermanfaat. Pesan terakhir… saya mendapatkan video lucu nih dari YouTube (walaupun terakhirnya ada iklan McAfee, abaikan saja iklan terakhirnya hehehe):
Kembali ke cerita awal. Saya sudah mulai curiga email ini adalah teknik scamming ya karena itu tadi yang sudah saya sampaikan. Saya tidak punya paypal, kok saya dapat email ini? Ini point pertama kecurigaan saya. Oke, jadi jangan langsung percaya email dari siapapun. Langkah kedua yang dilakukan adalah: check informasi pengirim dari detail header email. Seperti yang saya lakukan di bawah ini. Ternyata source nya dari paypa1.com (plesetan ‘paypal’), NOT from legitimate paypal.com:
Full Mail HeaderFull Mail Header
Dari email tersebut, saya mendapatkan email berformat HTML. Tetapi karena saya buka dari mail client yang tidak support HTML, email tersebut menjadi sebuat attachment. Iseng-iseng saya ingin melihat attachment dari “paypa1.com” ini. Siapa tau bisa saya pelajari dan trace proses scamming yang diinginkan oleh si scammer ini. Ternyata sudah di encoded:
Encoded HTML FormatEncoded HTML Format
Hahaha, liat HTML di encoding gitu entah kenapa saya udah males duluan.. Padahal bisa kita decode dengan menggunakan banyak tool. Salah satunya tool ‘on the fly’ ini: http://meyerweb.com/eric/tools/dencoder/. Saya urungkan saja niat untuk melihat source code attachment, dan mencoba langkah selanjutnya: memastikan apakah attachment ini benar-benar malicious script atau bukan. Saya coba scan menggunakan antivirus bawaan laptop saya (Microsoft Security Essential). Ternyata: clean (gak kedetect). Bah, saya ga percaya begitu aja dengan antivirus saya, dan mencoba scan attachment mencurigakan ini dengan bantuan virustotal.com, sebuah situs penyedia informasi file yang diupload pengunjungnya apakah termasuk virus atau tidak terhadap beberapa brand antivirus terkenal. Berikut ini hasil scan script attachment email di atas itu. Ada beberapa yang mendeteksi itu adalah sejenis trojan. Oh gitu ternyata..
Apa Efek Jika Saya Lalai Terhadap Attachment Ini?
Karena ini trojan javascript, tiba-tiba saja saya teringat akan ancaman sekitar 2011 silam, sebuah celah keamanan pada mekanisme SSL 3.0/TLS v1.0 antara web browser (client) dan web server. Seorang dengan tool bernama “BEAST” bisa dengan mudah menyadap dan mendekripsi komunikasi client-server yang menggunakan model enkripsi CBC (cipher block chaining). Informasi berharga yang bisa didapatkan ketika penyadapan dan dekripsi dengan BEAST tak lain adalah mencuri session cookie user yang sedang login ke server paypal.com (sebenarnya ga hanya paypal, tetapi seluruh server yang berkomunikasi dengan clientnya menggunakan model CBC!!). Salah satu Proof of Concept video nya yang membajak session user paypal.com masih saya temukan di YouTube. Untuk mengenal lebih jauh tentang celah keamanan ini, bisa dibaca disini.
Nah, bayangkan jika saat anda menerima email spoof ‘atas nama’ paypal.com tersebut, anda juga kebetulan lagi login di paypal. Kemudian membuka email yang berisi script ini dan mengeksekusinya, yang membuat trojan tersebut aktif. Session-ID cookie anda untuk paypal.com itu kini dimiliki pula oleh seseorang pembuat trojan di ujung sana. Sekarang tinggal masalah waktu, kapan pencuri cookie mau mengunjungi paypal.com dengan cookie anda ini (bergantung dengan sesi login anda juga, apakah masih aktif atau sudah logout/re-login sehingga ID cookie yang dicuri sudah tidak valid).
Hati-hati berselancar di dunia maya. Semoga bermanfaat. Pesan terakhir… saya mendapatkan video lucu nih dari YouTube (walaupun terakhirnya ada iklan McAfee, abaikan saja iklan terakhirnya hehehe):
Komentar