Aplikasi Pengintip Profil di FB Hanya Jebakan


Bagi sebagian orang, ingin melihat siapa yang sering melihat profil Anda di Facebook  pasti bikin penasaran. Mengklik tautan situs yang dimaksud bisa jadi bakal dilakukan untuk menjawab rasa penasaran yang berkecamuk.

melihat_profil

Padahal itu hanyalah satu dari sederet jebakan penjahat cyber untuk mengelabui korban. Ujung-ujungnya, akun Anda akan dieksploitasi.

Menurut praktisi keamanan internet dari Vaksincom Alfons Tanujaya, Facebook belakangan tengah diserang oleh sejumlah aksi SelfXSS (Self Cross Site Scripting) dengan tema:

-. BBM for Facebook.

-. Aplikasi pengintip profil Facebook.

-. Trik mengetahui password Facebook teman Anda.

Ia menjelaskan, tujuan mengeksploitasi celah keamanan SelfXSS ini guna meningkatkan like dan mention secara ilegal. Dari dua situs eksploitasi SelfXSS yang dipantau oleh Vaksincom saja jumlah mention yang dilakukan totalnya lebih dari 300.000 mention

“Vaksincom tidak akan terkejut jika akun Facebook yang mendapatkan serangan SelfXSS mencapai angka ratusan ribu akun Facebook di Indonesia. Perlu Anda ketahui, sampai saat ini aksi eksploitasi SelfXSS masih tetap berjalan dan tidak tertutup kemungkinan tema yang diusung akan berubah,” wanti-wanti Alfons.

Karena itu, pengguna Facebook harap berhati-hati dan jangan pernah percaya jika diminta untuk menjalankan Web console [Ctrl] [Shift] [K] di Firefox atau [Ctrl] [Shift] [J] di Chrome dan mengkopikan kode yang telah dipersiapkan sebelumnya.

“Anda tidak akan mendapatkan iming-iming yang dijanjikan, sebaliknya akun Facebook Anda akan melakukan mention massal ke seluruh kontak dan like massal. Kabar baiknya, administrator Facebook kelihatannya sudah mulai mencium aksi ini,” lanjutnya.

Selain script yang menggunakan tema BBM for Facebook, ada beberapa script sejenis yang beredar di dunia maya dengan tema berbeda. Salah satunya adalah trik lama dan masih sering digunakan adalah iming-iming bagi pemilik akun Facebook untuk mengetahui siapa saja yang mengunjungi profil Facebooknya.

Mungkin fasilitas untuk melihat siapa saja yang mengunjungi akun media sosial Anda (who viewed your profile) cukup populer di platform media sosial lain seperti Linkedin yang malahan menjadikan fitur ini sebagai fitur berbayar.

Tetapi hal ini sangat berbeda di Facebook. Facebook memiliki kebijakan menjaga privasi siapapun yang mengunjungi profil Anda dan tidak akan memberikan informasi ini kepada pemilik akun Facebook yang dikunjungi ini karena menganggap bahwa informasi ini sifatnya pribadi dan akan terjadi pelanggaran hal/privasi pengunjung jika informasi ini diberikan.

Bahkan sebaliknya, jika ada apps yang mengklaim bisa menunjukkan siapa yang melihat profil Anda, hal tersebut merupakan penipuan karena data tersebut tidak disediakan oleh Facebook untuk pembuat apps Facebook dan jelas janji yang diberikan adalah palsu.

“Facebook malah meminta Anda melaporkan kepada administrator Facebook jika ada aplikasi yang mengklaim bisa memberikan informasi ini,” kata Alfons.

Jika script dijalankan, maka akun korban akan dibuat melakukan mention dan like pada page atau situs tertentu.

Jangan mudah Termakan Iming-iming Alfons menjelaskan, salah satu keuntungan dari layanan berbasis cloud adalah pengamanan dan perawatan atas database dilakukan oleh pengelola database cloud.

Jika kita mendapatkan layanan berkualitas dengan administrator yang tanggap maka aksi eksploitasi terhadap database cloud akan sulit dilakukan. Hal ini juga berlaku untuk akun Facebook Anda yang dikelola oleh administrator Facebook di ‘awan’.

Menurut pengamatan Vaksincom, dibandingkan dengan layanan media sosial lainnya, selama ini administrator Facebook termasuk sangat tanggap dan aktif memburu aksi-aksi malware dan eksploitasi akun Facebook dan banyak melakukan tindakan yang diperlukan baik reaktif ataupun proaktif agar aksi jahat yang sama tidak terulang.

“Hal ini terbukti dari cepatnya tanggapan Facebook menonaktifkan akun percobaan Vaksincom dan secara otomatis melakukan pemblokiran autolike dan menghapus semua autolike yang terjadi tanpa diminta,” papar Alfons

Sebenarnya eksploitasi SelfXSS ini bisa berhasil lebih disebabkan faktor rekayasa sosialnya daripada celah keamanan SelfXSS itu sendiri.

Selain itu, eksploitasi SelfXSS ini merupakan kelemahan dari browser Firefox dan Chrome yang seharusnya bukan merupakan tanggung jawab Facebook, namun mungkin karena kepedulian yang tinggi atas kelangsungan layanannya sehingga tindakan proaktif seperti pada gambar  di atas dilakukan tanpa diminta.

Untuk menjadi korban dari eksploitasi ini secara teknis agak sulit dan eksploitasi tidak bisa berjalan secara otomatis. Pengguna peramban/pemilik akun Facebook harus dengan sadar melakukan copy dan paste coding ke browser dan menjalankannya (menekan tombol [Enter]).

Hal ini sama saja dengan menjalankan kode pemrograman yang isinya bisa apa saja. Kalau dalam hal ini akibatnya ‘hanya’ melakukan auto like, auto mention.

“Namun perlu Anda sadari, di masa depan coding bisa saja berisi malware yang bukan saja berdampak pada akun Facebook Anda, tetapi juga bisa melakukan aksi jahat lain seperti mencuri data dan dokumen penting dari komputer, menghancurkan data, menginfeksi komptuer lain di jaringan atau aksi jahat lain seperti mengenkripsi data komputer Anda dan meminta tebusan uang seperti yang dilakukan oleh Cryptolocker,” lanjut Alfons.

“Karena itu, Vaksincom menghimbau para pengguna komputer untuk tidak mudah termakan iming-iming dan jangan pernah menjalankan coding yang tidak diketahui keamanannya,” ia menandaskan.

Sumber: http://inet.detik.com/

One response »

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s