kotabontang.net - Jangan Klik " Aplikasi Pengintip Profil di Facebook " Berbahaya.
"Asyik... Bisa liat password FB teman. Makasih banyak ya buat yg udah buat aplikasinya. Kalian mau tau juga caranya? Tapi jangan kasih tau siapa-siapa yah? Caranya gampang banget kok, lihat aja caranya di...."
Bagi sebagian orang, melihat status Facebook seperti di atas pasti bikin penasaran. Mengklik tautan situs yang dimaksud bisa jadi bakal dilakukan untuk menjawab rasa penasaran yang berkecamuk.
Padahal itu hanyalah satu dari sederet jebakan penjahat cyber untuk mengelabui korban. Ujung-ujungnya, akun Anda akan dieksploitasi.
Menurut praktisi keamanan internet dari Vaksincom Alfons Tanujaya, Facebook belakangan tengah diserang oleh sejumlah aksi SelfXSS (Self Cross Site Scripting) dengan tema:
-. BBM for Facebook.
-. Aplikasi pengintip profil Facebook.
-. Trik mengetahui password Facebook teman Anda.
Ia menjelaskan, tujuan mengeksploitasi celah keamanan SelfXSS ini guna meningkatkan like dan mention secara ilegal. Dari dua situs eksploitasi SelfXSS yang dipantau oleh Vaksincom saja jumlah mention yang dilakukan totalnya lebih dari 300.000 mention (lihat gambar 1 dan 2).
"Vaksincom tidak akan terkejut jika akun Facebook yang mendapatkan serangan SelfXSS mencapai angka ratusan ribu akun Facebook di Indonesia. Perlu Anda ketahui, sampai saat ini aksi eksploitasi SelfXSS masih tetap berjalan dan tidak tertutup kemungkinan tema yang diusung akan berubah," wanti-wanti Alfons.
Karena itu, pengguna Facebook harap berhati-hati dan jangan pernah percaya jika diminta untuk menjalankan Web console [Ctrl] [Shift] [K] di Firefox atau [Ctrl] [Shift] [J] di Chrome dan mengkopikan kode yang telah dipersiapkan sebelumnya.
"Anda tidak akan mendapatkan iming-iming yang dijanjikan, sebaliknya akun Facebook Anda akan melakukan mention massal ke seluruh kontak dan like massal. Kabar baiknya, administrator Facebook kelihatannya sudah mulai mencium aksi ini," lanjutnya.'
 | |
| Gambar 1: Akun Facebook korban SelfXSS BBM for Facebook palsu melakukan posting 263.791 komentar. |
 | ||
| Gambar 2: Varian lain dengan tema FB Trick memakan korban akun FB korbannya melakukan posting 46.246 komentar. |
 |
| Gambar 3: Tampilan BBM for Facebook sebagai iming2 agar korbannya menjalankan script SelfXSS. |
Selain script yang menggunakan tema BBM for Facebook, ada beberapa script sejenis yang beredar di dunia maya dengan tema berbeda. Salah satunya adalah trik lama dan masih sering digunakan adalah iming-iming bagi pemilik akun Facebook untuk mengetahui siapa saja yang mengunjungi profil Facebooknya. (lihat gambar 4)
 |
| Gambar 4: Iming-iming untuk mengetahui siapa saja yang mengunjungi profil Facebook dijadikan sebagai rekayasa sosial untuk membuat korban menjalankan script. |
Mungkin fasilitas untuk melihat siapa saja yang mengunjungi akun media sosial Anda (who viewed your profile) cukup populer di platform media sosial lain seperti Linkedin yang malahan menjadikan fitur ini sebagai fitur berbayar.
Tetapi hal ini sangat berbeda di Facebook. Facebook memiliki kebijakan menjaga privasi siapapun yang mengunjungi profil Anda dan tidak akan memberikan informasi ini kepada pemilik akun Facebook yang dikunjungi ini karena menganggap bahwa informasi ini sifatnya pribadi dan akan terjadi pelanggaran hal/privasi pengunjung jika informasi ini diberikan.
Bahkan sebaliknya, jika ada apps yang mengklaim bisa menunjukkan siapa yang melihat profil Anda, hal tersebut merupakan penipuan karena data tersebut tidak disediakan oleh Facebook untuk pembuat apps Facebook dan jelas janji yang diberikan adalah palsu.
"Facebook malah meminta Anda melaporkan kepada administrator Facebook jika ada aplikasi yang mengklaim bisa memberikan informasi ini," kata Alfons.
 |
| Gambar 5: Facebook tidak menyediakan data untuk mengetahui siapa yang melihat profil Anda, termasuk oleh aplikasi pihak ketiga. |
Dua iming-iming di atas sangat populer dijadikan sebagai pancingan supaya korban menjalankan script yang telah dipersiapkan melalui Web Console [Ctrl] [Shift] [K] di Firefox dan [Ctrl] [Shift][J] di Chrome.
Jika script dijalankan, maka akun korban akan dibuat melakukan mention dan like pada page atau situs tertentu.
Jangan Mudah Termakan Iming-iming
Alfons menjelaskan, salah satu keuntungan dari layanan berbasis cloud adalah pengamanan dan perawatan atas database dilakukan oleh pengelola database cloud.
Jika kita mendapatkan layanan berkualitas dengan administrator yang tanggap maka aksi eksploitasi terhadap database cloud akan sulit dilakukan. Hal ini juga berlaku untuk akun Facebook Anda yang dikelola oleh administrator Facebook di 'awan'.
Menurut pengamatan Vaksincom, dibandingkan dengan layanan media sosial lainnya, selama ini administrator Facebook termasuk sangat tanggap dan aktif memburu aksi-aksi malware dan eksploitasi akun Facebook dan banyak melakukan tindakan yang diperlukan baik reaktif ataupun proaktif agar aksi jahat yang sama tidak terulang.
"Hal ini terbukti dari cepatnya tanggapan Facebook menonaktifkan akun percobaan Vaksincom dan secara otomatis melakukan pemblokiran autolike dan menghapus semua autolike yang terjadi tanpa diminta," papar Alfons. (lihat gambar 6)
Dua iming-iming di atas sangat populer dijadikan sebagai pancingan supaya korban menjalankan script yang telah dipersiapkan melalui Web Console [Ctrl] [Shift] [K] di Firefox dan [Ctrl] [Shift][J] di Chrome.
Jika script dijalankan, maka akun korban akan dibuat melakukan mention dan like pada page atau situs tertentu.
Sebenarnya eksploitasi SelfXSS ini bisa berhasil lebih disebabkan faktor rekayasa sosialnya daripada celah keamanan SelfXSS itu sendiri.
Selain itu, eksploitasi SelfXSS ini merupakan kelemahan dari browser Firefox dan Chrome yang seharusnya bukan merupakan tanggung jawab Facebook, namun mungkin karena kepedulian yang tinggi atas kelangsungan layanannya sehingga tindakan proaktif seperti gambar 6 di atas dilakukan tanpa diminta.
Untuk menjadi korban dari eksploitasi ini secara teknis agak sulit dan eksploitasi tidak bisa berjalan secara otomatis. Pengguna peramban/pemilik akun Facebook harus dengan sadar melakukan copy dan paste coding ke browser dan menjalankannya (menekan tombol [Enter]).
Hal ini sama saja dengan menjalankan kode pemrograman yang isinya bisa apa saja. Kalau dalam hal ini akibatnya 'hanya' melakukan auto like, auto mention.
"Namun perlu Anda sadari, di masa depan coding bisa saja berisi malware yang bukan saja berdampak pada akun Facebook Anda, tetapi juga bisa melakukan aksi jahat lain seperti mencuri data dan dokumen penting dari komputer, menghancurkan data, menginfeksi komptuer lain di jaringan atau aksi jahat lain seperti mengenkripsi data komputer Anda dan meminta tebusan uang seperti yang dilakukan oleh Cryptolocker," lanjut Alfons.
"Karena itu, Vaksincom menghimbau para pengguna komputer untuk tidak mudah termakan iming-iming dan jangan pernah menjalankan coding yang tidak diketahui keamanannya," ia menandaskan.[www.tribunislam.com]
Sumber : inet.detik.com