BERBAGI

HzCrash.my.idCari tahu siapa yg mengintip Facebook kamu. Yang melihat Facebookku adalah…,” sebut sebuah posting di wall pengguna Facebook, diikuti deretan nama teman-teman yg dikatakan sudah “mengintip” laman Facebook dari pembuat posting yg bersangkutan.

Tawaran itu membuat penasaran. Maklumlah, selama ini Facebook dikenal merahasiakan siapa saja teman  yg kadang mengunjungi (mengintip) akun pengguna. Alamat URL menuju sebuah situs bernama “siapalihat.com” yg dicantumkan di posting tadi pun dikunjungi.

Tanpa disadari, pengguna akan terjebak posting yg sebenarnya disebarkan oleh Spam Bot lewat akun pengguna yang lain yg telah dijebak sebelumnya.

Instruksi-instruksi di siapalihat.com, apabila diikuti, mulai memasang Spam Bot bagi membajak akun Facebook pengguna dan menyebarkan posting sejenis ke laman teman-taman Facebook, tanpa sepengetahuan pemilik akun. Posting pun tersebar secara berantai melalui pengguna-pengguna yang lain yg juga terjebak.

Alfons Tanujaya/ Vaksin.com Model posting spam yg disebarkan oleh Spam Bot ke teman-teman pengguna di Facebook tanpa disadar oleh pemilik akun.

Iming-iming mengetahui siapa yg mengintip akun Facebook pengguna tidak yang lain yaitu pancingan bagi mengelabui pengguna sehingga jatuh dalam jebakan. Teknik semacam ini dikenal dengan istilah rekayasa sosial (social engineering).

Pengguna Facebook Indonesia diincar

Praktisi keamanan internet dari Vaksincom, Alfons Tanujaya, menyampaikan dalam dua hari belakangan banyak beredar jebakan Spam Bot yg mengincar pengguna Facebook Indonesia. Dia menduga sang pembuat Spam Bot berasal dari salah sesuatu kota di Tanah Air.

Baca Juga:  IPhone 7 Ada Versi Penyimpanan 256 GB?

“Saat ini yg jadi sasaran penting adalah pengguna Facebook. Mungkin karena basis penggunanya paling besar dan banyak apps pendukung sehingga banyak celah yg dapat dieksploitasi,” kata Alfons ketika dihubungi KompasTekno, Jumat (12/8/2016).

“Apps pendukung” yg dimaksud adalah aplikasi eksternal yg dibuat pihak ketiga serta mampu mengakses data dan hak khusus dari Facebook pengguna.

Alfons Tanujaya/ Vaksin.com Tampilan laman situs Siapalihat yg alamatnya tertera dalam posting yg disebarkan oleh Spam Bot

Aplikasi jenis ini rentan memiliki celah keamanan sehingga dapat disusupi Spam Bot bagi menulis dan menyebarkan posting tanpa sepengetahuan pengguna. Alfons mencontohkan aplikasi HTC Sense yg dipakai oleh situs siapalihat.com di atas.

Situs mulai meminta pengguna mengunduh HTC Sense, dahulu memberikan hak akses bagi posting di Facebook kepada aplikasi tersebut dan menyisipkan Spam Bot melalui barisan kode “Access Token” Facebook yg di-copy paste. Setelahnya, Spam Bot pun bersiap beraksi.

“HTC Sense itu aplikasi resmi yg sebenarnya tak bersalah. Tetapi karena dieksploitasi sedemikian rupa jadi dapat memberikan akses autoposting ke Spam Bot,” papar Alfons. Tentu, tak menutup pula kemungkinan aplikasi yang lain yg dipakai.

Ujung-ujungnya duit

Untuk apa sang pembuat Spam Bot menyebarkan posting secara berantai di Facebook? Ternyata, ujung-ujungnya duit juga.

Menurut Alfons, posting spam yg disebarkan di Facebook bertujuan mengalihkan pengguna ke situs sang pembuat dengan menyertakan alamat URL ke laman terkait, contohnya seperti siapalihat.com di atas.

Semakin banyak pengguna Facebook yg terkecoh mengunjungi situs tersebut, semakin banyak pula trafik yg tiba sehingga pembuat Spam Bot dapat mendatangkan uang dengan memasang lapak iklan Google Ads.

Baca Juga:  Amvesindo Dan Singapura Gagas Dewan Modal Ventura ASEAN

“Situs siapalihat.com itu penuh dengan iklan dan pop up yg kalau di-klik mulai memberikan keuntungan finansial untuk pemilik situs,” jelas Alfons. Jadi, situs siapalihat.com memiliki beberapa peranan. Pertama adalah sebagai perantara buat menanam Spam Bot di akun pengguna Facebook. Kedua, sebagai tempat bagi menaruh lapak iklan. 

Alfons Tanujaya/ Vaksin.com Situs siapalihat.com menginstruksikan pengguna bagi melakukan copy-paste baris kode Access Token Facebook. Baris kode inilah yg menyebabkan Spam Bot mampu membajak akun pengguna dan menyebarkan spam.

Jebakan Spam Bot dengan rekayasa sosial sendiri sebenarnya telah lama dipakai dan disebarkan di media sosial. Metode ini masih efektif dipakai menjebak pengguna Facebook yg kurang awas. Siapalihat.com cuma salah sesuatu contoh terbaru yg muncul dalam dua hari terakhir.

Supaya terhindar dari jebakan serupa, Alfons menyarankan pengguna Facebook agar jangan gampang yakin dengan iming-iming apapun, khususnya yg menawarkan bagi mengetahui siapa uang mengintip akun Facebook pengguna.

“Karena Facebook tak memperbolehkan hal ini dan akses keterangan ini secara resmi di-blok oleh Facebook,” pungkasnya.

Ketika mencoba diakses oleh KompasTekno, situs Siapalihat.com telah tak dapat dibuka. Tapi tetap ada kemungkinan metode jebakan ini bakal kembali dipakai di kemudian waktu oleh aktor yg sama atau pihak lain. Tak ada salahnya bagi lebih berhati-hati di jejaring sosial.
Sumber: http://tekno.kompas.com

Tinggalkan Balasan

This site uses Akismet to reduce spam. Learn how your comment data is processed.