Tips Mencegah Pencurian Account + Password

Cukup Prihatin mendengar banyaknya kasus pencurian account akhir2 ini..
Banyak diantara temen-temen ane yang juga mengalaminya, mulai dari account facebook, twitter, email, sampai yg cukup vital, account hosting dan server, bahkan account paypal dan internet banking..

Mungkin sedikit tips dari ane berikut bisa menambah kewaspadaan, dan semoga bisa mencegah kasus2 tersebut terulang kembali..

Ok.. ini sedikit tips yg agak panjang yg ane kopas langsung dari blog ane sendiri.. di askinas.web.id

Ada beberapa hal yang mingkin perlu di ketahui tentang bagaimana sebuat account (password dan username) bisa dicuri orang lain (hacker atau cracker). Berikut adalah Beberapa hal yang paling mudah dan paling sering dilakukan untuk mendapatkan password orang lain.
- Melakukan Phising,
- Menggunakan Keylogger,
- Menggunakan Teknik Bruteforce Atack.

PHISING

Phising ini adalah kasus yang paling banyak terjadi, dan ane termasuk sangat sering mendapatkan email phising.. Hampir setiap minggu bahkan seminggu 2-3kali mendapat email phising. Salah satunya yang ane hampir saja kena tipu seperti kasus Phising email yang sebelumnya pernah ane posting. Phising biasanya dikirim lewat email atau dikirim melalui comment di account kita di situs jejaring sosial seperti facebook, twitter, friendster, dll. Sebuah halaman Phising biasanya dibuat menyerupai halaman login situs yang sangat terkenal, seperti Yahoo mail, Facebook dll. Hal ini dilakukan untuk menipu si calon korban, sehingga si calon korban mengira bahwa halaman phising tersebut adalah halaman login ke situs yang dia maksud misal Facebook.

Ketika si korban memasukkan username dan password dan mengklik submit atau login, yang terjadi adalah Password dan email yang dimasukkan si korban akan dikirim ke databasenya si cracker pembuat halaman phising tersebut.

Tips Aman Menghindari Phising

Beberapa Hal yang dapat dilakukan untuk menghindari kita menjadi korban Phising yaitu Selalu cek dan pastikan halaman yang kita kunjungi adalah halaman yang kita maksud, Misalnya kita mau login ke Yahoo Mail, pastikan bahwa halaman tersebut adalah halaman login ke Yahoomail, Caranya:

1. Cek alamat URLnya.. pastikan tertulis Yahoo.com atau Yahoomail.com, atau mail.yahoo.com, bukan Yahao.com, Yaho.com atau yang lainnya..

2. Pastikan setelah .com adalah garis miring “/” bukan tulisan lain seperti yahoo.com.login.situslain.com. Karena yang seperti ini jelas situs phising.

3. Situs situs besar seperti facebook, Yahoo, Google.. nama domainnya tidak akan menjadi subdomain dari situs lain.. contoh subdomain yahoo.askinas.com, facebook.askinas.net.. karena yang seperti ini kemungkinan besar, dan hampir bisa dipastikan bukan situs resmi dari yahoo ataupun facebook.

4. Situs-situs besar seperti yahoo, facebook, google, tidak akan pernah meminta password dan username melalui email. Jika mereka mereset password kita, kita akan dibawa ke halaman reset password saat kita login, dan bukan bukan lewat email.

5. Situs-situs besar seperti yahoo, facebook, google, tidak akan pernah mengancam untuk mendisable account kita. Jikapun kita melakukan pelanggaran, mereka akan memberikan peringatan, bukan ancaman yang biasanya berupa permintaan agar kita login, jika tidak account kita akan di disable. Situs-situs seperti yahoo google, facebook, biasanya akan memberi peringatan tapi tidak memaksa kita untuk login, atau biasanya mereka mendisable dahulu account kita baru memberikan peringatan.

Keylogger

Oh iya Keylogger adalah sebuah software yang bisa diinstal di komputer kita, sehingga kita bisa memata-matai pengguna komputer kita. Karena itu kita harus waspada ketika kita mengakses, situs-situs yang memerlukan password dan username, di komputer-komputer publik seperti warnet, komputer kampus, atau mungkin juga komputer teman. Karena bisa jadi di komputer-komputer tersebut sudah terinstall keylogger.

Apa yang di mata-matai Keylogger?

Apapun yang diketikkan di keyboard komputer kita. Ternyata keylogger juga bisa membaca clipboard kita. Artinya jika ada mitos mengatakan “Coba kamu simpan passwordmu di satu file, jadi kan kalo mau ke warnet tinggal copy paste password sama username.. Jadinya kan ga akan kedetek sama keylogger..” Ternyata mitos itu hanyalah sebuat mitos belaka, karena Keylogger juga bisa membaca clipboard kita. Sehingga apapun yang kita ketik di keyboard, dan apapun yang kita copy paste, semuanya akan terekam oleh keylogger.

Lalu bagaimana agar kita bisa aman dari keylogger?

Gunakan Onscreen Keyboard atau keyboeard virtual. Sehingga ga akan terdetek oleh keylogger.. Ups.. Tapi tunggu dulu.. Ternyata itu juga hanya mitos belaka. Karena ternyata keylogger juga bisa membaca apa yang diketikkan di virtual keyboard, sama seperti membaca apa yang diketikkan di keyboard biasa. Ya karena cara kerja On Screen Keyboard ataupun Virtual keyboard sama aja dengan keyboard konventional. jadi ga akan pengaruh..

Terus Bagaimana Agar Aman dari Keylogger??

Caranya adalah dengan menipu keylogger tersebut.

Keylogger membaca semua yang kita ketikkan di keyboard, virtual keyboard atau pun di clipboard. Sehingga apapun yang kita lakukan di komputer kita, akan terrekam semuanya. Karena itu salah satu cara paling mudah, murah, dan efektif agar password dan username kita tidak terrekam oleh keylogger adalah dengan menipunya.. yaitu dengan menambahkan beberapa karakter pada username dan password kemudian mendeletenya.

Contohnya: ane mau login di yahoo dengan username: ‘akurnia’ dan password: ‘antibajak’. Biasanya ane tambahkan banyak karakter pada username dan password misa username jadi pakuraniatmakan dan password jadi antinyamukbanjark, kemudian karakter yang di garis bawah yang bukan bagian dari password ane blok, dan tekan delete. sehingga yang akan terekam di keylogger adalah pakuraniatmakan{tab}antinyamukbanjark{del}{del}{del}{del}{del}{del} sehingga walaupun apa yang kita ketikkan terekam tetep akan sulit menebak username dan password kita.

BruteForce

BruteForce adalah teknik mendapatkan password dan username dengan cara memasukkan kode acak ke form login. Berbeda dengan Phising dan Keylogger yang memanfaatkan kelemahan si user, Teknik BruteForce memanfaatkan kelemahan pada password dan sistem komputernya. BruteForce biasanya dilakukan dengan bantuan software yang akan menginputkan password dan username ke situs tujuan, dimana password yang di inputkan biasanya berupa password acak, mulai dari karakter yang berurutan seperti 123456, abcdef, asdfgh, sampai dictionary word, atau kata-kata dalam kamus.

Si hacker pelaku bruteforce juga biasanya sudah memiliki kamus username password sendiri yang berisi username dan password-password yang umum dipakai, seperti username admin, root, master, webmaster, dll.

Tips Membuat Password yang Kuat dan anti Bruteforce

Di situs-situs tertentu terkadang ketika kita membuat account kita di paksa untuk membuat password dengan kombinasi huruf dan angka. Hal ini dilakukan untuk mengurangi potensi password dibobol dengan teknik bruteforce ini. Karena semakin rumit kombinasi password kita, password akan semakin sulit dibobol.

Beberapa Tips untuk membuat password yang kuat dan aman dari bruteforce adalah:

1. Buat password dengan panjang minimal 8 karakter, karena semakin panjang terntu akan semakin sulit di bobol.
2. Kombinasikan huruf dan angka, huruf besar dan kecil, password dengan kombinasi huruf dan angka akan lebih sulit di bobol dari pada password yang hanya mengandung huruf saja atau angka saja.
3. Tambahkan atau gunakan karakter simbol, dibandingkan karakter huruf dan angka, penggunaan simbol akan lebih sulit di bobol, lebih baik lagi jika mengkombinasikan ketiganya.
4. Jika menginginkan password yang lebih kuat lagi, gunakan juga alternate charakter dalam password. Apa itu alternate character? Yaitu karakter ASCII/UTF yang tidak terdapat di tombol keyboard tapi sebenernya karakter tersebut tersedia, cara menggunakannya adalah sengan menekan tombol Alt + nomor karakter, contoh Alt + 430 = « , Alt + 467 =? , Alt + 266 = ? , dll.
5. Hindari penggunaan pasword dari nama kita, nama temen, nomor telephon, nama, dan nomor yang mudah ditebak orang lain.
6. Hindari penggunaan Dictionary Word atau kata-kata yang terdapat dalam kamus untuk dijadikan password.
7. Jika anda seorang sistem administrator, Admin Web, atau Server, install dan aktifkan software anti BruteForce, dan setting limit error password, misalkan 5 kali salah masukkan password account akan di freeze selama 15 menit, minimal ini akan memperlambat proses BruteForce.

Ok. smoga tips ini bisa bermanfaat..

 

TRim's ya...

 

pake char khusus pass nya bro biar aman,,,

 

masih ada satu teknik yg sangat ampuh, yakni social engineering.

 

thank you om warnong nya..

 

Dah kirim thanks tuh om...

Wa pernah jd korban hack juga nih

 

Makasih informasinya gan.

 

Keylogger tuh yg paling sereem, lagi asyik2nya OL tau2 aktifitas kita dimata2i...

makasih om infonya...tadinya saya pikir copy paste data dari file udah aman, ternyata blm, harus sering2 ganti pasw nih..

 

Makasih bro...

ane tertarik yang keylogger bagaimana mengetahui komputer kita terpasang key logger apa gak?

 

wahwah.. keylogger masih jadi bahan pembicaraan yah... saya kira dah basi.. hehhee
makasih for sharing...

 

pantesan saya pernah tuh kena bajak akun gmail saya. Tp, untungnya sy pake popmail jd msh bs dibalikin

 

alt char bagus buat BruteForce tp sama keylogger kayanya tetep ke detek..

yup.. ini juga yg banyak dipake untuk melakukan phising and BruteForce..

Kayanya bisa pake antispyware.. masalahnya klo diwarnet ga di semua warnet kita bisa install/jalanin file exe..

 

ane mo tambahin dikit ya sob,

mungkin beberapa temen disini pernah denger ato mungkin pernah mencobanya
"MAN IN THE MIDDLE ATTACK (MITM)" atau disebut "SESSION HIJACKING" atau "TCP SESSION HIJACKING" masih byk lg istilahnya..

sy tidak akn menjelaskan teknik detailnya spt apa krn pasti sangat membosankan.. hehehe
secara singkat teknik yg digunakan spt ini :
attacker memposisikan diri diantara koneksi anda dengan server

pertanyaan pertama, maksudnya gemana ciii ????

[PC user] <-------------------> [attacker] <------------------------> [host / server]

exp:
[user request login] --------- > [attacker collect data, attacker send again original request from user to server] ----------------> [facebook.com / twitter.com / dll.com]

sudah tau kn yg terjadi bakalan spt apa?
attacker akan mengumpulkan data2 login anda dan attacker tidak akn berhenti sampe disini,
attacker akn mencari tau anda memiliki account apa aja, dan akan me-list kan semua ttg anda
sukur2 password login diatas (facebook.com)
sama dgn password email dan sama dgn password paypal !!

pertanyaan kedua, semudah itukah?????
iya mudah.. apa lagi anda berada di sharing connection spt WARNET, public hotspot orrrrr at OFFICE


A: trusss gemana dong mencegah nya????
B: cara pertama, maen internet dirumah aja pake pc sendiri!!! jgn pake sharing connection!!!
A: gila lu gw g punya internet dirumah!! sekalian aja suruh gw g usah kenal sm internet!!!
B: emm.. cara kedua :

tetap menggunakan pc/laptop sendiri dan..

kenal dengan SSL (Secure Socket Layer) ?
singkatnya koneksi yg terjadi antara client(user) dengan server terenkripsi atau terkunci atau apa ya?? ..
gampang nya coba anda perhatikan di address bar browser anda saat ini, akn terlihat :
http://www.adsense-id.com/forums......

koneksi yg terenkripsi atau yg menggunakan SSL, akn spt ini :
https://www.adsense-id.com/forums......

ada tambahan "s" ini menunjukan koneksi antara client dan server terenkripsi

keuntungannya?
jadi dibandingkan dgn diawal tadi, maka jd spt ini :

koneksi non ssl :
[user request login (http://facebook.com)] -----> (data [email protected]: pwd=myPwd123) --> [attacker collect data] --> [server facebook]

koneksi using ssl :
[user request login (https://facebook.com)] ------> (encrypted data or something like +~¼ã‡Î) --> [attacker bingung sambil maki2] --> [server facebook]



kesimpulan:
1. selalu menggunakan pc/laptop sendiri
2. password untuk account online jgn pernah sama!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
2. slalu menggunakan https untuk yg berbau "login"
3. jika menggunakan public pc/laptop dan sharing connection hati2 dgn keylogger/virus/trojan, kurang secure jika menggunakan https sementara di pc ada keylogger dll (1+ -1 = 0)
4. yg perlu diperhatikan untuk ssl, siapa yg mengeluarkan sertifikat ssl tersebut dan untuk siapa

oh ya tambahan lagi:
- jgn pernah menyimpan data pribadi baik itu no ktp, passport ato no credit card ato bahkan password account lainnya di dalam account email ato sejenisnya..
- security question (pertanyaan2 untuk yg lupa password dibikin pada saat create account) tidak kalah pentingnya dengan password
pendapat saya pribadi "security question is A BACK DOOR" jika tidak sering di update..

klo ada waktu lg kita share ttg apa itu sertifkat ssl..
maaf klo kepanjangan..

klo untuk email sy saranin menggunakan gmail karena koneksi dari login sampe browsing account menggunakan ssl..

 

mantap tipsnya
btw, kalo menggunakan password manager semacam LastPass ( _http://lastpass.com/ ) aman gak yah?

 

maaf gan, klo ane pribadi tidak percaya dgn yg namanya penyimpan password, apa lg softwarenya yg kita pake hasil crack, takuttt...

 

pencet cntrl + D dl gan, thx buat sharingnya

 

Gak ngira........rumit juga ya .....jadi parno nih

 

weleh....weleh..... makin pusing

 

wahhhh tips yg bermanfaat yahhhhhh, btw dulu saya pake keyloger juga buat ngerjain temen hahaha

 

ijin nambahin, buat yg belum tau aja,

ada satu lagi nih selain yg di jelasin para master2 di atas,
namanya yaitu "STEALER" ---> lagi ngetren ni
stealer ini biasanya di di gandengin/digabungin dengan software2 lain, jadi hati2 buat yg suka download software bajakan, siapa tau ditumpangin stealer
stealer ini bisa mengambil password dari cache,chokies,saved password, ataupun active login pada browser,
biasanya hasil dari stealer ini dikirimkan ke e-mail atau webnya yg punya stealer,

tips:
1. jangan mendownload software2 bajakan, jika terpaksa download pastikan download dari web resminya,
2. jangan mendownload patch atau crack2an software/game, lebih baik cari SN nya aja, akan lebih baik lagi bila membelinya, yg buat software kan juga butuh makan, hehe
3. biasakan log out n clear recent history setelah selesai browsing,
4. install n aktifkan antivirus yg sudah terkenal n terpercaya(banyak juga nih antivirus gadungan) usahakan update antivirus secara berkala , aktifkan juga firewall juga

semua itu tidak akan banyak berguna bila anda masih menggunakan mic*****t win***s, akan lebih baik beralih ke sistem oprasi lain seperti linux dibanding WIN***s walaupun tidak 100% aman sih, karena didunia ini tidak ada yg sempurna kecuali ALLAH SWT,
sudah segitu aja yg ane tau, sika ada yg salah mohon maaf kalo bisa sih di benerin ,
CMIIW