Dalam kurun waktu sekitar tiga bulan terakhir ini, dua orang teman saya kehilangan akun Yahoo! dengan cara dibajak lewat penipuan halaman Web palsu. Cerita kedua — dan mudah-mudahan terakhir — datang secara mengenaskan dari Dian Rahmadian Lestari Arbianita, yang kehilangan akun kesayangannya — sekaligus “cap identitas” dirinya yang paling sohor: endhoot.
Tragedi tersebut berlangsung hari Jumat pekan lalu. Pagi itu, Dian menerima pesan offline dari akun salah seorang teman lama. Isinya berupa permintaan dia untuk membuka koleksi foto yang disediakan di sebuah URL yang menggunakan nama domain geocities.com, yakni http://in.geocities.com/awawsq3/pics.html (salinan, 136 kB). Terlihatlah di sana sebuah halaman Web yang meniru tampilan Yahoo! Photos dengan sedikit bagian yang mencurigakan adalah adanya tiga buah blok kecil Geocities di kiri atas. Laman-laman pembuka layanan Yahoo! tidak menampilkan iklan Geocities — kendati demikian, kecurigaan seperti ini memang sangat mungkin terlewat diamati oleh banyak pengunjung.
Bagian yang dimanfaatkan oleh pembajak akun Yahoo! adalah boks login yang telah diubah alamat pengiriman isian formulir loginnya ke http://villanos.net/herreria/servicios/totmail20/totmail20.cgi dan hasil pengolahan skrip CGI itu akan diteruskan ke awawsq3@yahoo.com. Skrip yang disediakan oleh Villanos.net tersebut agaknya telah dimanfaatkan oleh beberapa script kiddies, terbukti keluhan pembajakan akun Yahoo! serupa juga dilontarkan oleh Lance Foxx.
Menurut Dian, proses pembajakan akun berlangsung cepat. Setelah dia mengisi form, menekan tombol “Sign In”, muncul halaman respon dalam bahasa Spanyol (koleksi foto yang dijanjikan sama sekali tidak tersedia!), dan beberapa menit berselang, pager Yahoo! Messenger yang dia gunakan mulai terganggu, dan berakhir dengan kegagalan login. Sandi lewat untuk login di semua layanan Yahoo! — yang memang dikelola secara terpusat — sudah diubah, sehingga praktis pemilik sah akun tersebut gagal mengakses halaman pribadinya. Dicoba dipulihkan lewat bantuan “Forgot your Password”, sia-sia: informasi pribadi yang diisikan di konfigurasi personal akun tersebut telah diubah!
Seperti yang dialami Dian, bagian yang memedihkan dari kehilangan akun Yahoo! adalah kemungkinan hilangnya identitas kita di dunia maya. Identitas endhoot sudah sedemikian melekat untuk Dian, dikenali oleh komunitas dia di dunia maya, dan tentu perlu usaha dari awal lagi untuk membangun identitas baru. Dengan jumlah akun di Yahoo! yang sudah puluhan juta, bisa merepotkan memperoleh identitas yang sama persis dengan gambaran ideal kita.
Berikutnya adalah persoalan pemakaian akun tersebut untuk banyak layanan di Internet — baik itu di Yahoo! sendiri, pun di situs-situs lain. Akun-akun di tempat lain yang masih menggunakan alamat email di Yahoo! untuk keperluan administrasi jelas harus segera diubah bagian alamat email tersebut. Sebuah proses yang sangat tidak nyaman dan membuat frustasi.
Cerita dari teman yang sebelumnya mengalami kecelakaan serupa kurang jelas dibanding yang dipaparkan Dian, namun modusnya sama: halaman Web login ke layanan Yahoo! dipakai untuk mengecoh pengunjung. Saat itu, nama domain yang digunakan untuk menipu seingat dia adalah indonesiaorchid.com. Sayangnya saya coba memeriksa situs tersebut lewat perambah dan layanan whois, tidak ada hasil yang memadai. Barangkali dia luput mengingat-ingat nama domain si pembajak.
Karena skrip untuk mengumpulkan mendapatkan alamat email dari isian form login Yahoo! tersedia di
Villanos.net dan menyalin mentah-mentah sebuah halaman Web
sangat mudah dilakukan, penjelajah situs Web perlu sangat
berhati-hati jika hendak mengisikan identitas dirinya, termasuk
login ke sebuah layanan:
- Pastikan bahwa halaman login tersebut dipunyai oleh penyedia jasa yang akan kita kunjungi. Jika hendak login ke layanan Yahoo! misalnya, pastikan bahwa halaman login tersebut memang disediakan oleh Yahoo!, yakni di http://login.yahoo.com.
- Manfaatkan login lewat fasilitas yang lebih aman, yakni koneksi HTTPS. Contohnya, di halaman login Yahoo! terdapat bagian “Secure”; selain memang sangat dianjurkan untuk mengirimkan informasi seperti sandi lewat, pengunjung dapat membaca penjelasan sertifikat keamanan perihal kevalidan halaman Web tersebut. Untuk Mozilla Firefox, informasi tersebut dapat dilihat dari menu Page Info - Security. Pada kasus yang dialami Dian, terlihat bahwa halaman “Secure” masih berisi taut ke halaman sah untuk login ke Yahoo!.
- Pertimbangkan baik-baik sebelum memberikan wewenang kepada layanan di Internet untuk mengakses akun kita secara otomatis. Ringo misalnya, menyediakan layanan penambahan teman untuk akun Yahoo!, MSN, dan Gmail. Yakinkan terlebih dulu bahwa penyedia tawaran tersebut cukup kredibel dan jangan mengorbankan akun penting Anda hanya semata-mata beralasan awal kepraktisan. Adakalanya mengoperasikan Web dengan menghindari beberapa bagian dari otomasi, membuat pemakai lebih selamat.
I hope you make a lot of nice friends out there
But just remember there’s a lot of bad and beware
— Wild World, oleh Cat Stevens
Itu lagunya Cat Stevens sering sekali salah dengar. Harusnya “there’s a lot of bad air, beware”.
BTW, saya juga pernah jadi korban phishing seperti ini karena teledor. Lima detik kemudian saya sadar, saya sudah terlanjur memasukkan password saya. Langsung buru2 saya ganti passwordnya, untung masih bisa. Jadi account saya selamat. Langsung saya laporkan ke yahoo, dan account si penipu langsung ditutup tidak lama kemudian.
Kalo ingin login ke layanan Yahoo, masuk saja halaman depan saja. Jangan dari halaman lain, siapa tahu itu halaman “palsu”
turut menyesal buat dian dan lainnya yang terkena phising ini. *pernah nyaris kena juga soalnya
mungkin Ronny#2 bisa bagi cerita, dikirim kemana sih pengaduan nya.
Masuk Yahoo!, cari “Report Abuse” di “Help” yg linknya ada di bagian bawah setiap pagenya Yahoo!.
semoga endhoot dikembalikan ke pemiliknya (Mbak Diyan)
News.com menurunkan sebuah laporan panjang tentang pencurian ID dengan judul Identity Crisis. Baca deh …
pakai yahoo cuma buat ikutan groups sama chat saja selebihnya tidak, karena yahooo …… gak pake https ( atau mungkin sudah entahlah)
HTTPS di Yahoo! dapat digunakan pada saat login, lewat menu Secure. Untuk keperluan saya, hal tersebut sudah memadai.
Halowww, bang Amal.. hehehe.. (tika panggil bang Amal yaaa…:p) Berhubung postingannya gak tau knapa tak terupdate sampe sekarang, tika duluiin deh.. Met Lebaraaann.. Kmana aja bang? Lama gak posting..
::tikabanget::
sepertinya.. saya korban terbaru.. hiks.. hiks..