Assalamualaikum wr wb, hallo guys selamat
malam kali ini saya akan membahas tentang keamanan ni, tapi keamanan yang jarang
di bahas oleh banyak orang, entah saya yang kurang info kali ya diluar sana
kwkaka, oke keamanan yang kita bahas ini adalah keamanan ponsel/smartphone
kalian, mungkin kalian menyangka smartphone kalian aman aman aja ya dari kejahatan
kejahatan hehe, saya pun menganggap seperti itu juga, tapi ternyata banyak cela
juga yang bisa penjahat masuk kedalam smartphone kita, oke kit masuk ke bahasan
lebih lanjut.
Pada saat kalianmenggunakan smartphone, berbagai apps,
berbagai layanan yang digunakan biasanya menggunakan pengaman biasanya berupa
password. Pertanyaannya "Yakin Aman?". Jawab
singkatnya "Tidak, kalian tetap harus berhati-hati". Mari
kita bahas lebih dalam beberapa pola serangan yang menyebabkan ini bisa
terjadi. Sedikit disclaimer, tulisan ini dibuat agar para pembaca lebih
berhati2 dalam menggunakan smartphonenya. Penulis berharap pembaca tidak
mempraktekannya. Penulis tidak bertanggung jawab jika pembaca mempraktekannya
dan berurusan dengan hukum
Motivasi penyerang
Motivasi penyerang secara fisik ke smartphone
kebanyakan adalah DUIT. Sebagian kecil adalah untuk kesenangan
pribadi, misalnya bisa melihat dokumen / foto yang ada di smartphone.Tidak
banyak serangan secara fisik ke smartphone yang kita gunakan dengan motivasi
idealisme, misalnya untuk melakukan indoktrinasi, seperti mencari pengikut
ISIS, melakukan teror.
Teknik serangan
sederhana
Ada beberapa teknik serangan yang relatif sederhana
dan mudah dilakukan, beberapa diantaranya adalah,
- Penipuan / social engineering.
- Memanfaatkan keteledoran pengguna.
- Penyadaan / sniffing.
Teknik penipuan (social engineering) sebetulnya bukan
kategori serangan fisik ke smartphone. Contoh nyata yang pernah terjadi,
seorang wanita melakukan LDR (Long Distance Relationship) melalui media sosial
dengan pria ganteng yang belum dia kenal. Pada tingkat rendah si pria bisa
meminta untuk pulsa telepon untuk bisa memuaskan si wanita untuk di telepon.
Pada tingkat lebih lanjut, biaya yang di keluarkan bukan cuma pulsa, tapi bisa
lebih besar. Seorang ibu yang menjadi korban di Indonesia, ada yang sampai
mengeluarkan uang ratusan juta karena LDR tersebut, Teknik ini di kenal
dengan love scam.
Teknik penipuan ini juga mencari korban di antara para
lelaki, penipuannya bisa beragam sekitar investasi, penggandaan uang. Korban
berjatuhan harus mengeluarkan uang beberapa juga bahkan ada yang ratusan juga.
Kebetulan salah satu korban adalah guru saya sendiri.
Teknik scam lainnya yang bisa memakan korban kaum
lelaki adalah menggunaan web cam. Ada banyak layanan di Internet yang
menawarkan video conference menggunakan web cam dengan wanita yang kemudian
akan membuka pakaiannya di hadapan kalian. Yang berbahaya adalah yang kalian
juga akan membuka pakaian kalian di depan cam tersebut. Sebagian besar dari
mereka akan merekam video kalianyang membuka pakaian bahkan bugil, dan nantinya
akan digunakan untuk memeras kalian untuk memperoleh uang. Jika uang tidak
diberikan maka video bugil kalian akan di sebarkan.
Keteledoran bisa menyebabkan serangan. Contoh yang paling sering terjadi,
smartphone tertinggal. Si penemu bisa memanfaatkan berbagai aplikasi yang ada
di smartphone tersebut, seperti Addressbook, WA, Telegram, Facebook, email
untuk kepentingan si penemu. Misalnya dengan membaca pola kita berinteraksi dan
mengirimkan pesan ke semua orang untuk memberikan bantuan uang karena dompet
kita ketinggalan / di copet. Yang lebih menyedihkan adalah jika ada file /
gambar pribadi yang tersimpan di smartphone tersebut, bukan mustahil bisa di
manfaatkan untuk memeras.
Teknik sederhana yang agak sedikit lebih advanced adalah melakukan
penyadapan / sniffing. Hal ini cukup mudah di lakukan oleh penyerang yang
menggunakan kali linux dan menjalankan aplikasi wireshark. Si penyerang
biasanya akan mangkal di free wifi / free hotspot di kampus / cafe / restoran
bahkan mungkin di angkringan, dan menyalakan laptopnya untuk melihat semua
komunikasi yang ada di wifi tersebut. Jika komunikasi tersebut tidak di
enkripsi maka akan dengan mudah terlihat di layar si penyerang. Oleh karena itu
agak berbahaya jika kita melakukan hal-hal yang terkait transaksi uang di free
wifi / free hotspot apalagi jika dilakukan tanpa enkripsi seperti menggunakan
https.
Teknik serangan yang lebih advanced
Teknik serangan yang lebih sulit, ini biasanya dilakukan oleh penyerang
senior yang mempunyai kemampuan teknik yang lebih tinggi. Beberapa teknik yang
dapat dilakukan adalah,
- Menggunakan keylogger.
- Melakukan brute force (pemaksaan).
- Membuat backdoor.
- Serangan Man in The Middle (MiTM).
Teknik-teknik ini dapat dengan mudah memperoleh username & password
dari smartphone atau aplikasi yang digunakan pada smartphone anda. Dengan
perolehan username & password, penyerang dapat dengan mudah melanjutkan
serangan untuk memperoleh keuntungan finansial dari relasi yang kita miliki.
Dalam serangan menggunakan keylogger, penyerang harus bisa menginstalasi
aplikasi keylogger di smartphone yang kita gunakan. Aplikasi keylogger akan
mencatat semua yang kita ketik, termasuk username & password, dan
mengirimkannya ke penyerang.
Pada masa lalu teknik serangan seperti ini banyak
dilakukan pada komputer di warnet. Pada saat ini, ternyata cukup banyak
keylogger untuk android. Pemasangan keylogger bisa dilakukan dengan berbagai
cara yang menyakinkan agar korban mau meminjamkan smartphonenya.
Pada serangan brute force, adalah teknik untuk menjebol password secara
paksa. Pada serangan brute force penyerang akan mencoba-coba berbagai kombinasi
kata / huruf / kalimat yang bisa digunakan untuk username atau password dari
aplikasi yang kita gunakan, misalnya email, media sosial dll.
Teknik serangan backdoor adalah teknik yang paling halus dan relatif agak
mudah dilakukan. Penyerang dapat membuat backdoor misalnya menggunakan aplikasi
metasploit di kali linux. Penyamaran aplikasi dapat dilakukan dengan mengembed
script dari metasploit pada aplikasi yang baik, ini dapat dilakukan dengan
mudah menggunakan msfvenom. Korban dibuat tertarik untuk mendownload dan
menginstalasi aplikasi yang "baik" ini di smartphone miliknya. Jika
korban menginstalasi dan menjalankan aplikasi tersebut, penyerang dapat
memonitor, merekam suara pembicaraan, melihat SMS bahkan melihat camera dengan
menggunakan meterpreter yang ada di metasploit. Yang lebih dahsyat, walaupun
layar smartphone korban berada dalam kondisi gelap / sleep, penyerang masih
tetap bisa mengakses smartphone tersebut dan melakukan aktifitas misalnya
merekam suara dan video melalui mic dan camera yang ada dismartphone
tersebut.
Teknik
serangan yang paling rumit adalah melakukan serangan Man in The Middle (MiTM). Pada
serangan ini penyerang akan berpura-pura sebagai router pada jaringan free
wifi, untuk kemudian bertindak sebagai perantara atau proxy bagi smartphone
korban saat berkomunikasi ke internet. Pada teknik MiTM, komunikasi terenkripsi
seperti https, seperti saat berselancar ke media sosial, dapat di jebol dengan
mudah. Akibatnya semua username dan password kita, maupun berbagai komunikasi
rahasia yang harusnya tidak bisa di baca menjadi transparan dan terbuka untuk
di baca.
Saran Untuk Mengamankan
Untuk
bisa mengamankan diri dari berbagai serangan ini sebetulnya cukup mudah,
misalnya,
- Jangan pernah langsung percaya, selalu lakukan cek dan recek.
- Jangan pernah percaya pada orang yang tidak di kenal, apalagi
yang memberikan janji-janji manis.
- Jangan pernah menginstalasi aplikasi dari sumber yang
kredibilitasnya tidak diketahui.
- Jangan pernah melakukan transaksi rahasia / keuangan di media
publik, seperti free wifi.
- Jika ingin melakukan transaksi keuangan sebaiknya
melakukannya melalui saluran 3G / 4G milik smartphone itu sendiri, jangan
melalui free wifi.
- Jangan pernah melakukan hal yang tidak baik, hate speech,
asusila, dll, karena itu bisa menjadi bahan untuk menjatuhkan bahkan memeras
kita.
Semoga bisa bermanfaat untuk
mengamankan kita semua dari hal yang tidak baik saat menggunakan smartphone. Wassalamualaikum Wr Wb
Sumber : Onno W Purbo ( Pakar IT Indonesia )
