PADAMU
Masuk

Pencurian Cookies

Salah satu teknik peretasan kuno tapi masih sering dipakai oleh peretas pemula, adalah teknik pencurian cookies. Sebenarnya teknik ini tidak perlu keahlian khusus, melainkan hanya butuh kemampuan merayu korban agar mau menyerahkan string / value / tulisan yang ada di cookies.

Kalimat penipu mungkin seperti ini:

Penipu: "Apakah kamu mau diubah lisensinya dari Uji Coba menjadi Berbayar?"
Korban: "Mau, mau! Bagaimana caranya?"
Penipu: "Tekan tombol F12 atau klik kanan dan klik Inspeksi, kemudian cari Cookies. Salin teks itu dan serahkan ke saya melalui pesan WhatsApp."

Bila korban mengikuti instruksi tersebut, maka penipu bisa masuk (log-in / sign-in) memakai akun korbannya, tanpa perlu tahu username dan password Gmail si korban! Cara inilah yang dulu pernah dipakai oleh para peretas untuk membobol akun media sosial misalkan Facebook. Tapi sekarang Facebook makin kuat dan mempunyai teknik verifikasi tambahan misalkan otentikasi melalui SMS atau email.

PADAMU berusaha melindungi penggunanya dengan mencegah cookies disalin menggunakan teknik XSS, session hijacking, packet sniffing, dan CSRF, tapi sulit mencegah penipuan yang memakai taktik social engineering misalkan phising dan pretexting.

Karena itulah, sebagai pertahanan terakhir, PADAMU berusaha mengingatkan pengguna yang sedang membuka jendela Inspeksi untuk lebih berhati-hati dan tidak menyerahkan apa pun ke orang lain. Pada dasarnya, menyerahkan cookies sama saja seperti menyerahkan laptop atau HP ke orang lain, dan membiarkan orang lain masuk ke sistem memakai kredensial korbannya.

Bila korban penipuan adalah murid, maka hanya data dirinya yang dicuri. Bila korbannya adalah operator, maka data murid satu sekolah yang dicuri.

Untungnya, PADAMU mempunyai jurus rahasia untuk melindungi cookies dan mencegah cookies dipakai orang lain. Cookies dienkripsi memakai algoritma yang sulit dianalisa oleh serangan kriptoanalisis yaitu algoritma AES-256-GCM (Advanced Encryption Standard with Galois/Counter Mode). Cookies yang telah terenkripsi dan tag autentikasi ini kemudian disimpan di komputer pengguna, sedangkan Encryption Key dan Initialization Vector disimpan di server.

Walau pun peretas berhasil mencuri cookies dan tag autentikasi, tapi tanpa EK dan IV maka peretas kesulitan melakukan dekripsi.

Intinya: Data anda aman. Tugas anda hanyalah menjaga akun Google anda agar tidak bisa dipakai oleh orang lain. Namun demikian, anda tetap harus hati-hati. Jangan serahkan cookies ke orang lain.