Minggu, 09 September 2012

Cybercrime


Cybercrime

Perkembangan Internet dan umumnya dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau, cybercrime. Hilangnya batas ruang dan waktu di Internet mengubah banyak hal. Seseorang cracker di Rusia dapat masuk ke sebuah server di Pentagon tanpa ijin. Salahkah dia bila sistem di Pentagon terlalu lemah sehingga mudah ditembus? Apakah batasan dari sebuah cybercrime? Seorang yang baru “mengetuk pintu” ( port scanning ) komputer anda, apakah sudah dapat dikategorikan sebagai kejahatan? Apakah ini masih dalam batas ketidak-nyamanan( inconvenience ) saja? Bagaimana pendapat anda tentang penyebar virus dan bahkan pembuat virus? Bagaimana kita menghadapi cybercrime ini? Bagaimana aturan / hukum yang cocok untuk mengatasi atau menanggulangi masalah cybercrime di Indonesia? Banyak sekali pertanyaan yang harus kita jawab.

Contoh kasus di Indonesia

 Pencurian dan penggunaan account Internet milik orang lain.

            Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
Cara membajak Email @gmail.com
Artikel ini sengaja saya tulis untuk pengetahuan kita saja yah, dan jangan sekali kali mencoba memakainya untuk tujuan yang tidak baik. Cara membajak akun email google (gmail.com) dengan memakai teknik “Phising”, tentang istilah “Phising” bisa dilihat di artikel berikut, lalu apa yang kita perlukan untuk hacking email gmail? Ok sebelumnya siapkan dahulu:
  1. Gmail Phisher.
  2. Web Hosting (Gratisan) + Nama domain yang mirip2 gmail ( Misal: gmaiil.com, gogelmail.com, dll ).
  3. Sedikit kerja keras.
Jika anda sedikit mengetahui tentang hacking, tentunya pasti tahu juga tentang teknik Phising donk!, Apa itu phising dan cara kerja phising dan yang paling penting ialah cara melindungi diri kita sendiri dari terjebak kedalam Phising itu sendiri!, saya akan mencoba menjelaskannya dalam artikel ini.

            Phish Pages (Laman Phish) adalah laman web palsu atau laman web virtual yang tampak sama dengan tampilan laman web yang asli. Yang membedakannya adalah kumpulan program yang berjalan di latarbelakang ( Laman web yang asli mengirimkan informasi login ke server Gmail sedangkan laman Phish mengirimkan informasi ke Hacker itu sendiri menggunakan laman phish itu yang mirip dengan laman web Gmail yang asli). Satu hal yang membedakannya ialah alamat webnya ( URL ) di address bar, jadi tips penting untuk kalian ialah selalu mengecek ulang alamat website apakah betul itu laman web yang asli jika ingin masuk ke website manapun.
Sekarang apa itu Phishing “Pintar”, Phishing yang umum ialah: laman phishing ( Laman web palsu ) akan mengirimkan informasi login ke laman si penyerang ( Hacker ) tapi tidak akan mengalihkan laman web palsu tadi ke laman web yang aslinya, tapi phising “Pintar” akan melakukannya (Laman web palsu tadi akan dialihkan ke laman web yang asli, setelah korban memberikan informasi login). Artinya si korban tidak akan menyadari bahwa ia telah tertipu dan akun nya telah berhasil di hack, yang dia hanya berfikir bahwa login pertama tadi dia telah salah memasukkan password, dan login yang kedua kalinya bisa ( Sudah dialihkan ke laman web aslinya, hehehe), dan yang lebih mengyakinkan lagi ialah web asli tadi yang telah dialihkan telah tertera nama login email dia, jadi teknih phising kali ini bisa dinamakan teknik Phishing cara “Pintar”.
Cara Kerjanya: Jika sang korban memasukkan informasi login ke kotak laman login palsu, ia akan mengirimkan info ke file “login.php” dimana file ini akan bereaksi menyimpan informasi ke file “log.txt” di server kita, kemudian laman akan dialihkan ke laman web gmail “LoginFrame2.htm” yang akan menampilkan pesan error “There has been a temporary error Please Try Again” didalamnya, jadi sang korban akan mencoba kembali login di laman web yang asli, dan dia tidak tahu bahwa sebelumnya telah memberikan informasi login email dia ke kita, lalu dia akan mencoba kembali di web yang asli, tentunya pasti bisa login seperti biasanya bukan?.
Langkah2 Hacking Akun Gmail:
  1. Unduh Gmail Phisher di link berikut:
  2. Ekstrak lah file .rar tadi kemudian akan mendapatkan tiga file berikut: gmail.html, log.txt, dan mail.php.
  3. Masukkan (upload) ketiga file tadi ke hosting kalian masing masing, perlu di ingat, carilah alamat web yang mirip2 dengan gmail yang asli, seperti mail.gmaile atau maile.gmall dll. langkah yang juga penting, dibawah ini beberapa daftar webhosting gratisan, kalo ada yg lain lagi, silahkan di share di comment yah.
    • www.yourfreehosting.net
    • www.esmartstart.com
    • www.110mb.com
    • www.drivehq.com
    • www.t35.com
  4. Sesudah memasukkan ke webhosting kalian masing masing, langkah selanjutnya ialah mengirimkannya ke korban, Langkah ini adalah sangat penting dimana cara Phishing “Pintar” kita terapkan, sebagian besar orang menggunakan password yang sama untuk akun orkut dan akun gmail mereka, jadi teknik kebohongan berikut bisa kita terapkan: kirimkan ke korban sebuah email HTML berisi link ke jebakan website kita, seolah – olah meminta konfirmasi dari orkit itu sendiri, edit lah email asli dari orkit sesuai pranala yang ada, teknik lain ialah dengan mengirimkan ke korban untuk bergabung dengan komunitas tertentu dan tentunya link jebakan telah kita siapkan, dan terakhir yang paling sempurna ialah mengirimi korban email seolah-olah dari admin gmail yang isinya kira2 berbunyi “We have seen illegal activity from your account and you need to verify your account and your account is temporarily disabled after this login. To unlock your account Verify your Email” dan link nya tukarlah dengan laman web jebakan yang telah kita buat.
Sekarang tentunya kita sudah mengetahui bagaimana cara kerja phishing cerdas ini, jika anda ingin melindungi diri sendiri dari phishing seperti ini, seharusnya sudah tahu bagaimana caranya peretas dapat membajak akun gmail anda.
  1. Sekarang Setelah mengirim phisher kepada korban, setelah user log in ke account Gmail-nya menggunakan phisher Anda, user ID dan password adalah milik kita .. Dan ini disimpan dalam file log.txt, login ke hosting anda:
How-to-hack-Gmail-Account-Password
  1. Dan isi file log.txt akan nampak seperti ini:
http://www.hong.web.id/wp-content/uploads/2010/11/How-to-hack-Gmail-Account-Password-1.jpg
Begitulah caranya hacking akun gmail orang lain, semoga menjadikannya pengajaran dan pengetahuan tentang teknik hacking password, semoga anda menyukainya ( Klik tanda bintang kalo suka :P), dan bagaimana melindungi diri anda dari phising seperti ini? :
  1. Selalu periksa URL di address bar sebelum memasukkan username dan password.
  2. Jangan pernah mengikuti link dari email Anda dan setiap situs web sampai anda telah mengkonfirmasi URLnya di Address bar.
  3. Jangan pernah mengikuti dan mengklik link email spammer yang berbunyi seperti: ““Win lottery or Cash” dll.
Jika ada pertanyaan lebih lanjut silahkan tinggalkan komentar anda. Selamat membajak ria..!
Probing dan port scanning
Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” atau “probing” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya. Analogi hal ini dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka, apakah pagar terkunci (menggunakan firewall atau tidak) dan seterusnya. Yang bersangkutan memang belum melakukan kegiatan pencurian atau penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan. Apakah hal ini dapat ditolerir (dikatakan sebagai tidak bersahabat atau unfriendly saja) ataukah sudah dalam batas yang tidak dapat dibenarkan sehingga dapat dianggap sebagai kejahatan?
Berbagai program yang digunakan untuk melakukan probing atau portscanning ini dapat diperoleh secara gratis di Internet. Salah satu program yang paling populer adalah “nmap” (untuk sistem yang berbasis UNIX, Linux) dan “Superscan” (untuk sistem yang berbasis Microsoft Windows). Selain mengidentifikasi port, nmap juga bahkan dapat mengidentifikasi jenis operating system yang digunakan.
Virus
 Seperti halnya di tempat lain, virus komputer pun menyebar di Indonesia . Penyebaran umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini. Virus ini kemudian dikirimkan ke tempat lain melalui emailnya. Kasus virus ini sudah cukup banyak seperti virus Mellisa, I love you, dan SirCam. Untuk orang yang terkena virus, kemungkinan tidak banyak yang dapat kita lakukan. Akan tetapi, bagaimana jika ada orang Indonesia yang membuat virus (seperti kasus di Filipina)? Apakah diperbolehkan membuat virus komputer?
Denial of Service (DoS) dan Distributed DoS (DDos) attack
            DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial. Bagaimana status dari DoS attack ini? Bayangkan bila seseorang dapat membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah) dapat mengalami kerugian finansial. DoS attack dapat ditujukan kepada server (komputer) dan juga dapat ditargetkan kepada jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak tersebar di Internet. DDoS attack meningkatkan serangan ini dengan melakukannya dari berberapa (puluhan, ratusan, dan bahkan ribuan) komputer secara serentak. Efek yang dihasilkan lebih dahsyat dari DoS attack saja.
Kejahatan yang berhubungan dengan nama domain
 Nama domain (domain name) digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya dengan harga yang lebih mahal. Pekerjaan ini mirip dengan calo karcis. Istilah yang sering digunakan adalah cybersquatting. Masalah lain adalah menggunakan nama domain saingan perusahaan untuk merugikan perusahaan lain. (Kasus: mustika-ratu.com) Kejahatan lain yang berhubungan dengan nama domain adalah membuat “domain plesetan”, yaitu domain yang mirip dengan nama domain orang lain. (Seperti kasus klikbca.com) Istilah yang digunakan saat ini adalah typosquatting.
IDCERT ( Indonesia Computer Emergency Response Team)
 Salah satu cara untuk mempermudah penanganan masalah keamanan adalah dengan membuat sebuah unit untuk melaporkan kasus keamanan. Masalah keamanan ini di luar negeri mulai dikenali dengan munculnya “sendmail worm” (sekitar tahun 1988) yang menghentikan sistem email Internet kala itu. Kemudian dibentuk sebuah Computer Emergency Response Team (CERT). Semenjak itu di negara lain mulai juga dibentuk CERT untuk menjadi point of contact bagi orang untuk melaporkan masalah kemanan. IDCERT merupakan CERT Indonesia .
Sertifikasi perangkat security
 Perangkat yang digunakan untuk menanggulangi keamanan semestinya memiliki peringkat kualitas. Perangkat yang digunakan untuk keperluan pribadi tentunya berbeda dengan perangkat yang digunakan untuk keperluan militer. Namun sampai saat ini belum ada institusi yang menangani masalah evaluasi perangkat keamanan di Indonesia. Di Korea hal ini ditangani oleh Korea Information Security Agency.


Bagaimana di Luar Negeri?

Berikut ini adalah beberapa contoh pendekatan terhadap cybercrime (khususnya) dan security (umumnya) di luar negeri.
•  Amerika Serikat memiliki Computer Crime and Intellectual Property Section (CCIPS) of the Criminal Division of the U.S. Departement of Justice. Institusi ini memiliki situs web <http://www.cybercrime.gov> yang memberikan informasi tentang cybercrime. Namun banyak informasi yang masih terfokus kepada computer crime.
•  National Infrastructure Protection Center (NIPC) merupakan sebuah institusi pemerintah Amerika Serikat yang menangani masalah yang berhubungan dengan infrastruktur. Institusi ini mengidentifikasi bagian infrastruktur yang penting ( critical ) bagi negara (khususnya bagi Amerika Serikat). Situs web: <http://www.nipc.gov>. Internet atau jaringan komputer sudah dianggap sebagai infrastruktur yang perlu mendapat perhatian khusus. Institusi ini memberikan advisory
•  The National Information Infrastructure Protection Act of 1996
•  CERT yang memberikan advisory tentang adanya lubang keamanan (Security holes).
•  Korea memiliki Korea Information Security Agency yang bertugas untuk melakukan evaluasi perangkat keamanan komputer & Internet, khususnya yang akan digunakan oleh pemerintah.

Sumber :
Ringkasan
Cybercrime
          Perkembangan Internet dan umumnya dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau, cybercrime. Hilangnya batas ruang dan waktu di Internet mengubah banyak hal.

Contoh kasus di Indonesia

Cara membajak Email @gmail.com
Cara Kerjanya: Jika sang korban memasukkan informasi login ke kotak halaman login palsu, ia akan mengirimkan info ke file “login.php” dimana file ini akan bereaksi menyimpan informasi ke file “log.txt” di server kita, kemudian halaman akan dialihkan ke halaman web gmail “LoginFrame2.htm” yang akan menampilkan pesan error “There has been a temporary error Please Try Again” didalamnya, jadi sang korban akan mencoba kembali login di laman web yang asli, dan dia tidak tahu bahwa sebelumnya telah memberikan informasi login email dia ke kita, lalu dia akan mencoba kembali di web yang asli, tentunya pasti bisa login seperti biasanya bukan?.
Langkah2 Hacking Akun Gmail:
  1. Unduh Gmail Phisher di link berikut:
  2. Ekstrak lah file .rar tadi kemudian akan mendapatkan tiga file berikut: gmail.html, log.txt, dan mail.php.
  3. Masukkan (upload) ketiga file tadi ke hosting kalian masing masing, perlu di ingat, carilah alamat web yang mirip2 dengan gmail yang asli, seperti mail.gmaile atau maile.gmall dll. langkah yang juga penting, dibawah ini beberapa daftar webhosting gratisan, kalo ada yg lain lagi, silahkan di share di comment yah.
    • www.yourfreehosting.net
    • www.esmartstart.com
    • www.110mb.com
    • www.drivehq.com
    • www.t35.com
  4. Sesudah memasukkan ke webhosting kalian masing masing, langkah selanjutnya ialah mengirimkannya ke korban, Langkah ini adalah sangat penting dimana cara Phishing “Pintar” kita terapkan, sebagian besar orang menggunakan password yang sama untuk akun orkut dan akun gmail mereka, jadi teknik kebohongan berikut bisa kita terapkan: kirimkan ke korban sebuah email HTML berisi link ke jebakan website kita, seolah – olah meminta konfirmasi dari orkit itu sendiri, edit lah email asli dari orkit sesuai pranala yang ada, teknik lain ialah dengan mengirimkan ke korban untuk bergabung dengan komunitas tertentu dan tentunya link jebakan telah kita siapkan, dan terakhir yang paling sempurna ialah mengirimi korban email seolah-olah dari admin gmail yang isinya kira2 berbunyi “We have seen illegal activity from your account and you need to verify your account and your account is temporarily disabled after this login. To unlock your account Verify your Email” dan link nya tukarlah dengan laman web jebakan yang telah kita buat.
Sekarang tentunya kita sudah mengetahui bagaimana cara kerja phishing cerdas ini, jika anda ingin melindungi diri sendiri dari phishing seperti ini, seharusnya sudah tahu bagaimana caranya peretas dapat membajak akun gmail anda.
  1. Sekarang Setelah mengirim phisher kepada korban, setelah user log in ke account Gmail-nya menggunakan phisher Anda, user ID dan password adalah milik kita .. Dan ini disimpan dalam file log.txt, login ke hosting anda:
6.      melindungi diri anda dari phising seperti ini? :
o   Selalu periksa URL di address bar sebelum memasukkan username dan password.
o   Jangan pernah mengikuti link dari email Anda dan setiap situs web sampai anda telah mengkonfirmasi URLnya di Address bar.
o   Jangan pernah mengikuti dan mengklik link email spammer yang berbunyi seperti: ““Win lottery or Cash” dll.
Hasil yang diperoleh, tidak selalu internet itu bersifat positif, karena sifat negatif dari internet itu apabila kurangnya batas ruang dan waktu di internet dapat mengubah banyak hal.

Tidak ada komentar:

Posting Komentar