13 Oct 2009

Hacking Yahoo Mail by Sucker

Mari kita pelajari bagaimana para “Sucker” bisa mendapatkan account (Username & Password) milik member Yahoo mail, Gmail, Friendster, bahkan iBank BNI, dan sebagainya.

Ada dua point penting yang perlu anda perhatikan dalam hal ini:
Pertama, FORM pada HTML, salah satu fungsinya adalah dapat digunakan untuk memasukkan data ke dalam database, atau menambahkan data ke dalam file yang rewrite-able. Data-data yang dimasukkan tersebut hanyalah text dan bisa berupa username, email, password, dan sebagainya.

Kedua, URL untuk Login, anda bisa langsung login ke situs Yahoo mail, Gmail, Friendster, dsb, tanpa perlu mengisikan Username dan Password pada FORM (kotak) login. Caranya?
Perhatikan URL di bawah ini, cobalah ganti teks “aaaaaa” dengan username Yahoo anda, dan ganti juga “bbbbbb” dengan password Yahoo anda, kemudian bukalah URL tersebut (secara lengkap) pada Web Browser.
Inilah URL-nya:
https://login.yahoo.com/config/login?login=aaaaaa&passwd=bbbbbb&.done=http://mail.yahoo.com

Nah, anda langsung masuk ke halaman (member area) Yahoo mail anda, kan?

Terus, apa hubungan dari kedua point di atas?
Jawabannya, untuk membuat situs palsu semirip mungkin dengan situs aslinya (Yahoo, Gmail, Friendster, dsb) tapi Form Login-nya diganti dengan Form (pada point pertama) di atas, sehingga jika ada seseorang yang Login lewat situs palsu tersebut maka username dan password yang dia masukkan akan tersimpan ke dalam database.

Setelah menyimpan data, Action Form tersebut akan membuka URL untuk login (point kedua), sehingga dia benar-benar login dan memasuki halaman member area di situs aslinya.

Cukup sederhana kan? Itulah yang (mungkin) disebut Phising, itulah cara “hacking” ala “Sucker”.
Mungkin anda akan berkata: “Ya ampun, cuma kayak gitu kok dibilang hacking sich??“.
Nah, karena itulah, mereka saya sebut sebagai “Sucker”, orang yang (maaf) tolol atau tepatnya “anak ingusan“. Sekarang, mari kita jelek-jelekkan mereka.

Kemungkinan besar, susunan syaraf atau reaksi kimia dalam otak mereka itu “tidak teratur”, sehingga mereka benar-benar sudah gila. Coba pikirkan, untuk apa sih meng-koleksi username & password (Yahoo mail, Gmail, Friendster, dsb) milik orang lain??
Paling-paling cuma memanfaatkan member area, melihat isi inbox, sent item, dsb. Yang jelas, cuma melihat-lihat privacy (rahasia) seseorang, nggak jauh beda dengan ngintip orang mandi. Hanya untuk mendapatkan kesenangan dalam otak mereka yang sudah berantakan itu.

Tentu saja mereka bisa berbuat jahil dan mengerjai para korban, sambil ketawa-ketawa sendiri dengan membayangkan bahwa sang korban akan gimana-gimana, seperti yang telah mereka khayalkan. Mereka betul-betul membutuhkan psikiater.

Tapi bagaimana jika yang mereka palsukan itu situs Internet Banking??
Wah, itu sudah tindakan kriminal namanya, dan perlu tindakan tegas untuk mengatasinya. Menurut saya sih, daripada nanti capek-capek mencari pelakunya, lebih baik diantisipasi (dicegah) aja, agar para “sucker” tidak mungkin bisa melakukan “phising” terhadap situs internet banking tersebut. Anda pasti sudah tahu cara mencegahnya jika anda benar-benar memahami penjelasan saya pada point pertama dan kedua di atas.

Satu-satunya kelemahan utama “phising” ini adalah, URL dari situs palsu tersebut, yang berbeda dengan situs aslinya. Misalnya seperti yang baru aja terjadi kemarin, http://ibank-bni.co.id adalah situs palsu dari http://ibank.bni.co.id, hampir mirip kan?
Kalo jaman dulu, ada http://klikbca.com yang dipalsukan oleh seorang anak ITB dengan http://klikbcs.com, dsb. Cara ini memanfaatkan kesalahan ketik seseorang, karena huruf S berada paling dekat dengan huruf A. Jadi, ketika ada yang salah ketik dan membuka KLIKBCS.COM, dia tidak akan begitu memperhatikan URL yang telah diketiknya, karena halaman web yang terbuka benar-benar seperti KLIKBCA.COM yang sering dia lihat, meskipun sebenarnya itu adalah situs palsu.

Perlu anda ketahui, bagi saya, semua pelaku phising adalah “sucker”, kecuali eks mahasiswa ITB yang saya sebutkan di atas, yang akhirnya menjadi “petugas-keamanan” di BCA. Tenang aja Bang, saya nggak akan menjelek-jelekkan “kakak-kelas” yang udah legendaris seperti Abang :)

Oh ya, ngomong-ngomong, phising yang saya bahas tadi adalah “Phising Kelas Satu“, karena masih punya kelemahan dan merupakan cara kuno yang sudah ketinggalan jaman. Tidak dilakukan di jaman sekarang kecuali oleh para “sucker”.

Tantangan Dari Sanji
http://sanjisan.wordpress.com

Wahai para “sucker”, saya mau menantang kalian. Buatlah sebuah situs Yahoo mail palsu, dan buatlah agar situs Yahoo palsu tersebut yang terbuka jika seseorang mengetikkan “http://mail.yahoo.com” atau “https://login.yahoo.com” pada web browsernya.
Bisakah kalian membuatnya???

Itulah yang saya sebut “Phising Kelas Dua“, yang lebih meyakinkan dan lebih modern. Tantangan ini saya batasi waktunya sampai saya mem-posting artikel di blog ini dengan judul “Cara Keren Hacking Yahoo Mail“, yang isinya membahas tentang rahasia dari tantangan saya ini beserta cara mengatasi/mencegahnya, insya-Allah.

Terima kasih telah membaca artikel ini. Jika anda punya masalah dengan artikel ini, silahkan hubungi saya.
* Original Content by Sanji-san (cedonulfi_at_yahoo_dot_com)

6 comments:

  1. klo buat facebook gmn??

    ReplyDelete
  2. kalo dah tau password email maka kalo untuk facebook gampang dan mudah. pake aja forgod password atau lupa password pada facebook, maka password facebook akan dikirim via email yang telah anda hack...mudah kan???

    ReplyDelete
  3. This examination is vital as a result of acceptance of graphics computer programs such
    as games. Believe me, you may choose buying a 32
    GB iPad for now, and be extremely satisfied with it.


    my page; Cydia download (http://newsaffairs.in/top/index.php?a=stats&u=evelynotoole)

    ReplyDelete
  4. Attractive section of content. I just stumbled upon your web site and in accession capital to assert that I acquire in fact enjoyed account your blog posts.
    Anyway I'll be subscribing to your feeds and even I achievement you access consistently quickly.


    My blog :: search engine optimization basics presentation

    ReplyDelete

Jangan lupa tinggalkan komentar :)