Beberapa waktu yang lalu seorang teman kebingungan. Akun email yang dia miliki ternyata mengirimkan email kosong (yang dicurigai spam) ke alamat-alamat email yang ada didalam address book miliknya (Saya juga mendapatkan email kosong tersebut). Tentu saja dia tidak pernah merasa mengirimkan email kosong itu ke orang-orang yang ada didalam address book nya. Lantas siapa yang mengirimkannya? Karena khawatir akunnya telah di hack oleh seseorang, ia segera mengganti passwordnya. Pertanyaannya, apakah itu cukup?
Kalau hal ini terjadi pada kita, kita sangat perlu merasa khawatir.
Saya tidak begitu yakin bahwa kondisi yang dialami oleh teman saya bisa dikategorikan sebagai ‘di hack’, tapi mungkin akun email tersebut benar-benar telah dikompromikan dan dimanfaatkan oleh pihak lain.
Berikut kemungkinan-kemungkinan yang terjadi, dan langkah apa yang seharusnya kita tempuh kalau hal ini terjadi pada kita.
Beberapa “waktu lampau”, kondisi diatas bisa diartikan bahwa komputer yang kita gunakan telah terinfeksi virus, dan virus tersebut mengakses program email komputer dan secara sistematis mengirim email kepada seluruh orang didalam daftar kontak.
Memang memungkinkan bahwa penyebaran lewat virus bisa terjadi – terutama jika kita mematikan antivirus dan anti-malware kita, atau membuatnya tidak up-to-date. Tapi ternyata akhir-akhir ini kebanyakan provider email secara seksama memproteksi diri terhadap akses address book yang tidak sah (melalui program mailing komputer anda).
Hal lain yang juga sangat mungkin terjadi adalah bahwa akun email kita telah dikompromikan atau dimanfaatkan – artinya, ya, akun kita telah berhasil diakses oleh seseorang. Dengan kata lain, orang ini memiliki akses bukan hanya kepada email kita, tetapi juga address book kita. Sudah tidak aneh kalau sekarang kita mendengar ada orang-orang yang akunnya dimanfaatkan hanya agar rekan-rekan mereka terkirimi spam, email mencurigakan, atau bahkan penipuan.
Awal mula masalah susah untuk ditebak. Bisa saja berasal dari password yang terlalu mudah ditebak, akun kita yang terkena sniffing saat berinternet di hotspot, atau mungkin karena kita telah membagi data/informasi akun kita dengan seseorang.
Kita cenderung menyebut kasus dimana email yang ‘tampaknya’ dikirim dari kita, padahal bukan dari kita, sebagai ‘spam’. Sebetulnya secara lebih spesifik begini :
- Email spam dikirimkan secara acak kepada orang-orang yang tidak kita kenal, melalui spoofing “from:<alamat>” untuk membuatnya seolah datang dari kita, padahal bukan dari kita. Kita tidak bisa berbuat banyak soal ini, karena email ini memang bukan dari kita, tetapi dari orang yang mengatasnamakan kita.
- Tapi, email yang berasal dari akun kita yang terbobol umumnya dicirikan dengan dikirimnya email kepada orang-orang yang berasal dari address book kita, dan tidak mengalami spoofing sama sekali—email itu benar-benar berasal dari akun kita. Hanya saja memang bukan kita yang mengirimnya.
Mengganti password tidak cukup.
Mengganti password memang penting, tapi itu sama sekali tidak cukup. Kita juga perlu mengganti informasi keamanan yang terkait dengan email yang telah dicuri. Kenapa? Karena si pencuri juga memiliki akses yang sama dengan kita saat itu, dan dia bisa memanfaatkan informasi tersebut untuk mencuri akun kita lagi. Ada beberapa langkah tambahan yang perlu kita lakukan bila kita mencurigai akun kita benar-benar pernah dimasuki dan dicuri seseorang.
Misalnya begini, ada beberapa kasus dimana seseorang yang pernah di hack emailnya, kemudian berhasil mengganti passwordnya, tapi ternyata tidak selang berapa lama akun tersebut berhasil dibobol kembali. Apa yang sebenarnya terjadi? Jawabannya sebetulnya sederhana, meskipun untuk memperbaiki masalah ini membutuhkan “sedikit kerja keras” ketimbang hanya mengganti password.
Pertama, sadarilah bahwa seseorang yang memiliki akses ke akun email kita juga akan memiliki akses ke semua data yang berkaitan dengan akun kita.
Kedua, pahamilah bahwa terkadang mengganti password saja tidak cukup dan belum menjanjikan keamanan.
Kita berurusan dengan sistem online yang menyediakan user name dan password. Username kita mungkin bisa saja dipublikasikan, tetapi password hanya akan diketahui oleh kita. Dan hampir semua provider email menyediakan suatu mekanisme dimana kita dapat memulihkan atau mereset password yang mungkin kita lupakan/hilang.
Mereka mengumpulkan beragam data, tapi dengan tujuan yang sama : mereka mengumpulkannya untuk memvalidasi bahwa anda benar-benar pemilik akun email tersebut. Informasi tambahan inilah yang mendatangkan resiko tersendiri bagi akun yang telah berhasil dibobol oleh seseorang.
Kita ambil beberapa contoh untuk menjelaskan apa yang saya maksud, dan apa yang seharusnya kita lakukan pada masing-masing informasi tersebut.
Email address / Alternate email address
Hampir semua akun online memerlukan alamat email kita. Katakanlah, facebook, friendster, blogspot, wordpress, dsb. Dan khusus untuk akun email, seringkali kita perlu mencantumkan alamat alternatif (alternate email address). Misalnya, Yahoo, Gmail, dll. Sistem-sistem seperti yahoo dan sejenisnya mampu mengirimkan pesan berupa ‘password reset’ ke alamat-alamat alternatif tersebut ketika kita kehilangan password. Karena hanya kita yang mengisinya saat mendaftar pertama kali, maka seharusnya email tersebut memang benar-benar milik kita.
Saat akun email kita berhasil dibobol oleh seseorang, hacker yang cerdas akan segera mengganti alamat tersebut menjadi alamat miliknya. Dengan cara ini, jika kita meminta reset password, dia yang akan mendapatkannya, bukan kita. Dengan cara yang serupa, jika kita mengubah password kita, yang perlu hacker tersebut lakukan hanyalah meminta reset password, dan ia akan mendapatkan kembali akun kita.
Yang harus kita lakukan, saat kita berhasil memperoleh kembali akses ke akun email kita, sesegera mungkin verifikasi alamat email alternatif. Jika yang tercantum bukan milik kita, segera ganti.
Pertanyaan Rahasia (Secret questions) dan jawabannya
Kebanyakan sistem menggunakan cara pertanyaan rahasia sebagai keamanan lapis kedua seandainya kita kehilangan password. Jawaban dari pertanyaan tersebut haruslah jawaban yang hanya diketahui oleh kita sendiri. Saya sendiri pernah mengalaminya dan nyaris saja melupakan jawaban dari pertanyaan itu. Jadi, jika kita kehilangan password dan berhasil menjawab pertanyaan rahasia, sistem akan mengenali kita dan kita akan bisa mengakses kembali akun kita.
Seringkali pertanyaan rahasia bukanlah pertanyaan yang “benar-benar rahasia”. Kadang kita bisa mendapatkan jawaban dari pertanyaan rahasia hanya dengan sedikit browsing, atau hanya dengan sedikit berpikir. Misalnya, pertanyaan rahasia berbunyi : ‘Kapankah hari kemerdekaan RI?’, yang benar saja, ini bukanlah pertanyaan rahasia sama sekali.
Apa yang berbahaya dari hal ini adalah, sekali seorang hacker berhasil membobol masuk, tidak mengherankan bahwa dia juga mampu melihat jawaban dari pertanyaan rahasia kita. Dan jika ia cerdas – beberapa hacker memang cerdas—hal pertama yang akan ia lakukan adalah menulis jawaban dari pertanyaan tersebut, atau mengubahnya pertanyaannya. Dengan jalan ini, jika kita berhasil masuk dan mengubah password, dia tetap akan bisa membuat jalan masuknya kembali.
Yang harus kita lakukan adalah, saat kita berhasil masuk kembali ke akun yang pernah di hack, ganti semua pertanyaan rahasia. Meskipun kalau tampaknya pertanyaan tersebut tidak diganti oleh hacker. Ingat, hacker bisa saja telah menulis jawaban dari pertanyaan-pertanyaan tersebut. Ganti menjadi pertanyaan yang baru—dengan jawaban berbeda dari pertanyaan sebelumnya. Kemudian, pastikan anda bisa mengingat jawabannya dalam jangka waktu yang lama.
Informasi nomor ponsel
Beberapa provider terkadang meminta pula nomor ponsel kita (misalnya gmail), meskipun kita tidak harus mengisinya. Beberapa layanan bahkan bisa menggunakan nomor ponsel kita-- seperti yahoo messenger atau layanan jenis lain yang bisa mengakomodasi reset password.
Periksa pula nomor ponsel yang tercantum jika anda pernah menggunakannya, kalau-kalau nomor ponsel pun telah diganti. Untuk lebih amannya, jika tidak terpaksa, jangan mencantumkan nomor ponsel anda sebagai informasi tambahan.
Informasi Nomor-nomor rekening
Memang jarang sekali provider email meminta informasi seperti ini. Informasi jenis ini banyak kita temui pada layanan online berbasis komersial (bisnis dan sejenisnya). Tapi, jika memang seandainya kita pernah menginput nomor-nomor ini dan mencatatkannya kedalam akun email kita, saran saya, segeralah hapus jika memang tidak dalam urusan mendesak. Hacker juga bisa memanfaatkan informasi ini jika memang mereka telah berhasil mengakses akun kita.
Dengan posting ini saya ingin menunjukkan bahwa memang ada informasi-informasi penting tambahan yang bisa digunakan untuk memulihkan akun email kita yang telah dibajak. Perlakukan informasi ini sama pentingnya dengan password, karena jika tidak, kita hanya akan mendapatkan email kita dibajak, dan dibajak lagi. Dan yang terburuk yang bisa terjadi, jika semua akses menuju informasi tambahan ini telah diblokir oleh hacker, kita tidak akan pernah bisa mengakses akun kita lagi-- kecuali jika provider bersedia membantu kita. Masalahnya, akan percayakah provider bila kita tidak memiliki satu pun bukti untuk memvalidasi?.
No comments:
Post a Comment