Jakarta - Tidak diragukan lagi bahwa jejaring sosial tengah naik daun. Facebook, jejaring sosial yang kini paling populer, melaporkan mempunyai lebih dari 400 juta pengguna aktif. Dengan pertumbuhan kepopulerannya, tak heran jika spammer membajak merek tersebut untuk mengirim pesan sampah (spam).
Menurut Symantec Messaging and Web Security, salah satu modus yang digunakan spammer adalah membuat pesan dengan cara yang menyerupai email notifikasi resmi dari sebuah situs jejaring sosial. Saat pengguna mengklik untuk membaca 'important notification' ini, mereka bakal diarahkan pada situs berbeda.
"http://odnbo.[DOMAIN REDACTED].net/Wharton.html" adalah contoh dari domain yang dibajak sehingga spammer memperoleh akses ilegal ke server yang sah dan menempatkan file HTML.
Hal ini membantu spammer menghindari penyaring berbasis reputasi URL. Meskipun file HTML pada domain yang dibajak kadang diberikan dengan maksud untuk mengirimkan konten spam, spam tersebut menggunakan teknik pengalihan untuk mengarahkan pengguna pada situs lainnya (obat-obatan online).
Meskipun motif spammer ini untuk menjual obat-obatan palsu, Symantec telah menemukan serangan lain dengan tujuan mencuri identitas pengguna. Saat pengguna menjadi korban dari pesan tersebut, akunnya digunakan dengan pintar oleh spammer untuk mengirimkan lebih banyak lagi spam.
"Hal ini sangat berbahaya karena pengguna lebih rentan untuk mempercayai pesan dari teman-temannya. Dalam satu hal, teknik ini mirip dengan yang digunakan mass mailing worm seperti virus Melissa yang bisa menginfeksi daftar kontak Outlook pengguna hingga mengirimkan email sendiri secara otomatis," tutur Symantec, dalam keterangannya, Kamis (1/7/2010).
Berikut beberapa cara yang digunakan spammer dalam memanfaatkan jejaring sosial untuk mengirim spam:
1. Undangan Palsu
Spammer memalsukan merek jejaring sosial dan mengirim undangan untuk bergabung dalam jejaring tersebut. Meskidemikian, link di dalam email alam mengarahkan ke sebuah website spam. Vektor ini menargetkan semua pengguna, tanpa memperhatikan apakah mereka mempunyai akun atau tidak.
2. Menggabungkan Akun
Notifikasi palsu dikirim kepada pengguna jejaring sosial yang mendorong pengguna untuk menggabungkan akunnya. Dalam prosesnya, pengguna ditanya mengenai data pribadi akun tersebut. Setelah akun tersebut digabungkan, beberapa permintaan menjadi teman (semuanya berisi profil palsu) akan muncul. Semua profil tersebut mempromosikan spam. Akun tersebut juga kini dibajak dan bisa digunakan untuk spam lainnya.
3. Photo tag/Comment
Spammer memembuat pesan sehingga muncul seperti notifikasi photo tag/comment yang sah. Tapi URL di dalam pesan akan mengarahkan ke website lain yang mempromosikan spam.
4. Aplikasi
Karena beberapa jejaring sosial mengijinkan aplikasi pihak ketiga, aplikasi-aplikasi paling populer juga telah menjadi target spammer. Symantec menemukan pesan spam yang mempromosikan cara untuk melawan pemain lain dalam game populer yang ada di situs jejaring sosial.
5. Mengirimkan Malware
Berbagai jenis notifikasi telah dipalsukan untuk menyebar malware. Salah satu contoh, spammer mengirim pesan yang menganjurkan pengguna untuk mendownload sebuah toolbar jejaring sosial, yang sebenarnya adalah Trojan.
6. Perlindungan Privasi
Karena popularitas jejaring sosial meningkat, telah ada beberapa pengamatan mengenai praktek perlindungan privasi. Symantec menemukan serangan spam yang menawarkan sebuah produk yang memberitahukan pengguna jejaring sosial mana yang menyalahgunakan informasi pribadi mereka.
7. Survei Palsu
Spammer mengirimkan sesuatu yang terlihat seperti survei mengenai jejaring sosial. Pengguna mungkin ditanyakan data pribadi akun atau mereka mungkin dialihkan ke website spam.
Symantec mendorong pengguna untuk mengunjungi website jejaring sosial secara langsung pada sebuah window browser baru, tidak mengklik atau cut dan paste link dalam suatu pesan email. Pengguna juga harus menghindari mengklik link yang tidak dikenal di dalam notifikasi, walaupun diperlihatkan secara langsung dalam website jejaring sosial.
Tidak ada komentar:
Posting Komentar