“Hacker sialan kurang kerjaan, chip poker sudah ludes masih saja dijebol”, status seperti itu pernah saya baca di facebook beberapa waktu lalu. Seseorang iseng masuk menjebol akun facebook untuk mendapatkan chip poker yang dalam akun tersebut. Tapi yang sekarang menakutkan, menjebol facebook bukan lagi untuk mengincar chip poker, tapi sudah mengincar uang beneran.
Setidaknya ada dua kasus penjebolan facebook yang saya baca bulan lalu. Pertama, ada berita di kompas, seorang staf ahli menteri facebooknya dijebol dan sipenjebol ‘meminta’ uang kepada teman-teman facebooknya. Kedua, cerita yang mirip, tapi ini lebih keterlaluan. Seorang teman di milis orang tuanya meninggal, dia harus kembali ke Indonesia. Selama perjalanan dan di Indonesia dia tidak online, ini dimanfaatkan seseorang untuk masuk kea kun facebooknya, mengaku dirinya dan meminta bantuan uang untuk balik ke Indonesia. Teman-teman yang tahu berita duka tersebut tentunya percaya dan mentransfer sejumlah uang.
Kok bisa akun facebook dijebol?
Karena penasaran dengan pertanyaan di atas, saya coba search di google. Dengan kata kunci ‘how to hack facebook’ saya mendapatkan 66,100,000 results. Ha..ha..ternyata frase tersebut sangat popular. Di salah satu blog saya mendapatkan bahwa terdapat empat metoda utama untuk menjebol facebook:
1. Facebook Phishing
2. Keylogging
3. Social engineering
4. Primary email address hack
Phising adalah metoda dengan membuat situs yang mirip seperti situs facebook, pengguna yang tidak hati-hati akan memasukkan username dan password ke situs tersebut dan kedua informasi tersebut akan didapatkan. Keylogging bisa berupa hardware atau pun yang popular adalah berupa software. Aplikasi tersebut bertindak sebagai ‘man in the middle’ seolah-olah sebagai server dan mencatat data keluar masuk dari suatu computer ke server sebenarnya.
Kalau dua metoda pertama agak sukar untuk dipelajari, kombinasi metoda ketiga dengan ke empat ternyata sangat sederhana dan ampuh. Titik lemah yang perhatian di metoda ini adalah password recovery questions. Social engineering adalah dengan bertanya kepada si calon korban tentang jawaban. Contoh kedua penjebolan facebook yang saya ceritakan di awal tulisan ini menggunakan metoda tersebut. Teman di milis tersebut chatting dengan ‘temannya’ yang belakangan dia duga akun temannya tersebut sudah jebol. ‘temannya’ tersebut bertanya-tanya tentang tentang hal-hal yang dianggapnya biasa dan remeh dan belakangan dia bru sadar bahwa itu berkaitan dengan jawaban security questionnsya.
Password recovery security questions
Kalau ingin masuk ke akun facebook kita butuh dua hal, username berupa alamat email dan password. Kalau password facebook lupa, bisa kita recover dengan dikirim ke alamat email. Kalau password email lupa, bisa di set ulang dengan security questions. Kalau seseorang sudah bisa masuk kea kun email kemungkinan besar dia juga bisa masuk ke akun facebook.
Dan semakin banyak informasi yang dipunya, semakin mudah untuk menjebol suatu akun email. Sehingga semakin banyak informasi yang ditampilkan di facebook, semakin mudah akun facebook tersebut untuk dijebol.
Saya mendiskusikan dua hal di atas dengan seorang teman satu ruangan kantor asal Malaysia. Lalu kita sepakat untuk saya mencoba menjebol akun email yahoo milik dia yang sudah digunakan selama 15 tahun. Saya sudah temanan dengan dia di facebook, lalu saya buka halaman profil dia di facebook. Dihalaman profil dia saya menemukan alamat email dia, saya tulis saja sebagai xxx@yahoo.com. Saya buka halaman mail yahoo dan di bagian bawah ada link ‘I can’t access my account’. Saya klik link tersebut, lalu saya pilih ‘I forgot my password’ lalu setelah memasukkan yahoo id (yaitu xxx) akan muncul pilihan ‘please answer your secret questions’.
Pertanyaan pertama ‘what town was your father born in’. Karena dia dari Malaysia kota yang saya tahu dan pernah dengar mungkin hanya beberapa, KL, malaka, dan sabah. Kota lain saya tidak tahu dan saya tidak ad aide dikota mana bapaknya dilahirkan. Saya lihat di halaman profilnya ada nama kota asal dia, ada informasi sekolah sma dan universitasnya dulu dimana. Saya coba masukkan nama-nama kota yang ada dihalaman profil tersebut, dan berhasil! 🙂
Pertanyaan kedua adalah ‘what is your favourite sport team’. Karena dia laki-laki dan umumnya laki-laki suka bola, pasti ini adalah klub bola. Dan karena kita lagi ada di Manchester, saya ketik ‘manchester united’. Hola! Berhasil! Begitu pertanyaan kedua terjawab ada isian untuk memasukkan password yang baru.
Saya dan teman saya tersebut kaget begitu mudahnya akun email yahoo tersebut dijebol. Dan lebih berbahaya lagi ternyata di akun email yahoo tersebut, teman saya tersebut menyimpan informasi username dan password dari berbagai web yang dia pakai di salah satu folder. Termasuk paypal. Untuk masuk ke facebook dia saya tinggal reset password di facebook yang akan mengirim link ke akun email dia yang sudah bisa dijebol tersebut.
Saya lalu melihat apa security questions yang saya gunakan di akun-akun email saya. Ternyata jawaban-jawabannya pun mudah didapatkan dari facebook. Pertanyaan tersebut dulu saya pilih yang mudah agar saya tidak lupa, dan itu sangat berbahaya. Akun gmail agak lebih baik karena fasilitas reset password dengan security questions tersebut hanya akan aktif apabila tidak lgon dalam kurun waktu tertentu. Kalau saya login email di akun gmail tersebut tiap hari, fitur tersebut tidak akan aktif.
Apa yang bisa dilakukan?
Akun email yahoo sepertinya lebih rentan dibanding gmail, di yahoo kita hanya bisa menggunakan daftar pertanyaan yang ada sedangkan di gmail kita bisa menulis sendiri security question yang kita inginkan. Dikota mana bapak/ibu dilahirkan, dimana tempat bulan madu adalah nama-nama lokasi yang mudah ditebak. Cari saja nama kota asal, sma asal, kota sekarang, kota tempat kuliah di halaman profil, kemungkinan besar pertanyaan tersebut akan terjawab. Untuk tempat bulan madu coba juga isi ‘bali’, kemungkinan berhasilnya juga besar. Tipikal kita tidak berpindah sehingga nama-nama kota akan menjadi terbatas. Pertanyaan buku favourite atau film favorit juga akan dengan mudah dijawab apabila informasi tersebut juga tersedia di halaman profil facebook.
Semakin banyak informasi yang ditampilkan di facebook akan semakin rentan untuk di jebol. Langkah pertama yang bisa dilakukan adalah dengan merubah jawaban security question ke hal yang lebih spesifik. Contoh, untuk pertanyaan ‘what town was your father born in’, jangan tulis kota besarnya, bikin yang lebih spesifik. Di Sumatera Barat kota besarnya ada beberapa: padang, padang panjang, bukit tinggi, payakumbuh, solok. Dengan mencoba keseleruh nama kota besar tersebut security question akan terjawab. Tapi apabila ditulis yang lebih spesifik, contoh ‘pauh’, ‘limau manih’, ‘tabing’ untuk pengganti ‘padang’; akan lebih sukar untuk diterka dan dijebol.
Kedua, kurangi informasi yang ditampilkan di facebook. Alamat email jangan ditampilkan di facebook. Jika security question berkaitan dengan buku atau film favorit jangan lah di halaman profil facebook juga ditulis. Semakin sedikit informasi di halaman profil akan semakin baik untuk keamanan akun tersebut.
dagodang 
ini mah catatan penting !
thanx info’y bgs…mas sy mau nany kenapa saya daftar facebook berapa hr bs buka tp pasti slnjut’y tak dpt buka ge…kt’y klo mao trsin mengunakan facebook ikuti tautan ini?trs tidak tampil info email akun saya jd g bingung gmn cara’y daftar fc agar slalu dpt buka….
facebook juga mendekteksi aktifitas tidak biasa dari penggunanya. Jika biasannya online dari daerah tertentu dengan kisaran ip tertentu, begitu online dari tempat lain (negara lain contohnya) maka facebook juga minta pengguna untuk verifikasi akunnya lagi.