Jebakan "Siapa Intip Facebook Kamu" Incar Pengguna di Indonesia

KOMPAS.com - “Cari tahu siapa yang mengintip Facebook kamu. Yang melihat Facebookku adalah…,” sebut sebuah posting di wall pengguna Facebook, diikuti deretan nama teman-teman yang dikatakan telah “mengintip” laman Facebook dari pembuat posting yang bersangkutan.

Tawaran itu membuat penasaran. Maklumlah, selama ini Facebook dikenal merahasiakan siapa saja teman  yang sering mengunjungi (mengintip) akun pengguna. Alamat URL menuju sebuah situs bernama “siapalihat.com” yang dicantumkan di posting tadi pun dikunjungi.

Tanpa disadari, pengguna mulai terjebak posting yang sebenarnya disebarkan oleh Spam Bot lewat akun pengguna lain yang sudah dijebak sebelumnya.

Instruksi-instruksi di siapalihat.com, apabila diikuti, akan memasang Spam Bot untuk membajak akun Facebook pengguna dan menyebarkan posting sejenis ke laman teman-taman Facebook, tanpa sepengetahuan pemilik akun. Posting pun tersebar secara berantai melalui pengguna-pengguna lain yang juga terjebak.

Alfons Tanujaya/ Vaksin.com Contoh posting spam yang disebarkan oleh Spam Bot ke teman-teman pengguna di Facebook tanpa disadar oleh pemilik akun.

Iming-iming mengetahui siapa yang mengintip akun Facebook pengguna tak lain merupakan pancingan untuk mengelabui pengguna sehingga jatuh dalam jebakan. Teknik semacam ini dikenal dengan istilah rekayasa sosial (social engineering).

Pengguna Facebook Indonesia diincar

Praktisi keamanan internet dari Vaksincom, Alfons Tanujaya, mengatakan dalam beberapa hari belakangan banyak beredar jebakan Spam Bot yang mengincar pengguna Facebook Indonesia. Dia menduga sang pembuat Spam Bot berasal dari salah satu kota di Tanah Air.

“Saat ini yang jadi sasaran utama adalah pengguna Facebook. Mungkin karena basis penggunanya paling besar dan banyak apps pendukung sehingga banyak celah yang bisa dieksploitasi,” kata Alfons saat dihubungi KompasTekno, Jumat (12/8/2016).

“Apps pendukung” yang dimaksud adalah aplikasi eksternal yang dibuat pihak ketiga serta bisa mengakses data dan hak khusus dari Facebook pengguna.

Alfons Tanujaya/ Vaksin.com Tampilan laman situs Siapalihat yang alamatnya tertera dalam posting yang disebarkan oleh Spam Bot

Aplikasi macam ini rentan memiliki celah keamanan sehingga bisa disusupi Spam Bot untuk menulis dan menyebarkan posting tanpa sepengetahuan pengguna. Alfons mencontohkan aplikasi HTC Sense yang dipakai oleh situs siapalihat.com di atas.

Situs akan meminta pengguna mengunduh HTC Sense, lalu memberikan hak akses untuk posting di Facebook kepada aplikasi tersebut dan menyisipkan Spam Bot melalui barisan kode "Access Token" Facebook yang di-copy paste. Setelahnya, Spam Bot pun siap beraksi.

“HTC Sense itu aplikasi resmi yang sebenarnya tidak bersalah. Tetapi karena dieksploitasi sedemikian rupa jadi bisa memberikan akses autoposting ke Spam Bot,” papar Alfons. Tentu, tidak menutup pula kemungkinan aplikasi lain yang dipakai.

Ujung-ujungnya duit

Untuk apa sang pembuat Spam Bot menyebarkan posting secara berantai di Facebook? Ternyata, ujung-ujungnya duit juga.

Menurut Alfons, posting spam yang disebarkan di Facebook bertujuan mengalihkan pengguna ke situs sang pembuat dengan menyertakan alamat URL ke laman terkait, contohnya seperti siapalihat.com di atas.