02
Sep
09

email palsu dalam social engineering

Ternyata bikin email palsu tidak sesulit yang dibayangkan. Email palsu, email siluman (siluman ular putih), dan banyak lagi sebutan lainnya, biasanya digunakan untuk niat yang tidak baik, seperti menipu orang, mengambil id dan password orang, mencuri nomor kartu kredit dan PIN atau dapat dikatakan sebagai tools untuk social engineering. Sebagai contoh seperti ini: Anda menerima email dari admin facebook dan dikatakan pada email tersebut bahwa server facebook sedang dalam perbaikan dan Anda diminta untuk melakukan login dengan menekan link yang biasanya terdapat di bawah email tersebut. Jika Anda percaya dan menekan link tersebut, Anda akan diarahkan pada halaman login facebook palsu. Karena halaman login tersebut sama dengan halaman login aslinya (phising), secara reflek (ini menandakan bahwa Anda keranjingan facebook) Anda melakukan login dan selesai. Lalu selesai pulalah account facebook Anda, karena username dan password yang Anda masukkan tadi masuk ke database orang yang menipu Anda. Mungkin juga selesai pulalah account email Anda jika password email Anda sama dengan password facebook.

Jika hacker tersebut mengganti password facebook Anda dan Anda tidak bisa masuk, Anda bisa sedikit lega. Lho kok bisa? Bagaimana mungkin kita kehilangan account bisa lega?! Tenang.. kenapa bisa sedikit lega? Ya karena Anda jadi tahu kalau account Anda telah dicuri orang, jadi Anda tinggal bikin account baru lagi dan lebih berhati-hati lagi. Tapi bagaimana jika hacker tersebut tidak mengubah password Anda? Orang tersebut dapat dengan mudah keluar masuk ke account facebook atau email Anda tanpa Anda sadari. Lebih mengerikan bukan? Kalo di dalam inbox Anda terdapat email yang “aneh-aneh”, maka topeng yang selama ini Anda jaga dengan baik-baik kan jadi terbuka😀. Itu adalah salah satu motivasi menggunakan email palsu sebagai alat social engineering. Mungkin di sini saya tidak membahas secara detail bagaimana cara membuat email palsu tapi lebih ke social engineering. Sebenernya kalo ingin membuat email palsu dengan php cukup dengan perintah “mail()” saja sudah cukup, tetapi saya pengen ngasi tau untuk apa kita membuat email palsu atau dimana letak email palsu di dalam social engineering. Kali ini saya akan mencoba untuk mendapatkan username dan password facebook dari seseorang.

Pertama-tama siapkan alatnya:

  1. Bikin account di web hosting yang ada php dan MySQL nya. Nyari aja di internet tanya mbah gugel, pasti ada banyak web hosting yang gratisan.
  2. Bikin database sederhana untuk menyimpan informasi yang akan kita ambil.
  3. Bikin form yang isinya alamat email pengirim, email penerima, subjek, dan pesan.form email
  4. Skrip php untuk mengirim email :

  5. mail ($_POST["email_korban"], $_POST["subjek"], $_POST["isi_email"], "From: ".$_POST["pengirim"]);
  6. Buat halaman login facebook seperti aslinya, bisa copy paste atau bikin sendiri terserah.facebook
  7. Kemudian arahkan form ke proses login dengan memasukkan username dan password ke dalam database.
  8. Tampilkan halaman terimakasih jika proses penyimpanan username dan password selesai.

Jika bahan-bahan sudah siap, kita akan mulai masaknya:

  1. Masukkan email pengirim (misal: admin@facebook.com), email penerima (email target, misal: ce_cantik@yahoo.com), subjek (misal: Konfirmasi Akun Facebook), dan isi email (dengan bahasa yang baik dan benar) ke dalam form email palsu yang tadi telah kita buat. Di sinilah social engineering akan bermain, yaitu bagaimana membuat seseorang yakin bahwa email ini benar-benar dari facebook.
  2. Jangan lupa buat link yang menuju ke halaman login facebook palsu yang sudah kita buat tadi  ke dalam isi email.
  3. Menunggu. Sambil menunggu target kita kena jebakan kita apa nggak, kita bisa bikin email lagi untuk target yang lain, sukur-sukur punya ilmu buat ngeliat address book, jadi program kita akan secara otomatis ngirim email yang sama ke alamat email yang ada di address book (kalo yang satu ini saya belum bisa :D).

Mudah sekali bukan? Kita tinggal menunggu beberapa hari, lalu melihat database yang kita buat tadi, apakah sudah ada isinya apa belum. Jika sudah ada isinya, terserah Anda mo diapain. Sebenernya ada banyak cara untuk membuat email palsu salah satunya dengan menggunakan php ini. Tidak hanya facebook atau email, bahkan cara ini juga pernah dilakukan untuk mengambil nomor kartu kredit dan PIN dari orang lain. Caranyapun bervariasi, bisa berkedok sebagai tawaran produk baru, pengumuman menang hadiah, melengkapi identitas diri atau identitas keluarga, dan lain-lain. Kalo yang pernah aku lakuin, aku ngirim email berkedok penawaran facebook-an lewat ponsel gratis, hehehe. Alasan-alasan itu dapat anda pikirkan sendiri.

Kemudian jika sudah, saran saya adalah jangan menggunakan ilmu yang Anda dapat ini untuk tujuan yang tidak baik. Kalo untuk motivasi ngisengin temen gpp lah, tapi juga jangan keterlaluan, misalnya Anda bikin email pengirimnya presiden RI trus isinya adalah tawaran untuk jadi menteri, kasian temennya dong kalo dia percaya. Lalu bagaimana caranya agar kita tahu kalau ini adalah email asli atau palsu? Hal itu dapat dilihat dari header email, karena di dalam header email kita akan tau alamat IP pengirim, dan dengan memakai whois kita dapat mengetahui nama pemilik server. Bagaimana caranya membaca header email ada di postingan sebelum ini, atau klik di sini. Kemudian kenapa aku ngajarin kayak gini? Itu karena biar kita tahu bagaimana jalan pikiran atau metode yang dipakai hacker, sehingga kita akan selalu berhati-hati dan waspada dalam menggunakan internet. To catch a thief you must think like a thief, ini adalah basic dari ethical hacking.


6 Responses to “email palsu dalam social engineering”


  1. 6 September 2009 at 10:22 pm

    “To catch a thief you must think like a thief” >> gue suka gaya lu bro!
    ampun mas freeman..

  2. 3 acne queen
    7 September 2009 at 9:16 am

    don’t do that to me zal… pisss :-“

  3. 5 nick nick
    22 October 2009 at 10:36 pm

    ora usah susah2 ngono iku, aku wis reti peswordmu😀


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s


Latest Tweets

September 2009
S M T W T F S
« Aug   Oct »
 12345
6789101112
13141516171819
20212223242526
27282930  

Blog Stats

  • 47,320 hits

%d bloggers like this: