TEKNIK HACKNG MULTIPLY DAN SOLUSINYA!!

Teknik redirect profil friendster ke suatu halaman web lain sudah banyak dibahas di jasakom, salah satunya menggunakan flash, hal ini sangat efektif dimana memang pada kolom testimonial ,comment ataupun profil, pengguna FS diperbolehkan menyisipkan flash sebagai object embeded.

Si usil/attacker ini akan mengalihkan setiap orang yang membuka profil yg telah terkontaminasi tersebut ke web phising. web phising adalah tampilan FS palsu dan pura2 menanyakan username-password kembali dengan alasan session expired ataupun error. Dan jika anda tidak tau sehingga mencoba login ulang ke halaman palsu tadi, maka username dan password akan tersimpan ke database mereka.

Teknik diatas akan sangat membahayakan kalau email dan password kita untuk account friendster sama dengan password login email tersebut (dan memang kebanyakan begitu).Secara simple atacker melakukan hal2 seperti ini:

1 membuat account FS yang menarik, misal dengan foto cantik dan ganteng. (ini bertujuan agar testi yang ia berikan ke siapa saja diapprove tanpa pikir panjang)

2 membuat flash yang menarik, dan menyisipkan script redirect ke web phising.

3 mengisi testimonial orang2 yg cakep dan banyak penggemarnya dengan flash redirect ke situs web phising (ini bertujuan agar banyak orang yang terperangkap saat akses profilnya)

4 membuat web phising yang mirip login FS, dimana jika disubmit, akan mengirim hasilnya ke databasenya ataupun email.

contoh web phising : http://errorfriendster.awardspace.com/

contoh flash redirect yang dimasukkan ke testimonial/profil :
http://errorfriendster.awardspace.com/redirect.swf


So, hati2 ya menggunakan FS, YahooMail aja udah menerapkan anti phising tuh namanya "personalized sign-in seals"

(dicomot dr sini)

Semoga aja Multiply juga sudah menerapkan anti phising seperti Yahoo punya.. :)


2
Source: http://mbot.multiply.com/journal/item/376
Thks to mbot

Hari ini, beberapa user multiply melaporkan guest booknya kena hack orang iseng. Sebenernya ini bukan kasus baru. Seperti yang ditulis caksafa dalam journalnya yang ini, dia juga juga pernah mengalami dan di journalnya yang ini, dia dia memperingatkan resiko kalo guest book dihack orang.

Gimana sih caranya meng-hack account multiply orang lain?

Gue nggak akan terlalu detail membahas ini ya, karena nanti malah bikin yang belum tau jadi iseng kepingin nyoba. Tapi prinsipnya sederhana banget, yaitu di box reply, si hacker menginput sebuah reply yang ukurannya luar biasa gede sehingga menutupi seluruh layar.

Analoginya, bayangkan ada sebuah buku tulis yang ditimpa / ditutupi dengan lembaran koran. Tentu aja buku tulisnya jadi nggak keliatan, kan?

Makanya seperti yang dibilang Jazman di journalnya yang ini, para 'hacker' yang berkeliaran di MP adalah hacker kelas pemula alias newbie yang lagi kegirangan jajal ilmu. Karena pada dasarnya teknik yang mereka lakukan adalah amat sangat sederhana: cuma menutupi sebuah halaman dengan tampilan lain, dan bukan melakukan kerusakan serius di tingkat server, misalnya.

Trus gimana solusinya?

Seperti gue bilang di atas, sebenernya halaman yang "di-hack" nggak pergi ke mana-mana, dia tetep ada di situ, hanya ketutupan oleh sebuah reply berukuran raksasa. Berhubung hackingnya tingkat newbie, maka solusinya juga sederhana aja, yaitu reply biang kerok tadi harus kita delete.

Kalau kita login ke multiply, kita punya wewenang untuk mendelete reply manapun yang ada di account kita, kan? Caranya dengan mengklik 'delete' di box reply seperti gambar berikut ini:



Tapi, gimana caranya mengklik link 'delete' tersebut kalo halamannya ketutupan?

cara1: dengan memanfaatkan CSS
Ini trik dari Jazman, yaitu dengan mengakses custom CSS kita (klik di sini) dan menambahkan kode berikut:

#Layer1 {display:none;}
maka reply yang menutupi tadi akan hilang, sehingga box replynya tampil lagi dan bisa kita delete.

cara2: dengan memanfaatkan 'view source'
Cara ini mungkin terlihat lebih ribet dari triknya Jazman, tapi cocok buat yang koneksi internetnya lambat karena pada prakteknya hanya butuh 1 kali reload halaman - reply biang keroknya udah langsung terdelete.

Contoh kasus:
Mbotx abis ngeMPi secara baik-baik dan positif di warnet, tapi lupa logout sesudahnya. Ah, sial, ternyata user sesudahnya adalah hacker newbie sok tau, sehingga posting yang baru dibuatnya dihack menjadi seperti ini:


(klik pada gambar untuk melihat posting yang dihack tersebut)

Alangkah terkejutnya Mbotx saat keesokan harinya melihat postingnya telah dirusak orang iseng. Untunglah, Mbotx adalah orang yang cinta damai dan tidak suka koar-koar, tantang-menantang, ataupun menyulut keributan seperti user yang satu ini. Dengan kepala dingin, Mbotx mengambil langkah-langkah berikut:

1. Menyorot / men-select dan mengcopy (dengan menekan 'ctrl+C') salah satu kata yang ditulis oleh si hacker. Yang diselect bisa kata mana saja, tapi sebagai contoh dalam kasus ini yang dipilih adalah kata "H A C K E D" di bagian awal pesan yang ditulis si hacker.



2. Habis itu si Mbotx menekan tombol mouse kanan dan memilih 'view source...' atau bisa juga dengan mengklik 'view' pada toolbar internet browsernya dan memilih 'source'. Maka terbukalah sebuah window baru berisi kode2 ajaib yang merupakan 'jeroan' alias 'onderdil' dari halaman MP-nya.

3. Setelah source halaman yang dihack terbuka, Mbotx menekan tombol 'ctrl+F' untuk mengaktifkan fungsi search. Di kotak search, dia mem-paste (dengan menekan 'ctrl+V') kata "H A C K E D" yang tadi telah dicopynya, dan menekan tombol 'Enter'. Bingo! Dia berhasil menemukan kata yang dicarinya:



3. Setelah berhasil menemukan lokasi reply si biang kerok, Mbotx menyorot / menselect kata tersebut dari KANAN ke KIRI. Tujuannya untuk menemukan kode 'delete' reply tersebut. Hasilnya seperti ini:


klik pada gambar untuk memperbesar.

4. Setelah berhasil menemukan kode untuk mendelete, Mbotx meyorot / menselect, kali ini dari KIRI ke KANAN untuk mengcopy seluruh kode tersebut.


klik pada gambar untuk memperbesar

Kode yang berhasil di dapatkannya berbunyi kurang lebih sebagai berikut:

'javaxript:confirmLink("Are you sure you want to delete this reply?", "/item/delete-reply/mbotx:journal:2+1? xurl=http%3A%2F%2Fmbotx.multiply.com %2Fjournal%2Fitem%2 F2&usertoken= U2FsdGVkX189tB3g YXpU3dQF9, i7S7X1j0kHx Oe64Wa VCIRGlR4I0A=="

Kode ini bersifat random, jadi akan selalu berbeda-beda dari satu user ke user lainnya, juga berbeda dari satu reply ke reply lainnya.

Supaya nggak pusing, Mbotx mempaste kode yang mirip ketikan seorang balita saat ditinggal main laptop sendirian tersebut ke program notepad. Dia lantas membuang bagian yang nggak perlu, dan menyisakan bagian yang penting saja yaitu mulai dari tulisan "/item/delete... sampai dengan bagian terakhir sebelum tanda kutip yaitu ...I0A=="

Ingat! Patokannya adalah tanda kutip, tapi tanda kutipnya nggak perlu diikut sertakan. Sehingga kode yang berhasil didapatkan oleh Mbotx adalah:

/item/delete-reply/mbotx:journal:2+1? xurl=http%3A%2F%2Fmbotx.multiply.com %2Fjournal%2Fitem%2 F2&usertoken= U2FsdGVkX189tB3g YXpU3dQF9, i7S7X1j0kHx Oe64Wa VCIRGlR4I0A==

Kode ini adalah link, yang bila diakses akan menghapus reply si biang kerok. Untuk membuat link tersebut berfungsi, Mbotx menambahkan domain-nya, yaitu alamat account multiplynya sehingga kodenya sekarang menjadi

mbotx.multiply.com/item/delete-reply/mbotx:journal:2+1? xurl=http%3A%2F%2Fmbotx.multiply.com %2Fjournal%2Fitem%2 F2&usertoken= U2FsdGVkX189tB3g YXpU3dQF9, i7S7X1j0kHx Oe64Wa VCIRGlR4I0A==

5. Mbotx mengcopy kode tersebut ke address bar internet browsernya:



dan dengan menekan tombol 'Enter' maka terhapuslah reply hacker newbie tersebut. Tapi TUNGGU DULU! Mbotx berpikir lagi, pengalaman ini bisa menjadi tips yang bermanfaat bagi para user lainnya, sehingga ia tidak jadi menekan tombol 'Enter' dan tetap membiarkan posting yang dihack itu seperti apa adanya di sini.

Semoga bermanfaat