KOMPAS.com – “Cari tahu siapa yg mengintip Fb kamu. Yang melihat Facebookku adalah…,” sebut sebuah posting di wall pengguna Fb, diikuti deretan nama teman-teman yg dikatakan sudah “mengintip” laman Fb dari pembuat posting yg bersangkutan.
Tawaran itu membuat penasaran. Maklumlah, selama ini Fb dikenal merahasiakan siapa saja teman yg kadang mengunjungi (mengintip) akun pengguna. Alamat URL menuju sebuah situs bernama “siapalihat.com” yg dicantumkan di posting tadi pun dikunjungi.
Tanpa disadari, pengguna akan terjebak posting yg sebenarnya disebarkan oleh Spam Bot lewat akun pengguna yang lain yg telah dijebak sebelumnya.
Instruksi-instruksi di siapalihat.com, apabila diikuti, mulai memasang Spam Bot buat membajak akun Fb pengguna dan menyebarkan posting sejenis ke laman teman-taman Fb, tanpa sepengetahuan pemilik akun. Posting pun tersebar secara berantai melalui pengguna-pengguna yang lain yg juga terjebak.
Contoh posting spam yg disebarkan oleh Spam Bot ke teman-teman pengguna di Fb tanpa disadar oleh pemilik akun.Iming-iming mengetahui siapa yg mengintip akun Fb pengguna tidak yang lain yaitu pancingan buat mengelabui pengguna sehingga jatuh dalam jebakan. Teknik semacam ini dikenal dengan istilah rekayasa sosial (social engineering).
Pengguna Fb Indonesia diincar
Praktisi keamanan web dari Vaksincom, Alfons Tanujaya, menyampaikan dalam dua hari belakangan banyak beredar jebakan Spam Bot yg mengincar pengguna Fb Indonesia. Dia menduga sang pembuat Spam Bot berasal dari salah sesuatu kota di Tanah Air.
“Saat ini yg jadi sasaran penting adalah pengguna Fb. Mungkin karena foundation penggunanya paling besar dan banyak apps pendukung sehingga banyak celah yg dapat dieksploitasi,” kata Alfons ketika dihubungi KompasTekno, Jumat (12/eight/2016).
“Apps pendukung” yg dimaksud adalah aplikasi eksternal yg dibuat pihak ketiga serta mampu mengakses knowledge dan hak khusus dari Fb pengguna.
Tampilan laman situs Siapalihat yg alamatnya tertera dalam posting yg disebarkan oleh Spam BotAplikasi jenis ini rentan memiliki celah keamanan sehingga dapat disusupi Spam Bot buat menulis dan menyebarkan posting tanpa sepengetahuan pengguna. Alfons mencontohkan aplikasi HTC Sense yg dipakai oleh situs siapalihat.com di atas.
Situs mulai meminta pengguna mengunduh HTC Sense, dulu memberikan hak akses bagi posting di Fb kepada aplikasi tersebut dan menyisipkan Spam Bot melalui barisan kode “Entry Token” Fb yg di-copy paste. Setelahnya, Spam Bot pun bersiap beraksi.
“HTC Sense itu aplikasi resmi yg sebenarnya tak bersalah. Tetapi karena dieksploitasi sedemikian rupa jadi dapat memberikan akses autoposting ke Spam Bot,” papar Alfons. Tentu, tak menutup pula kemungkinan aplikasi yang lain yg dipakai.
Ujung-ujungnya duit
Untuk apa sang pembuat Spam Bot menyebarkan posting secara berantai di Fb? Ternyata, ujung-ujungnya duit juga.
Menurut Alfons, posting spam yg disebarkan di Fb bertujuan mengalihkan pengguna ke situs sang pembuat dengan menyertakan alamat URL ke laman terkait, contohnya seperti siapalihat.com di atas.
Semakin banyak pengguna Fb yg terkecoh mengunjungi situs tersebut, semakin banyak pula trafik yg tiba sehingga pembuat Spam Bot dapat mendatangkan uang dengan memasang lapak iklan Google Advertisements.
“Situs siapalihat.com itu penuh dengan iklan dan pop up yg kalau di-klik mulai memberikan keuntungan finansial untuk pemilik situs,” jelas Alfons. Jadi, situs siapalihat.com memiliki beberapa peranan. Pertama adalah sebagai perantara buat menanam Spam Bot di akun pengguna Fb. Kedua, sebagai tempat bagi menaruh lapak iklan.
Situs siapalihat.com menginstruksikan pengguna buat melakukan copy-paste baris kode Entry Token Fb. Baris kode inilah yg menyebabkan Spam Bot mampu membajak akun pengguna dan menyebarkan spam. Jebakan Spam Bot dengan rekayasa sosial sendiri sebenarnya telah lama dipakai dan disebarkan di media sosial. Metode ini masih efektif dipakai menjebak pengguna Fb yg kurang awas. Siapalihat.com cuma salah sesuatu contoh terbaru yg muncul dalam dua hari terakhir.
Supaya terhindar dari jebakan serupa, Alfons menyarankan pengguna Fb agar jangan gampang yakin dengan iming-iming apapun, khususnya yg menawarkan bagi mengetahui siapa uang mengintip akun Fb pengguna.
“Karena Fb tak memperbolehkan hal ini dan akses keterangan ini secara resmi di-blok oleh Fb,” pungkasnya.
Ketika mencoba diakses oleh KompasTekno, situs Siapalihat.com telah tak mampu dibuka. Tapi tetap ada kemungkinan metode jebakan ini bakal kembali dipakai di kemudian waktu oleh aktor yg sama atau pihak lain. Tak ada salahnya buat lebih berhati-hati di jejaring sosial.
Sumber:
http://tekno.kompas.com/learn/2016/08/12/19270067/Jebakan.Siapa.Intip.Fb.Kamu.Incar.Pengguna.di.Indonesia
No associated submit!