Mengapa SelfXSS Bisa Sukses?

14 April 2014
Mengapa SelfXSS Bisa Sukses?
Terlalu (kata Rhoma Irama)
 Berapa akun Facebook korban SelfXSS (Self Cross Site Scripting) dengan tema :
  •     BBM for Facebook
  •     Aplikasi pengintip profil Facebook
  •     Trik mengetahui password Facebook teman anda
Yang sedang marak beredar belakangan ini yang sebenarnya bertujuan untuk eksploitasi celah keamanan SelfXSS guna meningkatkan like dan mention secara ilegal ? Dari 2 situs eksploitasi SelfXSS yang dipantau oleh Vaksincom saja jumlah mention yang dilakukan totalnya lebih dari 300.000 mention (lihat gambar 1 dan 2). Vaksincom tidak akan terkejut jika akun Facebook yang mendapatkan serangan SelfXSS mencapai angka ratusan ribu akun Facebook di Indonesia. Perlu anda ketahui, sampai saat ini aksi eksploitasi SelfXSS masih tetap berjalan dan tidak tertutup kemungkinan tema yang diusung akan berubah. Karena itu, pengguna Facebook harap berhati-hati dan jangan pernah percaya jika diminta untuk menjalankan Web console [Ctrl] [Shift] [K] di Firefox atau [Ctrl] [Shift] [J] di Chrome dan mengkopikan kode yang telah dipersiapkan sebelumnya. Anda tidak akan mendapatkan iming-iming yang dijanjikan, sebaliknya akun Facebook anda akan melakukan mention massal ke seluruh kontak anda dan like massal. Kabar baiknya, administrator Facebook kelihatannya sudah mulai mencium aksi ini.
20140414I_selfxsssukses06
Gambar 1, Akun Facebook korban SelfXSS BBM for Facebook palsu melakukan posting 263.791 komentar 
20140414I_selfxsssukses02
Gambar 2, Varian lain dengan tema FB Trick memakan korban akun FB korbannya melakukan posting 46.246 komentar
Selain script yang menggunakan tema BBM for Facebook (lihat gambar 3),
20140414I_selfxsssukses03
Gambar 3, Tampilan BBM for Facebook sebagai iming2 agar korbannya menjalankan script SelfXSS
Ada beberapa script sejenis yang beredar di dunia mabuk (maya facebuk) dengan tema yang berbeda. Salah satunya adalah trik lama dan masih sering digunakan adalah iming-iming bagi pemilik akun Facebook untuk mengetahui siapa saja yang mengunjungi profil Facebooknya. (lihat gambar 4)
20140414I_selfxsssukses05
Gambar 4, Iming-iming untuk mengetahui siapa saja yang mengunjungi profil Facebook dijadikan sebagai rekayasa sosial untuk membuat korban menjalankan script
Mungkin fasilitas untuk melihat siapa saja yang mengunjungi akun media sosial anda (Who viewed your profile) cukup populer di platform media sosial lain seperti Linkedin yang malahan menjadikan fitur ini sebagai fitur berbayar. Tetapi hal ini sangat berbeda di Facebook. Facebook memiliki kebijakan menjaga privasi siapapun yang mengunjungi profil anda dan tidak akan memberikan informasi ini kepada pemilik akun Facebook yang dikunjungi ini karena menganggap bahwa informasi ini sifatnya pribadi dan akan terjadi pelanggaran hal / privasi pengunjung jika informasi ini diberikan. Bahkan sebaliknya, jika ada apps yang mengklaim bisa menunjukkan siapa yang melihat profil anda, hal tersebut merupakan penipuan karena data tersebut tidak disediakan oleh Facebook untuk pembuat apps Facebook dan jelas janji yang diberikan adalah palsu / penipuan dan Facebook malah meminta anda melaporkan kepada administrator Facebook jika ada aplikasi yang mengklaim bisa memberikan informasi ini. (lihat gambar 5)
20140414I_selfxsssukses04
Gambar 5, Facebook tidak menyediakan data untuk mengetahui siapa yang melihat profil anda, termasuk oleh aplikasi pihak ketiga
Dua iming-iming di atas sangat populer dijadikan sebagai pancingan supaya korbannya seperti kerbau dicocok hidung mengikuti langkah-langkah yang diberikan dimana tujuan utamanya adalah supaya korbannya menjalankan script yang telah dipersiapkan melalui Web Console [Ctrl] [Shift] [K] di Firefox dan [Ctrl] [Shift][J] di Chrome. Jika script dijalankan, maka akun korban akan dibuat melakukan mention dan like pada page atau situs seperti yang diuraikan pada artikel Vaksincom di http://vaksin.com/2014/0414/bbm%20for%20facebook/bbm%20for%20facebook.html.


Jangan mudah termakan iming-iming

Salah satu keuntungan dari layanan berbasis cloud adalah pengamanan dan perawatan atas database dilakukan oleh pengelola database cloud. Jika kita mendapatkan layanan berkualitas dengan administrator yang tanggap maka aksi eksploitasi terhadap database cloud akan sulit dilakukan. Hal ini juga berlaku untuk akun Facebook anda yang dimaintain oleh administrator Facebook di awan. Menurut pengamatan Vaksincom, dibandingkan dengan layanan media sosial lainnya, selama ini administrator Facebook termasuk sangat tanggap dan aktif memburu aksi-aksi malware dan eksploitasi akun Facebook dan banyak melakukan tindakan yang diperlukan baik reaktif ataupun proaktif agar aksi jahat yang sama tidak terulang. Hal ini terbukti dari cepatnya tanggapan Facebook menonaktifkan akun percobaan Vaksincom dan secara otomatis melakukan pemblokiran autolike dan menghapus semua autolike yang terjadi tanpa diminta. (lihat gambar 6)
20140414I_selfxsssukses01
Gambar 6, Administrator Facebook cepat tanggap dan melakukan perbaikan pada korban autolike dan melakukan pembatasan autolike masif
Sebenarnya eksploitasi SelfXSS ini bisa berhasil lebih disebabkan faktor rekayasa sosialnya daripada celah keamanan SelfXSS itu sendiri. Selain itu, eksploitasi SelfXSS ini merupakan kelemahan dari browser Firefox dan Chrome yang seharusnya bukan merupakan tanggung jawab Facebook, namun mungkin karena kepedulian yang tinggi atas kelangsungan layanannya sehingga tindakan proaktif seperti gambar 6 di atas dilakukan tanpa diminta..

Untuk menjadi korban dari eksploitasi ini secara teknis agak sulit dan eksploitasi tidak bisa berjalan secara otomatis. Pengguna peramban / pemilik akun Facebook harus “dengan sadar (dalam ketidak tahuan)” melakukan copy and paste coding ke peramban / browsernya dan menjalankannya (menekan tombol [Enter]). Hal ini sama saja dengan menjalankan kode pemrograman yang isinya bisa apa saja. Kalau dalam hal ini akibatnya “hanya” melakukan auto like, auto mention. Namun perlu anda sadari, di masa depan coding bisa saja berisi malware yang bukan saja berdampak pada akun Facebook anda, tetapi juga bisa melakukan aksi jahat lain seperti mencuri data dan dokumen penting dari komputer anda, menghancurkan data, menginfeksi komptuer lain di jaringan atau aksi jahat lain seperti mengenkripsi data komputer anda dan meminta tebusan uang seperti yang dilakukan oleh Cryptolocker. Karena itu, Vaksincom menghimbau para pengguna komputer untuk tidak mudah termakan iming-iming dan jangan pernah menjalankan coding yang tidak diketahui keamanannya.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: