Siapalihat.com sebenarnya menggunakan teknik lama yang mengeksploitasi kelemahan dalam aplikasi Facebook. Salah satu apps yang sering dieksploitasi adalah HTC Sense.
Sebenarnya Facebook sudah mempersulit pengembang aplikasi untuk membajak akun Facebook korbannya dimana setiap pemilik akun Facebook yang menggunakan apps di Facebook harus secara sadar memberikan persetujuan kepada apps untuk melakukan postingan menggunakan akunnya dan segala macam peringatan dimunculkan sebelum memberikan hak posting kepada apps tersebut.
Gambar 1: Persetujuan pertama apps bisa mengakses data pemilik akun.
Gambar 2: Persetujuan kedua apps diberi hak mengatur FB pages, events, mengirimkan pesan dan SMS.
Gambar 3: Apps HTC Sense bisa melakukan posting di Facebook menggunakan akun Anda.
Jika diperhatikan peringatan di atas, pemilik akun Facebook harus mengklik tombol [Okay] beberapa kali sampai akunnya bisa digunakan untuk melakukan posting menggunakan aplikasi tersebut. Lalu bagaimana hal ini bisa terjadi?
Jawabannya mudah, rekayasa sosial yang tepat dengan memanfaatkan keinginan paling dalam dari mayoritas pemilik akun Facebook untuk mengetahui siapa saja yang mengintip akun Facebooknya. Dengan iming-iming bisa mengetahui siapa yang mengintip akun Facebooknya korban digiring untuk secara tidak sadar memberikan hak posting pada program (bot) yang telah dipersiapkan (lihat gambar 4).
Gambar 4: Postingan masif yang mempromosikan situs siapalihat.com dari akun yang telah dikuasai spambot.
Pada postingan di wall Facebook tersebut tidak lupa disertakan nama-nama sebenarnya langsung dicomot dari friend list akun korban yang diklaim mengintip akun Facebook yang telah dikuasai spambot tersebut supaya calon korban lainnya percaya dan mengikuti apa yang diperintahkan oleh situs siapalihat. Sekali korbannya mengklik tautan yang diberikan, maka proses rekayasa sosial dimulai (lihat gambar 5).
Gambar 5: Situs siapalihat.com menjanjikan pemilik akun Facebook mengetahui siapa yang mengintip akunnya.
Ibarat developer properti, ia juga menjanjikan mengintip gratis hanya hari ini, padahal jika diakses besoknya juga tetap akan gratis.
Jika korbannya tergiur dan mengklik tombol hijau [LANJUTKAN] maka ia akan menemui pop up lain yang sebenarnya berisi iklan yang jika diklik akan memberikan keuntungan finansial dari pemilik akun Google Ad pembuat bot ini (lihat gambar 6).
Gambar 6: Motivasi pembuat spambot siapalihat ini kemungkinan besar adalah keuntungan finansial dari iklan yang di klik pada situsnya.
Jika korbannya mengklik tanda panah, ia akan mengunjungi situs myspy.com yang diiklankan. Jika yang diklik adalah tanda silang (X) di bagian atas pop up maka ibarat telemarketing KTA yang berhasil mendapatkan nomor HP, ia menjalankan bujuk rayunya dengan menampilkan 4 kotak yang bisa anda klik (lihat gambar 7).
Gambar 7: 4 kotak pada situs siapalihat.com.
Dua kotak pada bagian atas dengan teks 'Connect with friends and family today' adalah kotak iklan Google Ad Services yang ironisnya berisi iklan mempromosikan layanan Facebook yang akan dieksploitasi oleh pembuat bot ini. Sedangkan dua kotak di bagian bawah akan meneruskan ke situs: http://www.siapalihat.com/cari/tahu/pengintip dan http://www.siapalihat.com/cari/tahu/siapa yang pada dasarnya sama saja dan telah dipersiapkan sebelumnya. (lihat gambar 8)
Gambar 8: Instruksi pada halaman situs ini yang mengakibatkan bot berhasil menguasai akun FB korbannya.
Instruksi ini pada dasarnya terdiri dari tiga point. Pertama, jika Anda ikuti dan mengklik tombol berwarna hijau akan melakukan instalasi HTC Sense dengan tampilan seperti pada gambar 1-3 di atas. Jika akun Facebook Anda sudah memiliki aplikasi tersebut yang akan muncul adalah konfirmasi seperti pada gambar 9 di bawah ini.
Gambar 9: Konfirmasi jika Anda telah memiliki aplikasi HTC Sense yang akan dieksploitasi.
Tahap kedua adalah tahap paling krusial dimana tahap ini anda akan digiring untuk memberikan hak akses posting dari akun FB anda kepada aplikasi HTC Sense yang akan dieksploitasi oleh bot yang telah dipersiapkan.
Jika Anda mengklik tombol oranye seperti gambar 8 di atas maka Anda akan mendapatkan pop up 'Access Token Debugger' dari situs developers.facebook.com seperti pada gambar 10 di bawah ini.
Gambar 10: Pop up untuk mendapatkan akses token pemilik akun Facebook.
Bagi orang awam yang belum terlalu mengerti pemrograman, kemungkinan besar akan menjalankan saja perintah yang diberikan. Toh, hanya tekan [Ctrl] A, lalu [Ctrl] C dan masukkan pada kolom di bawahnya dengan [Ctrl] V. Lalu ia akan bisa mengakses informasi siapa yang mengintip akun Facebooknya (pikirnya begitu).
Padahal [Ctrl] A adalah select All/pilih semua pada kode akses token, yang seharusnya tidak dibagikan kepada siapapun karena dengan kode ini aplikasi di Facebook akan dapat melakukan posting menggunakan akun Facebook Anda tanpa persetujuan atau sepengetahuan anda.
[Ctrl] C adalah mengkopi kode yang dipilih.
[Ctrl] V paste/tempel kode tersebut untuk digunakan bot yang telah dipersiapkan.
Tahap ketiga adalah tahap Anda dipermalukan. Sekali Anda tempel kode tersebut dan tekan tombol malu berwarna merah [LIHAT], bot akan langsung menggunakan kode tersebut untuk melakukan posting masif di antaranya pada:
-. Wall Facebook semua teman Anda (lihat gambar 11)
Gambar 11.
-. Komentar pada semua aktivitas terakhir yang muncul di "notification" Facebook beberapa hari terakhir (lihat gambar 12)
Gambar 12: Bot akan melakukan komentar pada semua notifikasi yang muncul pada akun Facebook korbannya.
Adapun isi komentarnya seperti pada gambar 11 di atas.
Membasmi Bot siapalihat.com
Jika Anda mengikuti artikel ini dengan seksama, tentunya Anda bisa mengambil kesimpulan bahwa hal ini terjadi bukan karena kredensial (username dan password) Facebook yang dicuri, tetapi karena korbannya dikadali untuk memberikan kode akses sehingga bisa melakukan posting masif pada akun Facebook temannya menggunakan celah keamanan dari apps Facebook.
Karena itu mengubah password Facebook tidak akan banyak membantu dan jika hal ini didiamkan, kemungkinan bot akan terus menerus melakukan posting secara teratur mempromosikan situsnya dan mempermalukan pemilik akun Facebook karena akan dianggap melakukan spam.
Cara membasmi bot ini dari akun Facebook Anda adalah menghapus aplikasi HTC Sense dari akun Anda dengan langkah sebagai berikut:
1. Buka peramban dan login ke akun Facebook anda.
2. Buka alamat situs https://www.facebook.com/settings?tab=applications (lihat gambar 13)
Gambar 13: Atur aplikasi Facebook
3. Arahkan mouse ke "HTC Sense" dan klik [X] untuk menghapus (remove) aplikasi ini. Anda akan mendapatkan konfirmasi seperti pada gambar 14 di bawah ini.
Gambar 14: Konfirmasi menghapus HTC Sense.
Pastikan Anda memilih centang "Delete all your HTC Sense activities including posts, photos and videos on Facebook. This may take few minutes" dan klik [Remove] untuk menghapus aplikasi HTC Sense dan membebaskan Anda dari eksploitasi bot ini
4. Kunjungi wall seluruh teman anda dan hapus satu persatu posting yang dilakukan bot dan informasikan bagaimana cara menghapus bot pada teman yang terinfeksi.
5. Kunjungi satu per satu notifikasi pada akun Facebook anda dan jika ada posting bot, segera hapus dan informasikan kepada rekan anda supaya tidak ikut tertipu.
*) Penulis, Alfons Tanujaya merupakan praktisi keamanan internet dari Vaksincom.
Mau konsultasi berbagai hal seputar keamanan internet dan gadget? Kirim saja pertanyaan ke Klinik IT detikINET di link berikut.
No comments:
Post a Comment