Phissing itu bukan bau kencing, tetapi bisa menghancurkan rekening bank anda
Sabtu, 02 Maret 13 - oleh : Triharyo Soesilo | 0 komentar | 5595 hits
Untitled document
Phissing
Setelah membaca berita bahwa Google akan mulai menerapkan kunci fisik (ID ring) untuk menggantikan password (lihat foto), saya mencoba semakin mempelajari lebih jauh tentang keamanan pemakaian password. Ternyata penggunaan password memang sudah semakin rawan dan mudah untuk dicuri. Jika anda mengira password e-mail anda aman ?. Think again. Jika anda menganggap, setelah password e-mail anda dibajak, dampaknya biasa-biasa saja ?. Think again. Menurut studi 90% password di dunia sangat mudah untuk dicuri.
Saya baru sadar betapa gampangnya seorang pencuri, membajak (hack) password e-mail kita. Caranya rupa-rupanya sangat mudah, yaitu dengan teknik yang dikenal dengan nama "phising'. Ini adalah teknik pencurian password dari yang paling sederhana (meminta password lewat e-mail), sampai ke metoda canggih dan tidak terduga, yaitu melalui website palsu. Metodanya adalah dengan menipu seorang pemakai internet, seolah-olah sedang masuk ke website terkenal seperti Gmail, Facebook, Yahoo dll, sehingga kita secara tidak sadar sedang memberikan username dan password kepada para penjahat. Cara membuat phissing page palsu seperti ini sangat banyak tersedia di Youtube. Bentuknya sangat mirip dengan yang orisinal dan mungkin sebagian besar dari kita sudah pernah memasuki website palsu tersebut, secara tidak sengaja karena mengira websitenya asli.
Setelah memasukan username, password dan kemudian menekan enter, kita akan langsung masuk ke website Google ataupun Yahoo, yang sebenarnya (asli). Sementara password kita yang sudah dibajak kemudian dikirimkan ke alamat sang pencuri dalam hitungan milisecond. Sehingga sang pengguna internet, seolah-olah tidak merasakan ada hal yang aneh sewaktu login. Spektakuler sekali kiatnya. Saat ini website phising palsu tersebar sangat banyak jumlahnya. Sulit buat seseorang pemakai internet untuk membedakannya. Google terlihat bertempur terus dengan halaman phissing palsu ini setiap harinya.
Nasib password curian
Lalu kemudian diapakan password curian tersebut ?. Umumnya password curian akan diperjual-belikan kepada para sindikat penjahat. Saat ini dengan hanya beberapa US $, seseorang dapat memperoleh ratusan username beserta passwordnya. Dengan password ditangan, para penjahat kemudian akan masuk ke e-mail account anda dan melihat-lihat apakah alamat e-mail tersebut digunakan sebagai alamat referensi untuk belanja lewat internet (e-shopping), kartu kredit, electronic banking (e-banking) ataupun pemakaian lain yang ada duitnya.
Setelah tahu misalnya nama bank yang anda pergunakan dari e-mail account anda, para penjahat kemudian akan login ke website bank anda. Sewaktu login, mereka kemudian akan memilih opsi bahwa password terlupakan, pada account di Bank tersebut. Bank akan dengan seketika me-resend password ke alamat e-mail, yang pernah anda daftarkan sebelumnya. Bank tentu tidak tahu bahwa e-mail tersebut sekarang sudah dikuasai oleh para penjahat. Sehingga dalam seketika, penjahat sudah bisa masuk ke rekening bank anda dan melakukan transaksi.
Langkah utama, amankan rekening bank anda
Cara mengamankan password rasanya selama ini sangat klasik yaitu rubah password setiap beberapa bulan. Kenapa ?. Karena proses pembajakan dan penjualan informasi password memerlukan waktu beberapa bulan. Jika password bajakan anda sudah berubah sejak saat dicuri, maka sang penjahat, akan bergerak meneliti username berikutnya. Tapi mengubah password umumnya jarang dilakukan oleh pemakai internet karena merepotkan. Itulah sebabnya Google beralih ke teknologi ID ring.
Namun yang lebih penting dari itu adalah menyelamatkan dan menambah proteksi account credit card dan electronic banking yang saat ini anda gunakan. Terutama bila anda sering melakukan pembelian di internet dengan memakai credit card, atau melakukan transaksi bank melalui internet (e-banking). Segera pindahkan rekening anda ke bank yang mempunyai sistem keamanan ganda, dengan melibatkan misalnya no handphone anda.
Saya terpaksan memindahkan jasa electronic banking saya dari BNI, Citibank dan Bank Mandiri ke Bank xxx (tidak ingin promosi) karena pada bank xxx ini, sistem e-banking-nya terconnect dengan sistem pengamanan pada no HP saya. Contohnya, kalau saya melakukan transaksi melalui internet, bank akan mengirimkan no pin password yang hanya laku beberapa jam, ke no HP saya. Tanpa entry no pin tersebut, maka transaksi tidak akan bisa terjadi. Jadi bila e-mail saya ter-hack oleh penjahat, mereka tetap tidak bisa melakukan transaksi karena sang pencuri tidak menguasai handphone saya.