Sudah benar kah CARA anda mengakses halaman LOGIN ?
Cara 1. Berikut cara yang benar & AMAN dalam mengases MEMBER AREA:
- Mengakses gmail--> langsung menuju halaman login https://mail.google.com/
- Mengakses Internet banking -->Langsung menuju https://ibank.klikbca.com/
Cara 2. Berikut adalah cara yang SANGAT BERESIKO untuk mengakses MEMBER AREA anda.
- Mengakses gmail -->masuk ke www.google.com lalu klik LOGIN
- Mengakses Internet banking masuk ke misalnya www.klikbca.com lalu klik LOGIN
Cara 2. diatas adalah cara paling beresiko dari serangan CRAKCER. Lalu apa bedanya dengan Cara 1. ?? Bukankah Halaman LOGIN semuanya sudah memakai HTTPS ?? Bukankah datanya sudah terenkripsi ?? Dimana letak RESIKO nya ??
Cara 2. Ini artinya anda masih mengakses HTTPS INSIDE HTTP.. jadi serangan MAN IN THE MIDDLE masih bisa dilakukan. Jika anda telah membaca & mengerti penjelasan tentang kunci PUBLIK & kunci PRIVATE pada status saya terdahulu. Maka anda akan mengerti bagaimana mungkin si CRACKER menyadap & membelokkan komunikasi anda ke server yang salah.
INGAT..!! dalam kasus ini halaman DEPAN tidak menggunakan HTTPS, hanya halaman LOGIN yang memakai HTTPS.
Berikut SKENARIONYA:
1. Si A mengakses http://www.internetbanking.com/ dan melakukan klik tombol login.
2. Karena halaman depan hanya memakai http, maka tidak ada jaminan AUTHENTICATION & CONFIDENTIALITY.
3. Si A meminta link LOGIN dengan mengklik TOMBOL LOGIN, Otomatis Si A jg meminta kunci PUBLIK ke server.
4. Si B (Cracker) bisa memotong komunikasi & mencatat kunci publik ini sebelum sampai ke tangan si A.
5. Lalu si B mengirimkan kunci publiknya ke Si A, dan si A merespon data tersebut.
6. Setelah si A menerima kunci Publik dari si B (Cracker), si A menyangka bahwa kunci publik itu milik server... padahal bukan.
7. Dari sinilah si Cracker bisa membelokka komunikasi server menuju ke server PALSU yg sudah di design sedemikian rupa menyerupai aslinya.
Contoh diatas adalah gambaran kasar saja, beberapa minggu yang lalu rekan saya pernah login ke member area BNI & ternyata alangkah kagetnya.. Catatan mutasinya BUKAN milik dia. Tapi milik orang lain. Beruntung masih bisa cepat merespon.
Sekitar 2,5 tahun yang lalu sy & teman sy juga pernah menemukan BUG semacam ini pada Internetbanking BCA. Dan hanya berbekal BUG XSS, Password bisa terjaring.. BUG tersebut berada pada ERROR MESSAGE ketika kita memasukkan password yg salah.
Bayangkan saja, hanya dengan suatu HAL yg SANGAT AMAT REMEH.. Cracker bisa memanfaatkan celah ini.
Namun BUG ini langsung dilaporkan ke BCA, untuk ditindak lanjuti. Sekarang BUG terssebut sudah TIDAK ADA lagi.
Bahaya lainnya adalah seperti XSS poisoning, DNS poisoning, DLL..
Mohon maaf jika penjelasan saya masih banyak yg kurang atau tidak akurat, Karena terus terang saya BUKANLAH AHLI IT. Namun saya berusaha membagikan INFO yang mungkin bisa bermanfaat bagi rekan semua. Bagi para master, silahkan dikoreksi jika ada yg kurang atau lebih. AUTHOR Rapid Speedline ( Ria Vita Ariani ).
Terima Kasih
Sumber
Cara 1. Berikut cara yang benar & AMAN dalam mengases MEMBER AREA:
- Mengakses gmail--> langsung menuju halaman login https://mail.google.com/
- Mengakses Internet banking -->Langsung menuju https://ibank.klikbca.com/
Cara 2. Berikut adalah cara yang SANGAT BERESIKO untuk mengakses MEMBER AREA anda.
- Mengakses gmail -->masuk ke www.google.com lalu klik LOGIN
- Mengakses Internet banking masuk ke misalnya www.klikbca.com lalu klik LOGIN
Cara 2. diatas adalah cara paling beresiko dari serangan CRAKCER. Lalu apa bedanya dengan Cara 1. ?? Bukankah Halaman LOGIN semuanya sudah memakai HTTPS ?? Bukankah datanya sudah terenkripsi ?? Dimana letak RESIKO nya ??
Cara 2. Ini artinya anda masih mengakses HTTPS INSIDE HTTP.. jadi serangan MAN IN THE MIDDLE masih bisa dilakukan. Jika anda telah membaca & mengerti penjelasan tentang kunci PUBLIK & kunci PRIVATE pada status saya terdahulu. Maka anda akan mengerti bagaimana mungkin si CRACKER menyadap & membelokkan komunikasi anda ke server yang salah.
INGAT..!! dalam kasus ini halaman DEPAN tidak menggunakan HTTPS, hanya halaman LOGIN yang memakai HTTPS.
Berikut SKENARIONYA:
1. Si A mengakses http://www.internetbanking.com/ dan melakukan klik tombol login.
2. Karena halaman depan hanya memakai http, maka tidak ada jaminan AUTHENTICATION & CONFIDENTIALITY.
3. Si A meminta link LOGIN dengan mengklik TOMBOL LOGIN, Otomatis Si A jg meminta kunci PUBLIK ke server.
4. Si B (Cracker) bisa memotong komunikasi & mencatat kunci publik ini sebelum sampai ke tangan si A.
5. Lalu si B mengirimkan kunci publiknya ke Si A, dan si A merespon data tersebut.
6. Setelah si A menerima kunci Publik dari si B (Cracker), si A menyangka bahwa kunci publik itu milik server... padahal bukan.
7. Dari sinilah si Cracker bisa membelokka komunikasi server menuju ke server PALSU yg sudah di design sedemikian rupa menyerupai aslinya.
Contoh diatas adalah gambaran kasar saja, beberapa minggu yang lalu rekan saya pernah login ke member area BNI & ternyata alangkah kagetnya.. Catatan mutasinya BUKAN milik dia. Tapi milik orang lain. Beruntung masih bisa cepat merespon.
Sekitar 2,5 tahun yang lalu sy & teman sy juga pernah menemukan BUG semacam ini pada Internetbanking BCA. Dan hanya berbekal BUG XSS, Password bisa terjaring.. BUG tersebut berada pada ERROR MESSAGE ketika kita memasukkan password yg salah.
Bayangkan saja, hanya dengan suatu HAL yg SANGAT AMAT REMEH.. Cracker bisa memanfaatkan celah ini.
Namun BUG ini langsung dilaporkan ke BCA, untuk ditindak lanjuti. Sekarang BUG terssebut sudah TIDAK ADA lagi.
Bahaya lainnya adalah seperti XSS poisoning, DNS poisoning, DLL..
Mohon maaf jika penjelasan saya masih banyak yg kurang atau tidak akurat, Karena terus terang saya BUKANLAH AHLI IT. Namun saya berusaha membagikan INFO yang mungkin bisa bermanfaat bagi rekan semua. Bagi para master, silahkan dikoreksi jika ada yg kurang atau lebih. AUTHOR Rapid Speedline ( Ria Vita Ariani ).
Terima Kasih
Sumber
Tidak ada komentar:
Posting Komentar