Tidak banyak orang yang tahu bahwa sms
yang berada di inbox bisa dibuat sendiri oleh pemilik hp, tanpa harus
ada campur tangan orang lain. Hal ini mudah dilihat dari banyaknya orang
yang percaya bahwa isi inbox adalah bukti kuat dan otentik bahwa orang
lain telah mengirimkan sms padanya.
Bagaimana jika teman anda mengatakan
bahwa si X telah mengirimkan sms bernada kurang ajar pada dia. Mungkin
anda tidak percaya bukan? Bagaimana bila anda menemukan “bukti” sms dari
X yang isinya memang bernada kurang ajar. Bagi orang awam isi sms ini
adalah bukti yang sangat kuat, tak terbantahkan bahwa X benar-benar
telah mengirimkan sms bernada kurang ajar, maka dari itu X perlu diberi
pelajaran.
Setelah membaca tulisan ini anda akan tidak mudah percaya hanya dengan melihat inbox hp orang lain.
HP
tidaklah berbeda dengan komputer, ada prosesor, memori, storage dan
tentu saja sistem operasi. Sistem operasi hp yang banyak dikenal adalah
Windows Mobile dan Symbian. inbox, sent, draft dsb juga kurang lebih
seperti folder. Yang biasa dilakukan di hp adalah mengkopi/memindahkan
message dari satu folder ke folder lainnya seperti dari draft ke sent
atau dari inbox ke saved messages. Memang tidak ada menu untuk membuat
sms dan menyimpannya di inbox. Namun bukan berarti tidak mungkin
dilakukan, karena sebenarnya fungsi atau APInya di sistem operasi sudah
tersedia. Tinggal dibuat programnya saja untuk melakukan itu.
fake sms
Program yang bisa membuat sms fake untuk HP Symbian adalah program Y-Fake. Cara instalasinya adalah, download dari FakeMessages.
Setelah didownload, extract file zipnya. Akan didapatkan file .SIS yang
belum di-sign. Sebelum bisa diinstall di hp harus di-sign dulu di
www.symbian-signed.com, pilih “Open Signed Online” kemudian isi formnya.
Setelah didownload tinggal di-install di HP Symbian anda.
Cara
pakainya gampang, bikin message baru, isi sender number dan sender name
yang akan menjadi field From, kemudian isi pesannya dan jam kirim.
Tunggu sampai jamnya tercapai akan ada sms masuk ke inbox.
Cobalah
bereksperimen untuk menggunakan bermacam-macam pengirim. Anda bisa coba
nomor pendek 4 digit, alphanumeric, atau nomor panjang (biasanya perlu
ditambahkan +62).
Kalau nama dan
pengirim berbeda maka yang muncul di message detail adalah: Nama .
Contoh: From: Rizki <+6281….> Kalau nama dan pengirim diisi sama,
maka yang muncul hanya salah satunya saja tanpa kurung < > . Kalau
ingin tampak sebagai nomor panjang, isikan dengan nomor yang sama di
bagian nama maupun nomor misalkan +62813….. Kalau ingin tampak sebagai
alphanumeric, maka isikan alphanumeric yang sama di bagian nama maupun
nomor misalkan “INDOSAT”.
Cara
ini sepenuhnya GRATIS, tidak perlu bayar apapun karena tidak hubungannya
dengan koneksi jaringan apapun, semua dilakukan dalam hp sendiri secara
local. Saya sudah coba dan test di E90 saya, hasilnya sangat memuaskan,
tidak bisa dibedakan bahkan setelah membuka “Message Detail”.
Social Engineering Technique
Social
engineering singkatnya adalah teknik merayu, membujuk dan menipu orang
lain untuk keuntungan pelaku. Dengan fake sms ini teknik social
engineering menjadi sangat efektif. Salah satu contoh skenarionya
adalah:
Misalkan ada yang ingin
mencuri laptop di sebuah rumah. Dia bisa membuat sms di inboxnya dengan
From adalah nomor HP yang punya rumah, isinya misalkan: “Tolong bawa dan
bersihkan laptop saya dari virus.” Si maling bisa dengan pede datang
dan mengatakan ke pembantu di rumah bahwa dia adalah teknisi laptop.
Sebagai buktinya dia tunjukkan hpnya yang di sana berisi sms dari yang
punya rumah. Si pembantu yang sudah hapal betul nomor majikannya tentu
saja percaya. “Oh iya ini nomor majikan saya, silakan masuk mas, saya
bawakan laptopnya. Mau minum apa?”.
Exploiting Discount by SMS Program
Program ini memang jarang
terdengar. Program ini mengandalkan sms pada inbox sebagai bukti bahwa
pemilik HP berhak mendapatkan diskon.
Salah satu contohnya adalah OvisSMS.
Cukup dengan mengirimkan sms ke 3910, lalu menunjukkan sms yang
diterima dari 3910 ke restoran, maka pemilik HP berhak mendapatkan
diskon sejumlah tertentu.
sms reply
Karena
SMS balasannya tidak mengandung kode unik tertentu sebagai fitur
keamanan, maka mudah untuk membuat fake sms dari nomor 3910. Contoh
balasan sms dari 3910 adalah:JAK123482 62856XXXX VALID 10/07/07 …. dan
seterusnya. Dalam sms balasan tersebut hanya disebutkan kode merchant,
nomor hp, tanggal valid dan diskon yang berhak didapatkan.
Dengan
membuat sms sendiri dengan nomor pengirim 3910 yang mirip dengan sms
balasan yang asli, maka sulit bagi merchant untuk membedakan mana yang
asli dan palsu.
Seharusnya dalam
sms tersebut ditambahkan fitur keamanan. Bisa berupa kode unik yang
bisa digunakan oleh merchant untuk melakukan validasi, apakah sms asli
atau tidak dan apakah sms diskon ini sudah pernah dipakai.
Kesimpulan
Skenario
social engineering lainnya sangat banyak, tergantung imajinasi
masing-masing orang. Ini berbahaya karena banyak sekali orang yang
sangat percaya bahwa sms di INBOX adalah benar-benar dikirim oleh orang
yg terlihat di field From, sehingga mudah dihasut dan ditipu.
Harus
dipahami bahwa “sms can be spoofed” jadi belum tentu sms di inbox hp
benar-benar dikirim oleh orang yang tercantum pada field From/Pengirim.
