Situs lelang terkenal e-Bay nampaknya harus segera memperbaiki sistem otentifikasi websitenya setelah diketahui bahwa phisher dapat menipu anggota e-Bay untuk mendapatkan informasi dan data mereka.
Kelemahan yang lumayan berbahaya ini pertama kali dilaporkan oleh sebuah badan antiphising Inggris Netcraft. Modus operandinya tergolong canggih dan sangat menjebak. Pertama yang dilakukan para phisher ini adalah mengirim email yang mengharuskan para pengguna e-Bay melakukan update terhadap data mereka.
Sekilas memang e-mail tersebut terlihat normal, dan hebatnya, pelanggan benar-benar dibawa ke situs asli e-Bay untuk melakukan login disana yakni signin.ebay.com. Lalu apa masalahnya? Ternyata link yang diberikan pada email tadi memiliki sebuah parameter rahasia yang membawa pengguna ke halaman phishing lewat sebuah host open relay di servlet.ebay.com tepat setelah memasukkan username dan password serta menekan tombol "Sign In Securely".
Data rahasia milik pengguna e-Bay yang telah berpindah tangan ini kemungkinan akan digunakan oleh phisher tadi untuk membajak account pengguna atau bahkan membuat lelang palsu.
Netcraft sendiri mengetahui informasi ini dari seorang pengguna yang memiliki "antiphising toolbar" di komputernya sehingga serangan ini dapat digagalkan dan melaporkan kelemahan ini ke e-Bay minggu lalu.
Ini bukan kali pertama serangan atau penipuan terjadi kepada pelanggan e-Bay. Bulan Maret lalu ditemukan kasus serupa dengan modus yang mirip. Hanya saja waktu itu website yang digunakan untuk mengelabui pengguna dibuat mirip dengan halaman resmi milik e-Bay. Namun serangan terakhir ini diperkirakan Netcraft lebih efektif dibanding metode terdahulu.
"Saya yakin serangan kali ini jauh lebih serius karena lebih meyakinkan," kata Paul Mutton dari Netcraft. "Ini merupakan sesuatu yang harus diperbaiki e-Bay dengan menggunakan metode pemrograman yang lebih ketat," tambahnya.
Satu hal yang harus menjadi perhatian adalah jangan pernah mempercayai langsung apa yang dikirim melalui email maupun media lain seperti messenger jika ada undangan atau pemberitahuan tentang update data. Pengguna juga diminta mempergunakan aplikasi tambahan untuk mencegah serangan phising yang saat ini mulai berkembang.
Kelemahan yang lumayan berbahaya ini pertama kali dilaporkan oleh sebuah badan antiphising Inggris Netcraft. Modus operandinya tergolong canggih dan sangat menjebak. Pertama yang dilakukan para phisher ini adalah mengirim email yang mengharuskan para pengguna e-Bay melakukan update terhadap data mereka.
Sekilas memang e-mail tersebut terlihat normal, dan hebatnya, pelanggan benar-benar dibawa ke situs asli e-Bay untuk melakukan login disana yakni signin.ebay.com. Lalu apa masalahnya? Ternyata link yang diberikan pada email tadi memiliki sebuah parameter rahasia yang membawa pengguna ke halaman phishing lewat sebuah host open relay di servlet.ebay.com tepat setelah memasukkan username dan password serta menekan tombol "Sign In Securely".
Data rahasia milik pengguna e-Bay yang telah berpindah tangan ini kemungkinan akan digunakan oleh phisher tadi untuk membajak account pengguna atau bahkan membuat lelang palsu.
Netcraft sendiri mengetahui informasi ini dari seorang pengguna yang memiliki "antiphising toolbar" di komputernya sehingga serangan ini dapat digagalkan dan melaporkan kelemahan ini ke e-Bay minggu lalu.
Ini bukan kali pertama serangan atau penipuan terjadi kepada pelanggan e-Bay. Bulan Maret lalu ditemukan kasus serupa dengan modus yang mirip. Hanya saja waktu itu website yang digunakan untuk mengelabui pengguna dibuat mirip dengan halaman resmi milik e-Bay. Namun serangan terakhir ini diperkirakan Netcraft lebih efektif dibanding metode terdahulu.
"Saya yakin serangan kali ini jauh lebih serius karena lebih meyakinkan," kata Paul Mutton dari Netcraft. "Ini merupakan sesuatu yang harus diperbaiki e-Bay dengan menggunakan metode pemrograman yang lebih ketat," tambahnya.
Satu hal yang harus menjadi perhatian adalah jangan pernah mempercayai langsung apa yang dikirim melalui email maupun media lain seperti messenger jika ada undangan atau pemberitahuan tentang update data. Pengguna juga diminta mempergunakan aplikasi tambahan untuk mencegah serangan phising yang saat ini mulai berkembang.
--oOo--
Dari berita diatas bisa jadi pelajaran buat kita semuanya agar berhati-hati, salah satu contoh pishing adalah layanan web yang meminta informasi seperti email dan password. Cara tersebut bukan satu-satunya cara tetapi masih banyak cara-cara yang unik dan menggiurkan hingga korban tak berdaya.
--oOo--
Postingan
Moga-moga websiteku ngga diisengin hacker... Amiieennn.....