Smartphone Pakai Password, Yakin Tetap Aman?


Pada saat Anda menggunakan smartphone, berbagai apps, berbagai layanan yang digunakan biasanya menggunakan pengaman biasanya berupa password. Pertanyaannya "Yakin Aman?" Jawab singkatnya, "Tidak, Anda tetap harus berhati-hati". Mari kita bahas lebih dalam beberapa pola serangan yang menyebabkan ini bisa terjadi. Sedikit disclaimer, tulisan ini dibuat agar para pembaca lebih berhati-hati dalam menggunakan smartphone-nya. Penulis berharap pembaca tidak mempraktekannya. Penulis tidak bertanggung jawab jika pembaca mempraktekannya dan berurusan dengan hukum.


Motivasi penyerang

Motivasi penyerang secara fisik ke smartphone kebanyakan adalah DUIT. Sebagian kecil adalah untuk kesenangan pribadi, misalnya bisa melihat dokumen/foto yang ada di smartphone.Tidak banyak serangan secara fisik ke smartphone yang kita gunakan dengan motivasi idealisme, misalnya untuk melakukan indoktrinasi, seperti mencari pengikut ISIS, melakukan teror. 


Teknik serangan sederhana

Ada beberapa teknik serangan yang relatif sederhana dan mudah dilakukan, beberapa d iantaranya adalah:
  • Penipuan / social engineering.
  • Memanfaatkan keteledoran pengguna.
  • Penyadaan / sniffing.


Teknik penipuan (social engineering) sebetulnya bukan kategori serangan fisik ke smartphone. Contoh nyata yang pernah terjadi, seorang wanita melakukan LDR (Long Distance Relationship) melalui media sosial dengan pria ganteng yang belum dia kenal. Pada tingkat rendah si pria bisa meminta untuk pulsa telepon untuk bisa memuaskan si wanita untuk di telepon. Pada tingkat lebih lanjut, biaya yang di keluarkan bukan cuma pulsa, tapi bisa lebih besar. Seorang ibu yang menjadi korban di Indonesia, ada yang sampai mengeluarkan uang ratusan juta karena LDR tersebut, Teknik ini di kenal dengan love scam.

Teknik penipuan ini juga mencari korban di antara para lelaki, penipuannya bisa beragam sekitar investasi, penggandaan uang. Korban berjatuhan harus mengeluarkan uang beberapa juga bahkan ada yang ratusan juga. Kebetulan salah satu korban adalah guru saya sendiri.

Teknik scam lainnya yang bisa memakan korban kaum lelaki adalah menggunaan web cam. Ada banyak layanan di Internet yang menawarkan video conference menggunakan web cam dengan wanita yang kemudian akan membuka pakaiannya di hadapan anda. Yang berbahaya adalah yang Anda juga akan membuka pakaian Anda di depan cam tersebut. Sebagian besar dari mereka akan merekam video Anda yang membuka pakaian bahkan bugil, dan nantinya akan digunakan untuk memeras Anda untuk memperoleh uang. Jika uang tidak diberikan maka video bugil Anda akan di sebarkan.

Keteledoran bisa menyebabkan serangan. Contoh yang paling sering terjadi, smartphone tertinggal. Si penemu bisa memanfaatkan berbagai aplikasi yang ada di smartphone tersebut, seperti Addressbook, WA, Telegram, Facebook, email untuk kepentingan si penemu. Misalnya dengan membaca pola kita berinteraksi dan mengirimkan pesan ke semua orang untuk memberikan bantuan uang karena dompet kita ketinggalan/dicopet. Yang lebih menyedihkan adalah jika ada file / gambar pribadi yang tersimpan di smartphone tersebut, bukan mustahil bisa di manfaatkan untuk memeras.

Teknik sederhana yang agak sedikit lebih advanced adalah melakukan penyadapan / sniffing. Hal ini cukup mudah di lakukan oleh penyerang yang menggunakan kali linux dan menjalankan aplikasi wireshark. Si penyerang biasanya akan mangkal di free wifi/free hotspot di kampus/kafe/restoran bahkan mungkin di angkringan, dan menyalakan laptopnya untuk melihat semua komunikasi yang ada di wifi tersebut. Jika komunikasi tersebut tidak di enkripsi maka akan dengan mudah terlihat di layar si penyerang. Oleh karena itu agak berbahaya jika kita melakukan hal-hal yang terkait transaksi uang di free wifi/free hotspot apalagi jika dilakukan tanpa enkripsi seperti menggunakan https. 


Teknik serangan yang lebih advanced

Teknik serangan yang lebih sulit, ini biasanya dilakukan oleh penyerang senior yang mempunyai kemampuan teknik yang lebih tinggi. Beberapa teknik yang dapat dilakukan adalah,
  • Menggunakan keylogger.
  • Melakukan brute force (pemaksaan).
  • Membuat backdoor.
  • Serangan Man in The Middle (MiTM).


Teknik-teknik ini dapat dengan mudah memperoleh username & password dari smartphone atau aplikasi yang digunakan pada smartphone anda. Dengan perolehan username & password, penyerang dapat dengan mudah melanjutkan serangan untuk memperoleh keuntungan finansial dari relasi yang kita miliki.

Dalam serangan menggunakan keylogger, penyerang harus bisa menginstalasi aplikasi keylogger di smartphone yang kita gunakan. Aplikasi keylogger akan mencatat semua yang kita ketik, termasuk username & password, dan mengirimkannya ke penyerang. Pada masa lalu teknik serangan seperti ini banyak dilakukan pada komputer di warnet. Pada saat ini, ternyata cukup banyak keylogger untuk android. Pemasangan keylogger bisa dilakukan dengan berbagai cara yang menyakinkan agar korban mau meminjamkan smartphone-nya. 

Pada serangan brute force, adalah teknik untuk menjebol password secara paksa. Pada serangan brute force penyerang akan mencoba-coba berbagai kombinasi kata/huruf/kalimat yang bisa digunakan untuk username atau password dari aplikasi yang kita gunakan, misalnya email, media sosial dll.

Teknik serangan backdoor adalah teknik yang paling halus dan relatif agak mudah dilakukan. Penyerang dapat membuat backdoor misalnya menggunakan aplikasi metasploit di kali linux. Penyamaran aplikasi dapat dilakukan dengan mengembed script dari metasploit pada aplikasi yang baik, ini dapat dilakukan dengan mudah menggunakan msfvenom. Korban dibuat tertarik untuk mendownload dan menginstalasi aplikasi yang "baik" ini di smartphone miliknya. Jika korban menginstalasi dan menjalankan aplikasi tersebut, penyerang dapat memonitor, merekam suara pembicaraan, melihat SMS bahkan melihat camera dengan menggunakan meterpreter yang ada di metasploit. Yang lebih dahsyat, walaupun layar smartphone korban berada dalam kondisi gelap / sleep, penyerang masih tetap bisa mengakses smartphone tersebut dan melakukan aktifitas misalnya merekam suara dan video melalui mic dan camera yang ada di smartphone tersebut. 

Teknik serangan yang paling rumit adalah melakukan serangan Man in The Middle (MiTM). Pada serangan ini penyerang akan berpura-pura sebagai router pada jaringan free wifi, untuk kemudian bertindak sebagai perantara atau proxy bagi smartphone korban saat berkomunikasi ke internet. Pada teknik MiTM, komunikasi terenkripsi seperti https, seperti saat berselancar ke media sosial, dapat di jebol dengan mudah. Akibatnya semua username dan password kita, maupun berbagai komunikasi rahasia yang harusnya tidak bisa di baca menjadi transparan dan terbuka untuk di baca.

Saran Untuk Mengamankan

Untuk bisa mengamankan diri dari berbagai serangan ini sebetulnya cukup mudah, misalnya, 
  • Jangan pernah langsung percaya, selalu lakukan cek dan recek.
  • Jangan pernah percaya pada orang yang tidak di kenal, apalagi yang memberikan janji-janji manis.
  • Jangan pernah menginstalasi aplikasi dari sumber yang kredibilitasnya tidak diketahui.
  • Jangan pernah melakukan transaksi rahasia/keuangan di media publik, seperti free wifi. Jika ingin melakukan transaksi keuangan sebaiknya melakukannya melalui saluran 3G/4G milik smartphone itu sendiri, jangan melalui free wifi.
  • Jangan pernah melakukan hal yang tidak baik, hate speech, asusila, dll, karena itu bisa menjadi bahan untuk menjatuhkan bahkan memeras kita.


Semoga bisa bermanfaat untuk mengamankan kita semua dari hal yang tidak baik saat menggunakan smartphone.




Share on Google Plus

About semarang rentcar

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment
    Facebook Comment

0 komentar :

Posting Komentar